Linux netfilter/iptables知识点详解

Netfilter

Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修改、删除数据包处理规则。

Netfilter是位于网卡和内核协议栈之间的一堵墙,是一种免费的软件防火墙。

Netfilter中有三个主要的概念:规则、表、链,等级依次递增。

  • 规则是对特定报文的处理说明,包括匹配字段和action。
  • 链是一组规则的集合。
  • 表是链中相同功能的规则集合。

规则

链可以看作网卡和内核协议栈之前的多道关卡,对于不通类型的报文,走不通的关卡进行处理,即匹配不通的链。

  • 由网卡上送到内核协议栈的报文:PREROUTING -> INPUT
  • 由网卡出来不能上送到内核协议栈的报文:PREROUTING -> FORWARD -> POSTROUTING
  • 由内核协议栈送往网卡的报文:OUTPUT -> POSTROUTING

为了管理方便,链中相同功能的规则被组织在了一张表中,iptables已经为我们定义了四张表。

表的优先级次序(由高到低):raw -> mangle -> nat -> filter

表链关系

一张链中可以有多张表,但是不一定拥有全部的表。

数据包的处理是根据链来进行的,但是实际的使用过程中,是通过表来作为操作入口,来对规则进行定义的。

iptables

iptables介绍

linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。

netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。

iptables基础

我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,规则一般的定义为”如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的web服务时,客户端发送报文到网卡,而tcp/ip协议栈是属于内核的一部分,所以,客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中,而此时,客户端报文的目标终点为web服务所监听的套接字(IP:Port)上,当web服务需要响应客户端请求时,web服务发出的响应报文的目标终点则为客户端,这个时候,web服务所监听的IP与端口反而变成了原点,我们说过,netfilter才是真正的防火墙,它是内核的一部分,所以,如果我们想要防火墙能够达到”防火”的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就出现了input关卡和output关卡,而这些关卡在iptables中不被称为”关卡”,而被称为”链”。

到此这篇关于Linux netfilter/iptables知识点详解的文章就介绍到这了,更多相关Linux – netfilter/iptables内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!


数据运维技术 » Linux netfilter/iptables知识点详解