本页使用了标题或全文手工转换

iptables

维基百科,自由的百科全书
跳到导航 跳到搜索

iptables
原作者 羅斯迪·魯塞爾(Rusty Russell)
開發者 Netfilter核心團隊
初始版本 1998年
穩定版本
穩定版本
1.8.2
(2018年11月13日,​2個月前​(2018-11-13
编程语言 C
操作系统 Linux
类型 封包過濾
许可协议 GNU通用公共许可证
網站 www.netfilter.org
源代码库 https://git.netfilter.org/iptables/

iptables是運行在使用者空間的應用軟體,通過控制Linux內核netfilter模組,來管理網路封包的处理和转发。在大部分Linux发行版中,可以通过手册页[1] man iptables 获取用户手册。通常iptables需要内核模块支持才能运行,此处相应的内核模块通常是Xtables。因此,iptables操作需要超级用户权限,其可执行文件通常位于/sbin/iptables/usr/sbin/iptables。同时,需要说明的是,以上命令通常只用于处理IPv4数据包;而对于IPv6数据包,则使用类似的ip6tables命令。[2]

目前,iptables支持内核2.4以上版本,旧版内核环境下则使用ipchains(于2.2版内核)或ipwadm(于2.0版内核)完成类似的功能。2014年1月19日起發行的Linux内核3.13版则使用nftables取而代之,但仍然提供iptables命令做为兼容接口。[3]

概要[编辑]

网络数据包通过Netfilter时的工作流向

iptables、ip6tables等都使用Xtables框架。存在「表(tables)」、「链(chain)」和「规则(rules)」三个层面。

每个「表」指的是不同类型的数据包处理流程,如filter表表示进行数据包过滤,而nat表针对连接进行地址转换操作。每个表中又可以存在多个「链」,系统按照预订的规则将数据包通过某个内建链,例如将从本机发出的数据通过OUTPUT链。在「链」中可以存在若干「规则」,这些规则会被逐一进行匹配,如果匹配,可以执行相应的动作,如修改数据包,或者跳转。跳转可以直接接受该数据包或拒绝该数据包,也可以跳转到其他链继续进行匹配,或者从当前链返回调用者链。当链中所有规则都执行完仍然没有跳转时,将根据该链的默认策略(「policy」)执行对应动作;如果也没有默认动作,则是返回调用者链。[4]

filter表[编辑]

filter表是默认的表,如果不指明表则使用此表。其通常用于过滤数据包。其中的内建链包括:

  • INPUT,输入链。发往本机的数据包通过此链。
  • OUTPUT,输出链。从本机发出的数据包通过此链。
  • FORWARD,转发链。本机转发的数据包通过此链。

nat表[编辑]

nat表如其名,用于地址转换操作。其中的内建链包括:

  • PREROUTING,路由前链,在处理路由规则前通过此链,通常用于目的地址转换(DNAT)。
  • POSTROUTING,路由后链,完成路由规则后通过此链,通常用于源地址转换(SNAT)。
  • OUTPUT,输出链,类似PREROUTING,但是处理本机发出的数据包。

mangle表[编辑]

mangle表用于处理数据包。其和nat表的主要区别在于,nat表侧重连接而mangle表侧重每一个数据包。[5]其中内建链列表如下。

  • PREROUTING
  • OUTPUT
  • FORWARD
  • INPUT
  • POSTROUTING

raw表[编辑]

raw表用于处理异常,有如下两个内建链:

  • PREROUTING
  • OUTPUT

命令示例[编辑]

防火墙示例[编辑]

一个典型的工作站的防火墙配置实例。超级用户(root)可以用" iptables -L"指令顯示防火牆上的配置。完整的配置可以添加-v-vv参数来显示更详细信息,或者使用 iptables-save -c 导出生成当前表的命令。由于没有指明「表」,因此默认使用filter表

 # iptables -L
 Chain INPUT(policy DROP)
 target     prot opt source               destination
 ACCEPT     all—localhost.localdomain  localhost.localdomain
 ACCEPT     all—anywhere             anywhere            state RELATED,ESTABLISHED
 REJECT     all—anywhere             anywhere
 
 Chain FORWARD(policy DROP)
 target     prot opt source               destination
 
 Chain OUTPUT(policy ACCEPT)
 target     prot opt source               destination

以上配置允许本机连接所有外部的系统,拒绝(REJECT)或丢弃(DROP)任何发往本机的数据包,但是有以下例外(和INPUT链逐一对应):

  • 来自本地环回地址的连接。
  • 已建立的连接(ESTABLISHED),如本机发起到远端的连接后远端的回应。
  • 关联的连接(RELATED),如FTP协议使用的额外端口。[6]

此时,来自外部的ping将没有回应:

 $  ping -c 1 10.0.0.1 
 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 
 --- 10.0.0.1 ping statistics --- 
 1 packets transmitted, 0 received, 100% packet loss, time 0ms

外部尝试连接本机的HTTP端口(即TCP 80端口)将被拒绝连接:

 $ telnet 10.0.0.1 80 
 Trying 10.0.0.1... 
 telnet: connect to address 10.0.0.1: Connection refused

但本机访问外部(OUTPUT)均正常,因为其链为空且默认策略为接受(ACCEPT);且本机不转发(FORWARD)数据包,因为其默认策略为丢弃(DROP)。需要额外注意的是,这里仅展示了IPv4的情况,若同时使用IPv6则需要另行配置ip6tables。

端口重定向示例[编辑]

iptables的重要功能之一是用于端口和/或地址的转换。如下示例展示了將預設HTTP埠的封包由80轉向8080埠。這樣,HTTP的daemon可以允許由一般用户權限啟動,而不需要對一般使用者無法將埠號綁在1024埠以下的限制的問題多加考慮。

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

注意:如果你在你的電腦上面運行了這個指令,它只會對連到你的機器上的外部的IP發生效果。從本地端發起的連線不會遵循nat表上PREROUTING鏈的設置。如果你想讓本地端也遵循規則,你可以另外鍵入下面的指令:

iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080

這條規則會將lo介面上的封包輸出由80埠轉向到8080埠上面。

网络地址转换示例[编辑]

典型设置如办公室用小型局域网,由一台Linux主机作为路由器共享地址接入Internet

假设局域网接口为eth0,地址使用192.168.0.0/24;而Internet接口为eth1,使用的地址为198.51.100.3。

在局域网用户访问Internet时,源地址需要被转换为198.51.100.3,则使用规则:

 iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 198.51.100.3 

若需要在局域网192.168.0.2上开启HTTP服务,则可以设置相应的DNAT服务,将访问外部TCP 80端口的数据包重定向:

 iptables -t nat -I PREROUTING -p tcp -d 198.51.100.3 --dport 80 -j DNAT --to 192.168.0.2 

需要注意的是,转发操作需要在filter表FORWARD链中允许,并且打开系统的转发功能。[7]

其他控制界面[编辑]

前端控制介面及命令[编辑]

有很多第三方软件可以帮助设定iptables规则。前端介面像是Ncurses或圖型介面可以讓使用者用點選的方式產生許多簡單的規則。命令稿通常是參照Unix shell產生出來的(不過當然也有可能會使用其它種類型的命令稿),它們有的會用一些預先定義好的規則或簡單的範本來调用iptables或 iptables-restore 执行。一些Linux發行版公司會在它們的發行版裡面包含这些方式,當然像這樣的方式能產生的變化就相當有限,不過也因為產生規則的方式很簡單,所以甚至可以利用php網頁撰寫的方式來產生這些規則。

此类前端装置如生成器(generator)或脚本(script)往往会被其模板限制,模板仅仅能使用用户定义规则并替换指定的部分,如只能替换端口或IP地址,同时,生成的规则往往难以达到最佳状态,需要进行进一步优化,如此会增加开发和运维的成本。如果用户想要了解iptables并且优化自己的规则,则需要自己创建规则。

前端的設定[编辑]

  • Firewall Builder —圖形前端配合規則/字集產生器、及自動規則集(automated ruleset)載入。
  • Shorewall,以本文為基礎的規則產生器。

其它的工具[编辑]

  • Fwsnort - iptables侵入測試以字串比對法及是諾特規則(Snort Rule)來進行FWSnort,Translates a Snort IDS ruleset into an IPTables ruleset.

Iptables/Netfilter圖表[编辑]

為了較好地了解一個封包穿越内核層的X表(Xtables)之表/鏈(table/chain),你可以參考下列圖表的使用:

  • Netfilter封包流;勾/表(hook/table)秩列[1]

參照[编辑]

  • ipchains為iptables的前一代
  • Netlink為Netfilter使用之API
  • NuFW延伸到Netfilter之認證防火墻
  • nftables为iptables的后继者

其它防火墻的解決方案[编辑]

外部連結[编辑]

参考文献[编辑]