关于linux:iptables基础原理和使用简介

概念简介

名称

Netfilter/iptables模块有两局部组成：Netfilter框架以及iptables，iptables又分为iptables（内核空间）和iptables命令行工具（用户空间）；Netfilter/iptables模块，在个别使用者眼里简称为iptables，但其实在相干开发者眼里更偏向于叫作Netfilter，从我的项目官网地址也看得出来：https://netfilter.org/

作用

用于数据包解决，比方：报文的转发、过滤、批改，网络地址转换等性能，是一种软件防火墙。

iptables基本原理

根本工作流程

工作流程图

数据包沿着链传输，iptables有5个链：PREROUTING, INPUT, FORWORD, OUTPUT, POSTROUTING，能够设想成5个关卡，每个关卡都有很多规定，也可能没有规定。

工作流程

1、当一个数据包进入网卡后，它会先进入PREROUTING，而后依据目标地址进行路由决策，如果目标地址是本机，则走INPUT，不是本机则走FORWARD，而后再走POSTROUTING转出去。

2、进入INPUT的数据包会转给本地过程，过程解决后，会发送新的数据包，走OUTPUT，而后通过POSTROUTING转出去。

3、当然下面的过程每通过一个链，都要依照链中的规定程序来匹配链中的规定，只有遇到一个匹配的规定就依照这个规定进行解决，前面的规定对这个数据就不再起作用。

简略的规定增加

只有本地socket是用户态，其余都是内核解决。平时咱们加iptables规定，就是加到各个链中的，咱们创立一个容器进行测试，容器中我曾经装置好了iptables，间接应用iptables命令即可：

#首先启动一个容器[root@kube-master ~]# docker run -itd --name "cos8_test" --cap-add=NET_ADMIN centos:base /bin/bashbd0c29186387b01ae64514050b3b4b804babc988f3dbc52c0cfe6eeac115d1b2

注：要批改容器网络，容器启动时需加上 --cap-add=NET_ADMIN，不然容器中执行iptables命令会报错：(nf_tables): Could not fetch rule set generation id: Permission denied (you must be root)

查看iptables规定，能够看到以后没有任何策略

[root@kube-master ~]# docker ps | grep cos8bd0c29186387        centos:base                                                     "/bin/bash"              21 hours ago        Up 21 hours                             cos8_test[root@kube-master ~]# docker exec -it bd0 bash[root@bd0c29186387 /]#[root@bd0c29186387 /]# iptables -nLChain INPUT (policy ACCEPT)target     prot opt source               destinationChain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination

创立一个规定：回绝所有拜访80端口的tcp数据包。

[root@bd0c29186387 /]# iptables -A INPUT -p tcp --dport 80 -j DROP[root@bd0c29186387 /]#[root@bd0c29186387 /]# iptables -nLChain INPUT (policy ACCEPT)target     prot opt source               destinationDROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80Chain FORWARD (policy ACCEPT)target     prot opt source               destinationDROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80Chain OUTPUT (policy ACCEPT)target     prot opt source               destinationDROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80

这里有个小插曲：能够看到我只在INPUT链中增加了规定，然而怎么FORWARD和OUTPUT链中也有这条规定，随后我手动删了INPUT链中的规定，而后FORWARD和OUTPUT链中的规定也随之隐没了，此容器的OS版本和内核信息如下

[root@bd0c29186387 /]# cat /etc/redhat-releaseCentOS Linux release 8.2.2004 (Core)[root@bd0c29186387 /]#[root@bd0c29186387 /]# uname -aLinux bd0c29186387 3.10.0-1127.13.1.el7.x86_64 #1 SMP Tue Jun 23 15:46:38 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

之前没用过centos8，思考到可能是OS更新了netfilter模块，于是换成了一个centos7.8.2003的容器测试了一下，发现增加规定是合乎预期的，如下

[root@kube-master /]# docker run -itd --name "cos7" --cap-add=NET_ADMIN centos7:base /bin/bashc951c0a9d34d8e43a56e43872294ab5ab6a1504b365721238178de134e8d3bde[root@kube-master /]#[root@kube-master /]# docker exec -it cos7 bash[root@c951c0a9d34d /]#[root@c951c0a9d34d /]# iptables -nLChain INPUT (policy ACCEPT)target     prot opt source               destinationChain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination[root@c951c0a9d34d /]#[root@c951c0a9d34d /]# iptables -A INPUT -p tcp --dport 80 -j DROP[root@c951c0a9d34d /]#[root@c951c0a9d34d /]# iptables -nLChain INPUT (policy ACCEPT)target     prot opt source               destinationDROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80Chain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination

回绝能够应用DROP，也能够应用REJECT关键字，DROP不会给客户端返回任何信息，所以客户端看到的状况就是连贯超时，很难判断是防火墙起因还是网络设备故障等起因。而REJECT则明确返回给客户端一个回绝的信息，客户端会晓得我是被防火墙回绝了。

可依据场景应用，REJECT更适宜调试，DROP抗攻打下面更平安些。

前面应用centos7的容器作为测试，先不论centos8更新了啥。

四表五链

下面我增加的规定命令如下：

iptables -A INPUT -p tcp --dport 80 -j DROP

但这只是简写后的，略微写全些如下，其实还能够更全些，暂不阐明。

iptables -t filter -A INPUT -s 0.0.0.0/0 -p tcp -d 0.0.0.0/0 --dport 80 -j DROP

-t : 指定表，这里是filter表，规定会增加到filter表中。

-s : 指定源地址，0.0.0.0/0是指所有IP。

-d : 指定目标地址。

--dport : 指定目标端口。

-j : 指定解决动作，这里是DROP，也就是抛弃。

表的概念

下面提到了filter表，那什么是表呢？

咱们加规定，加到每个链中，每个链中的规定有很多，有一部分规定是类似的，比方，有一部分都是端口的过滤，有一部分都是报文的批改，依据这些规定的类型，把类似的规定放在一起，这些放在一起的规定的汇合称为表。

那不同的规定的汇合就放在了不同的表中，总共有4种表，也就是4种规定：

1. filter表：负责过滤性能；
2. nat表：network address translation，网络地址转换性能；
3. mangle表：拆解、批改、并从新封装报文；

4. raw表：敞开nat表上启用的连贯追踪机制；

   因为每个链中都有不同规定，所以表存在于每一个链中，但不是每个链都有这4种表，
   PREROUTING 的规定能够存在于：raw表，mangle表，nat表。
   INPUT 的规定能够存在于：mangle表，filter表，nat表（centos7中有nat表，centos6中没有）。
   FORWARD 的规定能够存在于：mangle表，filter表。
   OUTPUT 的规定能够存在于：raw表mangle表，nat表，filter表。
   POSTROUTING 的规定能够存在于：mangle表，nat表。

表的解决优先级如下：
raw --> mangle --> nat --> filter
所以咱们一开始iptables的根本工作流程图能够更具体些

其实还能够再具体些，咱们独自拿一个链进去，比方PREROUTING链，大略是如下状况，这些规定组和在了一起便成了一条链。

所以，咱们下面加的禁止拜访本机80端口的规定是寄存在filter表中的，咱们来查看下filter表中的规定，能够看到咱们增加的规定，netfilter默认把80端口绑定为http。

[root@c951c0a9d34d /]# iptables -L -t filterChain INPUT (policy ACCEPT)target     prot opt source               destinationDROP       tcp  --  anywhere             anywhere             tcp dpt:httpChain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination

iptables常用命令举例

查看规定

按表查看: iptables -L -t table依照链查看: iptables -nL INPUT

设置链的默认规定

#INPUT链默认回绝所有数据包iptables -P INPUT DROP#OUTPUT默认容许所有数据包进来iptables -P INPUT ACCEPT

清空表中的规定

#清空nat表中PREROUTING链的规定iptables -t nat -F PREROUTING#清空filter表中所有链的规定iptables -t filter -F#清空使用者自定义的表规定iptables -X

删除某一条规定

#能够通过编号来删除#--line-number在规定后面显示了编号[root@c951c0a9d34d /]# iptables -nL --line-numberChain INPUT (policy ACCEPT)num  target     prot opt source               destination1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80Chain FORWARD (policy ACCEPT)num  target     prot opt source               destinationChain OUTPUT (policy ACCEPT)num  target     prot opt source               destination[root@c951c0a9d34d /]#[root@c951c0a9d34d /]# iptables -D INPUT 1#也能够间接删除规定#上面命令中，-D前面的全是匹配条件，但凡某条规定中蕴含上面所有的匹配项，就删除这条规定[root@c951c0a9d34d /]# iptables -D INPUT -p tcp --dport 80 -j DROP

禁ping

#禁止他人ping本人，然而本人能够ping他人#type 8: 示意ping包申请流量#type 0: 示意ping包响应流量iptables -A INPUT -p icmp --icmp-type 0 -j DROPiptables -A OUTPUT -p icmp --icmp-type 8 -j DROP#禁止他人ping本人，也禁止本人ping他人iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP#也能够改参数实现禁pingecho "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

转发

#开启转发性能echo 1 > /proc/sys/net/ipv4/ip_forward#对于内部拜访本人80端口的流量全副转到172.17.0.4的80端口,#xxx.xxx.xxx.xx代表本机的IPiptables -t nat -I PREROUTING -d xxx.xxx.xxx.xx -p tcp --dport 80 -j DNAT --to-destination 172.17.0.4:80#对于从本机进来的流量，源ip全副转换为172.17.0.4iptables -t nat -A POSTROUTING -p tcp -j SNAT --to-source 172.17.0.4

针对链接状态作规定

#NEW 用户发动一个全新的申请#ESTABLISHED 对一个全新的申请进行回应#RELATED 两个残缺连贯之间的互相关系，一个残缺的连贯，须要依赖于另一个残缺的连贯。#INVALID 无奈辨认的状态。iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

很久以前写的了，最近从新启用这个博客，因而先顺手转过来。

原文作者：蓝色瞳仁
版权申明：转载请注明作者和链接。