W-PD(TC)-148-A0 ebtables简介与基本应用.docVIP

太仓同维电子有限公司 产品中心测试部软件测试科 拟　制　人 曹存存 审　批　人 唐传志 时　间 2015-6-20 Ebtables简介与基本应用 文档摘要：本文档主要介绍ebtables的是什么、ebtables如何使用，以及ebtables在家庭网关中的基本应用。 关键字：ebtables 一：什么是ebtables以及与iptables的区别 ebtables和iptables类似，都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具，就是说过滤功能是由内核底层提供支持的，这两个工具只是负责制定过滤的rules. Ebtables即是以太网桥防火墙，以太网桥工作在数据链路层，Ebtables来过滤数据链路层数据包。 2.6内核内置了Ebtables，要使用它必须先安装Ebtables的用户空间工具（ebtables-v2.0.6），安装完成后就可以使用ebtables来过滤网桥的数据包。 参照用户实际要求，设置ebtables规则如下：??? 1:对所有的数据包默认通过 ??? 2:分清楚源地址和目的地址和源端口和目的端口 ??? 3:对TCP,UDP数据包分别过滤 ebtables对比iptables ebtables?是主要是控制数据链路层的,在内核中，ebtables?的数据截获点比?iptables?更“靠前”，它获得的数据更“原始”，ebtables?多用于桥模式，比如控制?VLAN?ID?等。? ebtables?就像以太网桥的?iptables。iptables?不能过滤桥接流量，而?ebtables?可以。ebtables?不适合作为?Internet?防火墙。 iptables主要提供了基于ip头部信息的过滤，如IP五元组等 ebtables提供了基于桥的以太帧过滤，日志，MAC DNAT和brouting，同时它也有一些简单的IP过滤功能。 二、帧如何穿越ebtables链 仅考虑ebtables，数据包是根据桥（工作在以太网层，依据MAC地址）指向本地计算机，而不必依据IP层来指向本地计算机。 当从属于桥的网卡接收到帧，数据帧首先通过BROUTING链。在这个特殊的链，可以选择是路由或者桥接帧，这使得可以做brouter。Brouter是一种可以桥接某些帧/包（基于链路层信息转发）并路由另一些帧/包（基于网络层信息转发）的设备。桥/路由的决策基于配置信息。 Brouter可以用作常规路由器来转发两个网络的IP数据流，也可以用于在这些网络中桥接指定的流量（NetBEUI, ARP, 或者其他）。IP路由表不使用桥逻辑设备，而是使用分配给物理网络设备的IP地址。 接着数据帧通过PREROUTING链。在这个链中可以修改数据帧的目的MAC地址（DNAT）。如果帧通过了这个链，桥的代码将会决定应该将帧发送到哪里。桥通过查找目的MAC地址来实现这一点，它并不关心网络层地址（比如IP地址）。 如果桥决定该帧是指向本地计算机，那么帧将进入INPUT链。在这个链中可以过滤指向桥的帧。在穿越了INPUT链之后，帧将被送往网络层代码（比如给IP代码）。因此，在逻辑上，一个被路由的IP包将通过ebtables的INPUT链，而不会通过ebtables的FORWARD链。 否则帧将可能被送到桥的另一侧。如果是这样，帧将通过FORWARD链和POSTROUTING链。桥接的帧可以FORWARD链中被过滤掉。在POSTROUTING链中可以修改源MAC地址（SNAT）。 三、ebtables的配置 ebtables的配置分为表、链和规则三级。1.?表表是内置且固定的，共有三种:?filter,?nat,?broute，用-t选项指定。最常用的就是filter了，所以不设-t时默认就是这个表。nat用于地址转换，broute用于以太网桥。每个表的作用2.??链链有内置和自定义两种?。不同的表内置的链不同，这个从数据包的流程图中就可以看出来。所谓自定义的链也是挂接在对应的内置链内的，使用-j让其跳转到新的链中。3.?规则每个链中有一系列规则，每个规则定义了一些过滤选项。每个数据包都会匹配这些项，一但匹配成功就会执行对应的动作。 所谓动作，就是过滤的行为了。有四种，ACCEPTDROP，RETURN和CONTINUE。常用的就是ACCEPT和DROP，另两种就不细述了。 Ebtables包含3个表（tables）：filter，nat，broute。 Broute表包含BROUTING链； Filter表包含FORWARD, INPUT, OUTPUT链； Nat表包含PREROUTING, OUTPUT, POSTROUTING链；