netfilter及iptables 命令介绍.pdfVIP

netfilter/iptables 命令介绍 netfilter/iptables 系统 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编 辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。 这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信 息包过滤表中，规则被分组放在我们所谓的链（chain ）中。我马上会详细讨论 这些规则以及如何建立这些规则并将它们分组在链中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个 组件netfilter 和 iptables 组成。 netfilter 组件也称为 内核空间（kernelspace ），是内核的一部分，由一些信 息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为 用户空间（userspace ），它使插入、修改 和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本，否则需要从 下载该工具并安装使用它。 通过使用用户空间，可以构建自己的定制规则，这些规则存储在内核空间的信息 包过滤表中。这些规则具有 目标，它们告诉内核对来自某些源、前往某些目的地 或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配，那么使用 目标 ACCEPT 允许该信息包通过。还可以使用目标DROP 或 REJECT 来阻塞并杀 死信息包。对于可对信息包执行的其它操作，还有许多其它目标。 根据规则所处理的信息包的类型，可以将规则分组在链中。处理入站信息包的规 则被添加到 INPUT 链中。处理出站信息包的规则被添加到OUTPUT 链中。处理 正在转发的信息包的规则被添加到 FORWARD 链中。这三个链是基本信息包过滤 表中内置的缺省主链。另外，还有其它许多可用的链的类型（如PREROUTING 和 POSTROUTING ），以及提供用户定义的链。每个链都可以有一个 策略，它定义 “缺省目标”，也就是要执行的缺省操作，当信息包与链中的任何规则都不匹配时， 执行此操作。 建立规则并将链放在适当的位置之后，就可以开始进行真正的信息包过滤工作了。 这时内核空间从用户空间接管工作。当信息包到达防火墙时，内核先检查信息包 的头信息，尤其是信息包的目的地。我们将这个过程称为路由。 如果信息包源自外界并前往系统，而且防火墙是打开的，那么内核将它传递到内 核空间信息包过滤表的 INPUT 链。如果信息包源自系统内部或系统所连接的内部 网上的其它源，并且此信息包要前往另一个外部系统，那么信息包被传递到 OUTPUT 链。类似的，源自外部系统并前往外部系统的信息包被传递到FORWARD 链。 接下来，将信息包的头信息与它所传递到的链中的每条规则进行比较，看它是否 与某条规则完全匹配。如果信息包与某条规则匹配，那么内核就对该信息包执行 由该规则的目标指定的操作。但是，如果信息包与这条规则不匹配，那么它将与 链中的下一条规则进行比较。最后，如果信息包与链中的任何规则都不匹配，那 么内核将参考该链的策略来决定如何处理该信息包。理想的策略应该告诉内核 DROP 该信息包。 图 1 用图形说明了这个信息包过滤过程。 图 1. 信息包过滤过程 iptables 命令介绍 原文链接 iptables 防火墙可以用于创建过滤(filter)与NAT 规则。所有Linux 发行版都能使用iptables， 因此理解如何配置 iptables 将会帮助你更有效地管理Linux 防火墙。如果你是第一次接触 iptables，你会觉得它很复杂，但是一旦你理解iptables 的工作原理，你会发 现其实它很简单。 首先介绍iptables 的结构：iptables - Tables - Chains - Rules. 简单地讲，tables 由 chains 组成，而chains 又由rules 组成。如下图所示。 图: IPTables Table, Chain, and Rule Structure 一、iptables 的表与链 iptables 具有Filter, NAT, Mangle, Raw 四种内建表： 1. Filter 表 Filter 表示iptables 的默认表，因此如果你没有自定义表，那么就默认使用filter 表，它具