Iptables的工作原理和基础架构文.pdfVIP

iptables 的工作原理和基础架构 iptables 被分为两部分 , 一部分被称为 核心空间 ,另一部分称为 用户空间 ,在核心空间 ,iptab les 从底层实现了数据包过滤的各种功能 , 比如 NAT 、状态检测以及高级的数据包的匹配策 略等 ,在用户空间 ,iptables 为用户提供了控制核心空间工作状态的命令集 . 首先 , 当一个包进来的时候 , 也就是从以太网卡进入防火墙 , 内核首先根据路由表决定包 的目标 .如果目标主机就是本机 , 则直接进入 INPUT 链,再由本地正在等待该包的进程接收 , 否则 , 如果从以太网卡进来的包目标不是本机 ,再看是否内核允许转发包 ( 可用 echo 1 / proc/sys/net/ipv4/ip_forward 打开转发功能 ,如果不允许转发 , 则包被 DROP 掉 ,如果允 许转发 , 则送出本机 ,这当中不经过 INPUT 或者 OUTPUT 链, 因为路由后的目标不是本机 , 只 被转发规则应用 , 最后 , 该 linux 防火墙主机本身能够产生包 ,这种包只经过 OUTPUT 链被送 出防火墙 . 在 iptables 中共有三类表 ,分别是 mangle 、 nat 和 filter . mangle 表从目前来看 , 他的作用对于满足常规的防火墙应用作用不大 ,我们在这里不 进行具体的描述 . nat 表的作用在于对数据包的源或目的 IP 地址进行转换 ,这种应用也许只会在 IPv4 的 网络中适用 ,nat 表又可主要分为三条链 , 如下 : DNAT :DNAT 操作主要用在这样一种情况下 ,你有一个合法的 IP 地址 ,要把对防火墙的 访问重定向到其他的机子上 , 比如 DMZ. 也就是说 ,我们 改变的是目的地址 , 以使包能重路由 到某台主机上 . SNAT : SNAT 改变包的源地址 ,这在极大程度上可以隐藏你的本地网络或者 DMZ 等 . 一个很好的例子是我们知道防火墙的外部地址 , 但必须用这个地址替换本地网络地址 .有了 这个操作 ,防火墙就能自动地对包做 SNAT, 以使 LAN 能连接到 Internet. 如果使用类似 19 /24 这样的地址 , 是不会从 Internet 得到任何回应的 . 因为 RFC1918 定义了这 些网络为私有的 , 只能用于 LAN 内部 . MASQUERADE : MASQUERADE 的作用和 SNAT 完全一样 ,只是计算机的负荷稍微 多一点 . 因为对每个匹配的包 ,MASQUERADE 都要查找可用的 IP 地址 , 而不象 SNAT 用的 IP 地址是配置好的 . 当然 , 这也有好处 ,就是如果我们使用诸如 PPPOE 等拨号的方式连接 Int ernet, 这些地址都是由 ISP 的随机分配的 ,这时使用 MASQUERADE 是非常好的一个解决 方案 . filter 表用来过滤数据包 ,我们可以在任何时候匹配包并过滤它们 .我们就是在这里根据 包的内容对包做 DROP 或 ACCEPT 的. 当然 ,我们也可以预先在其他地方做些过滤 ,但是这个 表才是设计用来过滤的 .几乎所有的 target 都可以在这儿使用 . 状态机制 状态机制是 ipta