1.鏈的概念

在防火墻中，用戶想要成功進入內(nèi)網(wǎng)環(huán)境，就需要發(fā)送請求報文，請求報文要和防火墻設(shè)置的各種規(guī)則進行匹配和判斷，最后執(zhí)行相應(yīng)的動作（放行或者拒絕），一個防火墻中通常針對不同的來源設(shè)置很多種策略，多個策略形成一個鏈，其實也可以理解成是分組的概念，在Iptables防火墻中針對不同的鏈路共分為五種不同的鏈。

如下圖所示，當(dāng)數(shù)據(jù)報文進入鏈之后，首先匹配第一條規(guī)則，如果第一條規(guī)則通過則訪問，如果不匹配，則接著向下匹配，如果鏈中的所有規(guī)則都不匹配，那么就按照鏈的默認規(guī)則處理數(shù)據(jù)報文的動作。

2.Iptables五種鏈的概念

Iptables有五種不同的鏈，分別是INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

• INPUT：從外界進入防火墻的數(shù)據(jù)包會應(yīng)用此規(guī)則鏈中的策略。
• OUTPUT：當(dāng)前服務(wù)器從防火墻外出的數(shù)據(jù)表會應(yīng)用此規(guī)則鏈中的策略。
• FORWARD：轉(zhuǎn)發(fā)數(shù)據(jù)包時會應(yīng)用此規(guī)則鏈中的策略。
• PREROUTING：主機外的報文要進入防火墻，所有的數(shù)據(jù)包進來的時候都會由PREROUTING鏈進行處理。
• POSTROUTING：主機內(nèi)的報文要從防火墻出去，需要經(jīng)過POSTROUTING鏈進行處理。

3.Iptables數(shù)據(jù)流向經(jīng)過的表

請求報文流入本地要經(jīng)過的鏈：

請求報文要進入本機的某個應(yīng)用程序，首先會到達Iptables防火墻的PREROUTING鏈，然后又PREROUTING鏈轉(zhuǎn)發(fā)到INPUT鏈，最后轉(zhuǎn)發(fā)到所在的應(yīng)用程序上。

PREROUTING--->INPUT--->PROCESS

請求報文從本機流出要經(jīng)過的鏈：

請求報文讀取完應(yīng)用程序要從本機流出，首先要經(jīng)過Iptables的OUTPUT鏈，然后轉(zhuǎn)發(fā)到POSTROUTING鏈，最后從本機成功流出。

PROCESS--->OUTPUT--->POSTROUTING

請求報文經(jīng)過本機向其他主機轉(zhuǎn)發(fā)時要經(jīng)過的鏈：

請求報文要經(jīng)過本機向其他的主機進行換發(fā)時，首先進入A主機的PREROUTING鏈，此時不會被轉(zhuǎn)發(fā)到INPUT鏈，因為不是發(fā)給本機的請求報文，此時會通過FORWARD鏈進行轉(zhuǎn)發(fā)，然后從A主機的POSTROUTING鏈流出，最后到達B主機的PREROUTING鏈。

PREROUTING--->FORWARD--->POSTROUTING

4.Iptables防火墻四種表的概念

**Iptables防火墻中表的概念：**在一個鏈中會有很多的防火墻規(guī)則，我們將具有同一種類型的規(guī)則組成一個集合，這個集合就叫做表，表可以簡單的列成是一些具有同樣類型的規(guī)則的分組，例如關(guān)于IP地址轉(zhuǎn)換的策略都放在一個表中、修改數(shù)據(jù)保報文的策略都放在一個表中。

在Iptables防火墻中包含四種常見的表，分別是filter、nat、mangle、raw。

• filter：負責(zé)過濾數(shù)據(jù)包。
  • filter表可以管理INPUT、OUTPUT、FORWARD鏈。
• nat：用于網(wǎng)絡(luò)地址轉(zhuǎn)換。
  • nat表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING鏈。
• mangle：修改數(shù)據(jù)包中的內(nèi)容，例如服務(wù)類型、TTL、QOS等等。
  • mangle表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD鏈。
• raw：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理。
  • raw表可以管理PREROUTING、OUTPUT鏈。

5.Iptables防火墻表與鏈之間的優(yōu)先級概念

在Iptables防火墻中，表與鏈之間是存在優(yōu)先級的關(guān)系的，因為每張表的作用都是不同的，一張表會同時存放在多個鏈中，當(dāng)一條數(shù)據(jù)報文進入一個鏈后，會按照表的優(yōu)先級順序依次匹配對應(yīng)的規(guī)則。

Iptables防火墻表的優(yōu)先級順序：raw--->mangle--->nat--->filter。

如下圖所示，當(dāng)數(shù)據(jù)報文進入PREROUTING鏈時，首先規(guī)匹配raw表中的規(guī)則，然后在匹配mangle表中的規(guī)則，最后在匹配nat表的規(guī)則，按照優(yōu)先級順序依次匹配。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4e31sEnS-1657242939282)(G:\01-運維技術(shù)文檔整理\Iptables\01-Iptables防火墻核心理論概念.assets\image-20220428235007852.png)]

6.Iptables防火墻表和鏈之間的使用技巧

從以下三個問題中掌握防火墻表和鏈之間的使用技巧。

首先牢記各個鏈對應(yīng)的表有那些：

記憶技巧：進出第一關(guān)的鏈都沒有fileter表，第一個進鏈除fileter都包含，input除raw都有、output全有、出鏈只有mangle和nat、forward只有mongle和filter。

**問題1：**

來自于10.0.0.1的地址，訪問本機的web服務(wù)請求都不允許，應(yīng)該在哪個表的哪個鏈上設(shè)定規(guī)則？

源地址為10.0.0.1的IP訪問本機的WEB請求時不允許，屬于數(shù)據(jù)流入的操作，首先要分析會經(jīng)過那些Iptables鏈？

源地址到本地服務(wù)會經(jīng)過Iptables的PREROUTING和INPUT鏈，做這種規(guī)則時，都會堅定最近位置處做策略，但是也要結(jié)合實際的功能，PREROUTING鏈離源地址最近，但是沒有過濾的表，在PREROUTING中的表有mangle、nat，沒有負責(zé)做過濾的表，因此就要判斷第二個鏈，也就是INPUT鏈，在INPUT鏈中包含mangle、nat、filter表，在INPUT鏈中添加策略是最合適的。

最終的結(jié)果就是在INPUT鏈的filter表中添加具體的策略。

**問題2：**

所有由本機發(fā)往10.0.0.0/24網(wǎng)段的TCP服務(wù)都不允許？

從本機發(fā)往其他主機的TCP服務(wù)請求，屬于數(shù)據(jù)流出的操作，會經(jīng)過PREROUTING鏈和OUTPUT鏈，到達目標地址的數(shù)據(jù)保溫都拒絕，這種類似的需求，一般都是由過濾表filter來實現(xiàn)，PREROUTING鏈包含的表有mangle、nat這兩張，沒有過濾表，OUTPUT鏈有raw、mangle、Nat、filter四張表，最終的結(jié)果就是在OUTPUT鏈的filter表添加具體的策略。

**問題3：**所有來自己本地內(nèi)部網(wǎng)絡(luò)的主機，向互聯(lián)網(wǎng)發(fā)送web服務(wù)器請求都允許？

到達本機的請求報文向互聯(lián)網(wǎng)發(fā)送請求，屬于數(shù)據(jù)轉(zhuǎn)發(fā)的操作，會經(jīng)過PREROUTING、FORWARD和POSTROUTING三個連，這種允許和拒絕都是在filter表中操作的，因此找到含有filter表并且距離目標端最近的鏈中添加合適的規(guī)則，最終的結(jié)果就是在filter表中添加具體的操作。

結(jié)論：

1）首先要知道要實現(xiàn)的需求含義，然后根據(jù)需求判斷出要在哪一個表中實現(xiàn)該策略。

2）然后摸清楚報文要經(jīng)過的鏈，堅定在距離源/目的最近的鏈做策略。

3）最后根據(jù)鏈包含的表，判斷出要將規(guī)則添加到哪一個鏈的表中。

7.Iptables防火墻幾種動作

ACCEPT：將數(shù)據(jù)包放行。

REJECT：拒絕該數(shù)據(jù)包通行，阻攔數(shù)據(jù)包。

DROP：丟棄數(shù)據(jù)包，不給予任何處理。

REDIRECT：重定向。

以上就是Iptables防火墻四表五鏈概念及使用技巧詳解的詳細內(nèi)容，更多關(guān)于Iptables防火墻四表五鏈的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論