iptables規(guī)則

下圖為數(shù)據(jù)包到達(dá)linux主機(jī)網(wǎng)卡后，內(nèi)核如何處理數(shù)據(jù)包的大致流程

什么是規(guī)則

規(guī)則是管理員對(duì)數(shù)據(jù)包制定的一種觸發(fā)機(jī)制，即當(dāng)數(shù)據(jù)包達(dá)到某種條件，就執(zhí)行指定的動(dòng)作。
條件：可以是數(shù)據(jù)包源地址、目的地址、協(xié)議等
動(dòng)作：可以是拒絕、接受、丟棄等；詳細(xì)介紹見(jiàn)下表

使用iptables命令寫(xiě)入規(guī)則示例：

iptables -t filter -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -m multiport --dports 443,80 -j ACCEPT
#-t：操作那個(gè)表
#-A：在表末追加規(guī)則；-I為表首插入規(guī)則、-D為刪除規(guī)則
#INPUT：鏈名稱(chēng)；該規(guī)則在那條鏈上生效
#-j：數(shù)據(jù)包處理動(dòng)作；比如接受、拒絕等

整條命令解釋?zhuān)涸试S經(jīng)過(guò)本機(jī)網(wǎng)卡eth0，訪問(wèn)協(xié)議是TCP，源地址是192.168.1.0/24 段的數(shù)據(jù)包訪問(wèn)本地端口是80和443的服務(wù)

什么是表

表主要用來(lái)存放具體的防火墻規(guī)則，而規(guī)則具有功能性，比如修改數(shù)據(jù)包源/目的ip、拒絕來(lái)自某個(gè)網(wǎng)段的數(shù)據(jù)包訪問(wèn)本機(jī)等；所以我們可以對(duì)規(guī)則進(jìn)行分類(lèi)，不同的功能存入不同的表

• raw表：主要用于決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理
• mangle表：主要用于拆解報(bào)文修改數(shù)據(jù)包的 IP 頭信息
• nat表：主要用于修改數(shù)據(jù)包的源地址和目的地址、端口號(hào)等信息(實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，如SNAT、DNAT、MASQUERADE、REDIRECT)。
• filter表：主要用于對(duì)過(guò)濾流入和流出的數(shù)據(jù)包，根據(jù)具體的規(guī)則決定是否放行該數(shù)據(jù)包
• security 表：最不常用的表，用在 SELinux 上；用于強(qiáng)制訪問(wèn)控制（MAC）網(wǎng)絡(luò)規(guī)則，由Linux安全模塊（如SELinux）實(shí)現(xiàn)
  其中nat表和filter表最常用

什么是鏈

上文提到表主要存放具體的規(guī)則，但是規(guī)則什么時(shí)候生效呢？比如客戶(hù)端訪問(wèn)VIP，數(shù)據(jù)包到達(dá)本機(jī)后必須先用DNAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)將vip轉(zhuǎn)換成實(shí)際的后端實(shí)例ip，然后才能路由判斷，因?yàn)楹蠖藢?shí)例可能有多個(gè)且分布在不同主機(jī)，直接用vip進(jìn)行路由判斷肯定是不行的。所以規(guī)則有生效時(shí)機(jī)，根據(jù)生效時(shí)機(jī)可以分為：

• PREROUTING：在數(shù)據(jù)包到達(dá)防火墻時(shí)，進(jìn)行路由判斷之前執(zhí)行的規(guī)則
• INPUT：路由判斷之后確定數(shù)據(jù)包流入本機(jī)，應(yīng)用其規(guī)則
• FORWARD：路由判斷之后確定數(shù)據(jù)包要轉(zhuǎn)發(fā)給其他主機(jī)，應(yīng)用其規(guī)則；linux主機(jī)需要開(kāi)啟ip_forward功能才支持轉(zhuǎn)發(fā)，在/etc/sysctl.conf文件中配置參數(shù)net.ipv4.ip_forward=1
• OUTPUT：本機(jī)應(yīng)用向外發(fā)出數(shù)據(jù)包時(shí)，應(yīng)用其規(guī)則
• POSTROUTING：在數(shù)據(jù)包離開(kāi)防火墻時(shí)進(jìn)行路由判斷之后執(zhí)行的規(guī)則
  在每條鏈中，規(guī)則按照從上到下的順序進(jìn)行匹配，當(dāng)一個(gè)數(shù)據(jù)包與某個(gè)規(guī)則匹配成功后，就會(huì)按照該規(guī)則的動(dòng)作進(jìn)行處理，并且后續(xù)的規(guī)則將不再被考慮。

表、鏈、規(guī)則三者的關(guān)系是什么

表是區(qū)分相同鏈的上下順序，規(guī)則在每條鏈中的上下順序確定規(guī)則執(zhí)行順序：

• 如果規(guī)則來(lái)自不同表，通過(guò)表的優(yōu)先級(jí)確定鏈的優(yōu)先級(jí)： 比如完整的PREROUTING鏈中有來(lái)自raw表、mangle表、nat標(biāo)的PREROUTING鏈規(guī)則，通過(guò)表優(yōu)先級(jí) （raw>mangle>nat>filter>security） 區(qū)分優(yōu)先級(jí)。所以一個(gè)報(bào)文發(fā)送到某臺(tái)虛擬機(jī)后，被虛擬機(jī)網(wǎng)卡接收，會(huì)進(jìn)入的虛擬機(jī)網(wǎng)絡(luò)協(xié)議棧處理，先經(jīng)過(guò)PREROUTING鏈處理，具體來(lái)說(shuō)先走raw表的PREROUTING規(guī)則、再走mangle表、最后在走nat表PREROUTING規(guī)則。
• 如果規(guī)則來(lái)自同一個(gè)表，則按規(guī)則插入表的順序自上而下。

數(shù)據(jù)報(bào)文進(jìn)/出節(jié)點(diǎn)經(jīng)過(guò)哪些規(guī)則

• 對(duì)于客戶(hù)端來(lái)說(shuō)，發(fā)送報(bào)文過(guò)程
  先進(jìn)入OUTPUT鏈處理（raw、mangle、nat、filter、security表對(duì)應(yīng)的PREROUTING規(guī)則依次匹配），如果沒(méi)有被攔截則根據(jù)路由選擇出網(wǎng)口，再進(jìn)入POSTROUTING鏈處理(mangle、nat表對(duì)應(yīng)的POSTROUTING規(guī)則依次匹配)，最后從網(wǎng)卡出去

• 對(duì)于服務(wù)端來(lái)說(shuō)，發(fā)送報(bào)文過(guò)程
  先進(jìn)入PREROUTING鏈處理(raw、mangle、nat表對(duì)應(yīng)的PREROUTING規(guī)則依次匹配)，根據(jù)路由判斷數(shù)據(jù)報(bào)文發(fā)給本機(jī)，報(bào)文進(jìn)入INPUT鏈處理(mangle、nat、filter、security表對(duì)應(yīng)的INPUT規(guī)則依次匹配),如果沒(méi)有被攔截則報(bào)文被應(yīng)用程序處理

• 對(duì)于轉(zhuǎn)發(fā)場(chǎng)景，發(fā)送報(bào)文過(guò)程
  先進(jìn)入PREROUTING鏈處理(raw、mangle、nat表對(duì)應(yīng)的PREROUTING規(guī)則依次匹配)，根據(jù)路由判斷數(shù)據(jù)報(bào)文不是發(fā)給本機(jī)，報(bào)文進(jìn)入FORWARD鏈處理(mangle、filter、security表對(duì)應(yīng)的FORWARD規(guī)則依次匹配)，如果沒(méi)有被攔截則進(jìn)入POSTROUTING鏈處理(mangle、nat表對(duì)應(yīng)的POSTROUTING規(guī)則依次匹配)，最后從網(wǎng)卡出去

  *補(bǔ)充：轉(zhuǎn)發(fā)場(chǎng)景需要Linux開(kāi)啟轉(zhuǎn)發(fā)功能，否則數(shù)據(jù)報(bào)文進(jìn)入FORWARD鏈直接丟棄；臨時(shí)開(kāi)啟執(zhí)行命令sysctl net.ipv4.ip_forward=1或者echo "1" >/proc/sys/net/ipv4/ip_forward；永久生效需要修改/etc/sysctl.conf，增加內(nèi)容net.ipv4.ip_forward = 1保存，再執(zhí)行命令：sysctl -p

NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)介紹

NAT應(yīng)用最廣的場(chǎng)景就是解決局域網(wǎng)內(nèi)設(shè)備訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題。
SNAT（源地址轉(zhuǎn)換） 主要用于修改數(shù)據(jù)包的源IP和源端口，一般在nat表的PREROUTING鏈中增加規(guī)則：局域網(wǎng)內(nèi)所有設(shè)備要上外網(wǎng)，如果每個(gè)設(shè)備都分配一個(gè)公網(wǎng)ip成本太大，可以在路由器出口分配一個(gè)公網(wǎng)ip，局域網(wǎng)內(nèi)的設(shè)備訪問(wèn)外網(wǎng)時(shí)統(tǒng)一走路由器出口，路由器此時(shí)需要做兩件事：

• 數(shù)據(jù)包從出口出去之前，將數(shù)據(jù)包的源地址和源端口改成公網(wǎng)ip和隨機(jī)端口
• 同時(shí)將轉(zhuǎn)換關(guān)系記錄保存，響應(yīng)數(shù)據(jù)包返回時(shí)根據(jù)記錄轉(zhuǎn)發(fā)給局域網(wǎng)內(nèi)的設(shè)備

SNAT示例：

iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 88 -j SNAT --to-source 122.9.3.47:88
# -j：值為SNAT需要靜態(tài)指定修改后的值，值為MASQUERADE表示動(dòng)態(tài)修改源地址為出口網(wǎng)卡地址
# --to-source：將數(shù)據(jù)包的源地址轉(zhuǎn)換成指定值
# 整條命令解釋?zhuān)簩l(fā)給192.168.1.11:88的數(shù)據(jù)包，其源地址改為122.9.3.47

DNAT（目的地址轉(zhuǎn)換） 主要用于修改數(shù)據(jù)包目的地址和端口路由器，一般在nat表中的PREROUTING鏈中增加規(guī)則：接收到數(shù)據(jù)包后，將目的地址和目的端口根據(jù)轉(zhuǎn)換規(guī)則修改為實(shí)際的內(nèi)網(wǎng)地址，規(guī)則需要提前在路由器上手動(dòng)添加，如下圖：將訪問(wèn)公網(wǎng)ip 100...155:10022的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)設(shè)備172.30.100.136:22

DNAT示例：

iptables -t nat -A PREROUTING -d 202.12.10.100 -p tcp --dport 20022 -j DNAT --to-destination 192.168.10.11:22
# --to-destination：修改數(shù)據(jù)包的目的地址
# 整條命令解釋?zhuān)簩l(fā)給202.12.10.100:20022的數(shù)據(jù)包，其目的地址改為192.168.10.11:22

注意：linux內(nèi)核使用CONNTRACK表(連接跟蹤)記錄NAT轉(zhuǎn)換關(guān)系，一個(gè)連接僅在首次經(jīng)過(guò)iptables鏈條時(shí)會(huì)計(jì)算nat表，一旦conntrack記錄下這次的改寫(xiě)關(guān)系，后續(xù)無(wú)論是去程包還是回程包都是依據(jù)conntrack表進(jìn)行改寫(xiě)關(guān)系的處理，不會(huì)再重復(fù)執(zhí)行nat表中的DNAT/SNAT規(guī)則

以上就是linux網(wǎng)絡(luò)知識(shí)詳解：iptables 規(guī)則介紹的詳細(xì)內(nèi)容，更多關(guān)于linux網(wǎng)絡(luò)知識(shí)詳解：iptables 規(guī)則介紹的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論