转自鸟哥的私房菜。
原理分析与概念介绍
iptables 的表格 (table)
與鏈 (chain)
事實上,那個圖 9.3-1
所列出的規則僅是 iptables 眾多表格當中的一個鏈 (chain) 而已。
什麼是鏈呢?這得由 iptables 的名稱說起。為什麼稱為 ip"tables" 呢?
因為這個防火牆軟體裡面有多個表格 (table) ,每個表格都定義出自己的預設政策與規則,
且每個表格的用途都不相同
。我們可以使用底下這張圖來稍微瞭解一下:
圖 9.3-2、iptables 的表格與相關鏈示意圖
剛剛圖 9.3-1 的規則內容僅只是圖 9.3-2 內的某個 chain 而已
!
而預設的情況下,咱們 Linux 的 iptables 至少就有三個表格,包括管理本機進出的 filter 、管理後端主機
(防火牆內部的其他電腦) 的 nat 、管理特殊旗標使用的 mangle (較少使用) 。更有甚者,我們還可以自訂額外的鏈呢!
真是很神奇吧!每個表格與其中鏈的用途分別是這樣的:
- filter (過濾器)
:主要跟進入 Linux 本機的封包有關,這個是預設的 table 喔!- INPUT
:主要與想要進入我們 Linux 本機的封包有關; - OUTPUT
:主要與我們 Linux 本機所要送出的封包有關; - FORWARD
:這個咚咚與 Linux 本機比較沒有關係,
他可以『轉遞封包』到後端的電腦中,與下列 nat table 相關性較高。
- INPUT
- nat (位址轉換)
:是 Network Address Translation 的縮寫,
這個表格主要在進行來源與目的之 IP 或 port 的轉換,與 Linux 本機較無關,主要與 Linux
主機後的區域網路內電腦較有相關。- PREROUTING
:在進行路由判斷之前所要進行的規則(DNAT/REDIRECT) - POSTROUTING
:在進行路由判斷之後所要進行的規則(SNAT/MASQUERADE) - OUTPUT
:與發送出去的封包有關
- PREROUTING
- mangle (破壞者)
:這個表格主要是與特殊的封包的路由旗標有關,
早期僅有 PREROUTING 及 OUTPUT 鏈,不過從 kernel 2.4.18 之後加入了 INPUT 及 FORWARD 鏈。
由於這個表格與特殊旗標相關性較高,所以像咱們這種單純的環境當中,較少使用 mangle 這個表格。
所以說,如果你的 Linux 是作為 www 服務,那麼要開放用戶端對你的 www 要求有回應,就得要處理 filter 的 INPUT 鏈;
而如果你的 Linux 是作為區域網路的路由器,那麼就得要分析 nat 的各個鏈以及 filter 的 FORWARD 鏈才行。也就是說,
其實各個表格的鏈結之間是有關係的!簡單的關係可以由下圖這麼看:
圖 9.3-3、iptables 內建各表格與鏈的相關性
上面的圖示很複雜喔!不過基本上你依舊可以看出來,我們的 iptables 可以控制三種封包的流向:
- 封包進入 Linux 主機使用資源 (路徑 A)
:
在路由判斷後確定是向 Linux 主機要求資料的封包,主要就會透過 filter 的 INPUT 鏈來進行控管; - 封包經由 Linux 主機的轉遞,沒有使用主機資源,而是向後端主機流動 (路徑 B)
:
在路由判斷之前進行封包表頭的修訂作業後,發現到封包主要是要透過防火牆而去後端,此時封包就會透過路徑 B 來跑動。
也就是說,該封包的目標並非我們的 Linux 本機。主要經過的鏈是 filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。
這路徑 B 的封包流向使用情況,我們會在本章的 9.5 小節來跟大家作個簡單的介紹。 - 封包由 Linux 本機發送出去 (路徑 C)
:
例如回應用戶端的要求,或者是 Linux 本機主動送出的封包,都是透過路徑 C 來跑的。先是透過路由判斷,
決定了輸出的路徑後,再透過 filter 的 OUTPUT 鏈來傳送的!當然,最終還是會經過 nat 的 POSTROUTING 鏈。
| Tips: 有沒有發現有兩個『路由判斷』呢?因為網路是雙向的,所以進與出要分開來看!因此,進入的封包需要路由判斷, 送出的封包當然也要進行路由判斷才能夠發送出去啊!瞭解乎? |
 |
由於 mangle 這個表格很少被使用,如果將圖 9.3-3 的 mangle 拿掉的話,那就容易看的多了:
圖 9.3-4、iptables 內建各表格與鏈的相關性(簡圖)
透過圖 9.3-4 你就可以更輕鬆的瞭解到,事實上與本機最有關的其實是 filter 這個表格內的 INPUT 與 OUTPUT
這兩條鏈,如果你的 iptables 只是用來保護 Linux 主機本身的話,那 nat
的規則根本就不需要理他,直接設定為開放即可。
不過,如果你的防火牆事實上是用來管制 LAN 內的其他主機的話,那麼你就必須要再針對
filter 的 FORWARD 這條鏈,還有 nat 的 PREROUTING, POSTROUTING 以及 OUTPUT 進行額外的規則訂定才行。
nat 表格的使用需要很清晰的路由概念才能夠設定的好,建議新手先不要碰!最多就是先玩一玩最陽春的 nat
功能『IP 分享器的功能』就好了! ^_^!這部份我們在本章的最後一小節會介紹的啦!
規則的觀察與清除
如果你在安裝的時候選擇沒有防火牆的話,那麼 iptables 在一開始的時候應該是沒有規則的,不過,
可能因為你在安裝的時候就有選擇系統自動幫你建立防火牆機制,那系統就會有預設的防火牆規則了!
無論如何,我們先來看看目前本機的防火牆規則是如何吧!
[root@www ~]# iptables [-t tables] [-L] [-nv]
選項與參數:
-t :後面接 table ,例如 nat 或 filter ,若省略此項目,則使用預設的 filter
-L :列出目前的 table 的規則
-n :不進行 IP 與 HOSTNAME 的反查,顯示訊息的速度會快很多!
-v :列出更多的資訊,包括通過該規則的封包總位元數、相關的網路介面等
範例:列出 filter table 三條鏈的規則
[root@www ~]# iptables -L -n
Chain INPUT (policy ACCEPT) <==針對 INPUT 鏈,且預設政策為可接受
target prot opt source destination <==說明欄
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
<==規則跳到 RH 鏈去檢查
Chain FORWARD (policy ACCEPT) <==針對 FORWARD 鏈,且預設政策為可接受
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT) <==針對 OUTPUT 鏈,且預設政策為可接受
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references) <==自訂鏈的規則順序
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 <==第 1 條規則
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 <==第 2 條規則
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 <==第 3 條規則
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 <==底下類推共 9 條規則
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
範例:列出 nat table 三條鏈的規則
[root@www ~]# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
在上表中,每一個 Chain 就是前面提到的每個鏈囉~ Chain 那一行裡面括號的 policy 就是預設的政策,
那底下的 target, prot 代表什麼呢?
- target:代表進行的動作, ACCEPT 是放行,而 REJECT 則是拒絕,此外,尚有 DROP (丟棄) 的項目!
- prot:代表使用的封包協定,主要有 tcp, udp 及 icmp 三種封包格式;
- opt:額外的選項說明
- source :代表此規則是針對哪個『來源 IP』進行限制?
- destination :代表此規則是針對哪個『目標 IP』進行限制?
在輸出結果中,第一個範例因為沒有加上 -t 的選項,所以預設就是 filter 這個表格內的 INPUT,
OUTPUT, FORWARD 三條鏈的規則囉。由於預設規則中,INPUT 與 FORWARD 的規則一致,因此 CentOS
將兩條鏈的規則寫在一塊,變成一個自訂鏈 RH-Firewall-1-INPUT 的鏈!你得要注意的是,最後一條規則的政策是 REJECT (拒絕) 喔!
所以,雖然 INPUT 與 FORWARD 的政策是放行 (ACCEPT),不過其實不合前面 8 條規則的封包全部都會被第 9 條規則拒絕。
不過這個指令的觀察只是作個格式化的查閱,要詳細解釋每個規則會比較不容易解析。舉例來說,
我們將上述的九條規則依據輸出結果來說明一下,結果會變成:
- 無論任何來源 (0.0.0.0/0) 且要去任何目標的封包,不論任何封包格式 (prot 為 all),通通都接受
- 只要是 icmp 類型為 255 號的,就予以放行
- 只要是封包格式為 esp 的,就予以放行 (特殊功能)
- 只要是封包格式為 ah 的,就予以放行 (特殊功能)
- 只要是要傳送給目標為 224.0.0.251 且為 udp 埠口 5353 的,就予以接受
- 只要是傳給 port 631 的 udp 封包就接受
- 只要是傳給 port 631 的 tcp 封包就接受
- 只要是封包狀態為 RELATED,ESTABLISHED 就予以接受
- 全部的封包資訊通通拒絕
最有趣的應該是第一條規則了,怎麼會所有的封包資訊都予以接受?如果都接受的話,那麼後續的規則根本就不會有用嘛!
其實那條規則是僅針對每部主機都有的內部迴圈測試網路 (lo) 介面啦!如果沒有列出介面,那麼我們就很容易搞錯囉~
所以,近來鳥哥都建議使用 iptables-save 這個指令來觀察防火牆規則啦!因為 iptables-save
會列出完整的防火牆規則,只是並沒有規格化輸出而已。
[root@www ~]# iptables-save [-t table] 選項與參數: -t :可以僅針對某些表格來輸出,例如僅針對 nat 或 filter 等等 [root@www ~]# iptables-save # Generated by iptables-save v1.3.5 on Wed Jan 26 18:25:15 2011 *filter <==星號開頭的指的是表格,這裡為 filter :INPUT ACCEPT [0:0] <==冒號開頭的指的是鏈,三條內建一條自訂 :FORWARD ACCEPT [0:0] <==三條內建鏈的政策都是 ACCEPT 囉! :OUTPUT ACCEPT [4:496] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT <==針對 INPUT 的規則 -A FORWARD -j RH-Firewall-1-INPUT <==針對 FORWARD 的規則 -A RH-Firewall-1-INPUT -i lo -j ACCEPT <==針對自訂鏈 RH 的規則 -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Wed Jan 26 18:25:15 2011 |
由上面的輸出來看,有底線的那條規則當中, -i lo 指的就是由 lo 介面卡進來的封包!
這樣看就清楚多了!因為有寫到介面的關係啊!不像之前的 iptables -L -n 嘛!這樣瞭解乎!
不過,既然這個規則不是我們想要的,那該如何修改規則呢?鳥哥建議,先刪除規則再慢慢建立各個需要的規則!
那如何清除規則?這樣做就對了:
[root@www ~]# iptables [-t tables] [-FXZ]
選項與參數:
-F :清除所有的已訂定的規則;
-X :殺掉所有使用者 "自訂" 的 chain (應該說的是 tables )囉;
-Z :將所有的 chain 的計數與流量統計都歸零
範例:清除本機防火牆 (filter) 的所有規則
[root@www ~]# iptables -F
[root@www ~]# iptables -X
[root@www ~]# iptables -Z
|
由於這三個指令會將本機防火牆的所有規則都清除,但卻不會改變預設政策 (policy) ,
所以如果你不是在本機下達這三行指令時,很可能你會被自己擋在家門外 (若 INPUT 設定為 DROP 時)!要小心啊!
一般來說,我們在重新定義防火牆的時候,都會先將規則給他清除掉。還記得我們前面談到的,
防火牆的『規則順序』是有特殊意義的
,所以囉,
當然先清除掉規則,然後一條一條來設定會比較容易一點啦。底下就來談談定義預設政策吧!