【51CTO獨(dú)家特稿】Linux系統(tǒng)管理員們都接觸過Netfilter/iptables，這是Linux系統(tǒng)自帶的免費(fèi)防火墻，功能十分強(qiáng)大。在接下來的這個《深入淺出Netfilter/iptables防火墻框架》系列中，51CTO安全/Linux專家李洋將對Netfilter/iptables進(jìn)行詳盡的、條理的介紹。本文是基礎(chǔ)篇，先介紹Netfilter/iptables框架的原理。

1、Netfilter/iptables框架簡介

Netfilter/iptables可以對流入和流出的信息進(jìn)行細(xì)化控制，且可以在一臺低配置機(jī)器上很好地運(yùn)行，被認(rèn)為是Linux中實(shí)現(xiàn)包過濾功能的第四代應(yīng)用程序。Netfilter/iptables包含在Linux 2.4以后的內(nèi)核中，可以實(shí)現(xiàn)防火墻、NAT（網(wǎng)絡(luò)地址翻譯）和數(shù)據(jù)包的分割等功能。netfilter工作在內(nèi)核內(nèi)部，而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。Netfilter/iptables從ipchains和ipwadfm（IP防火墻管理）演化而來，功能更加強(qiáng)大。

這里所說的iptables是ipchains的后繼工具，但具有更強(qiáng)的可擴(kuò)展性。內(nèi)核模塊可以注冊一個新的規(guī)則表（table），并要求數(shù)據(jù)包流經(jīng)指定的規(guī)則表。這種數(shù)據(jù)包選擇用于實(shí)現(xiàn)數(shù)據(jù)報過濾（filter表），網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT表）及數(shù)據(jù)報處理（mangle表）。Linux 2.4內(nèi)核及其以上版本提供的這三種數(shù)據(jù)報處理功能都基于netfilter的鉤子函數(shù)和IP表，都是相互間獨(dú)立的模塊，完美地集成到了由netfilter提供的框架中，如圖1所示。netfilter主要提供了如下三項(xiàng)功能：

1. 包過濾：filter表格不會對數(shù)據(jù)報進(jìn)行修改，而只對數(shù)據(jù)報進(jìn)行過濾。iptables優(yōu)于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數(shù)NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。
2. NAT：NAT表格監(jiān)聽三個netfilter鉤子函數(shù)：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。NF_IP_PRE_ROUTING實(shí)現(xiàn)對需要轉(zhuǎn)發(fā)數(shù)據(jù)報的源地址進(jìn)行地址轉(zhuǎn)換，而NF_IP_POST_ROUTING則對需要轉(zhuǎn)發(fā)的數(shù)據(jù)報目的地址進(jìn)行地址轉(zhuǎn)換。對于本地數(shù)據(jù)報目的地址的轉(zhuǎn)換，則由NF_IP_LOCAL_OUT來實(shí)現(xiàn)。
3. 數(shù)據(jù)報處理：mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進(jìn)行注冊。使用mangle表，可以實(shí)現(xiàn)對數(shù)據(jù)報的修改或給數(shù)據(jù)報附上一些外帶數(shù)據(jù)。當(dāng)前mangle表支持修改TOS位及設(shè)置skb的nfmard字段。

圖1 Netfilter/Iptables框架結(jié)構(gòu)示意圖

根據(jù)實(shí)際情況，靈活運(yùn)用Netfilter/iptables框架，生成相應(yīng)的防火墻規(guī)則可以方便、高效地阻斷部分網(wǎng)絡(luò)攻擊以及非法數(shù)據(jù)報（參見圖2所示的工作原理）。然而，由于配置了防火墻，可能引起諸如FTP、QQ、MSN等協(xié)議和軟件無法使用或者某些功能無法正常使用，也有可能引起RPC（遠(yuǎn)程過程調(diào)用）無法執(zhí)行，這需要用戶根據(jù)實(shí)際情況來配置相應(yīng)的服務(wù)代理程序來開啟這些服務(wù)。需要特別提醒注意的是，防火墻也可能被內(nèi)部攻擊，其并不是萬能的，還需要綜合使用其他防護(hù)手段。內(nèi)部人員由于無法通過Telnet瀏覽郵件或使用FTP向外發(fā)送信息，個別人會對防火墻不滿進(jìn)而可能對其進(jìn)行攻擊和破壞。而且，攻擊的目標(biāo)常常是防火墻或防火墻運(yùn)行的操作系統(tǒng)，這極大地危害了防火墻系統(tǒng)甚至是關(guān)鍵信息系統(tǒng)的安全。

圖2 Netfilter/Iptables框架工作原理示意

#p#

2、iptables基本原理

通過向防火墻提供有關(guān)對來自某個源、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。通過使用Netfilter/iptables系統(tǒng)提供的特殊命令iptables，建立這些規(guī)則，并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。關(guān)于添加/除去/編輯規(guī)則的命令的一般語法如下：

iptables [-t table] command [match] [target]

不難看出，一條iptables規(guī)則包含如下4個基本元素：

1. 表
2. 命令
3. 匹配
4. 目標(biāo)

1) 表（table）

[-t table]選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表。表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。有三種可用的表選項(xiàng)：filter、nat和mangle。該選項(xiàng)不是必需的，如果未指定，則filter用作默認(rèn)表。filter表用于一般的信息包過濾，包含INPUT、OUTPUT和FORWAR鏈。nat表用于要轉(zhuǎn)發(fā)的信息包，它包含PREROUTING、OUTPUT和POSTROUTING鏈。如果信息包及其頭內(nèi)進(jìn)行了任何更改，則使用mangle表。該表包含一些規(guī)則來標(biāo)記用于高級路由的信息包以及PREROUTING和OUTPUT鏈。

2) 命令（command）

command部分是iptables命令的最重要部分，它告訴iptables命令要做什么，例如，插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。主要有如表1所示的命令。

表1 iptables常用命令

3) 匹配（match）

iptables命令的可選match部分指定信息包與規(guī)則匹配所應(yīng)具有的特征（如源和目的地地址、協(xié)議等）。匹配分為兩大類：通用匹配和特定于協(xié)議的匹配。這里，將研究可用于采用任何協(xié)議的信息包的通用匹配。下面是一些重要的且常用的通用匹配及其說明，如表2所示。

表2 通用匹配說明

4) 目標(biāo)（target）

前面已經(jīng)講過，目標(biāo)是由規(guī)則指定的操作，對與那些規(guī)則匹配的信息包執(zhí)行這些操作。除了允許用戶定義的目標(biāo)之外，還有許多可用的目標(biāo)選項(xiàng)。下面是常用的一些目標(biāo)及其示例和說明，如表3所示。

表3 目標(biāo)項(xiàng)說明

下一篇：深入淺出Netfilter/iptables防火墻框架（入門篇）

【編輯推薦】

1. Linux系統(tǒng)下iptables基本配置方法
2. iptables的基礎(chǔ)知識-iptables包的轉(zhuǎn)發(fā)過程
3. Nginx+iptables 防DDOS，惡意訪問，采集器