文档章节

iptables学习笔记

hiwill
 hiwill
发布于 2015/11/16 16:27
字数 1408
阅读 92
收藏 6

iptables传输数据包的过程
① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链处理,然后到达POSTROUTING链输出。 
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

1. 表:
   mangle: 拆开报文,改变包的(TOS/TTL/MARK)标志位。建议不加任何过滤,也只是建议哈。
   nat: 用于转换包的源地址和目标地址。流的第一个包会进行匹配,后面的包会做按第一个包一样处理。包括DNAT/SNAT/MASQUERADE。
   filter: 用于过滤,对包的抉择ACCEPT或者DROP。
   raw:状态追踪,列外放行。
规则表之间的优先顺序:
Raw——mangle——nat——filter

2. 链:
   PREROUTING: 所有进入的包最先进入的链
   POSTROUTING: 所有发送包最后通过的链
   INPUT: 进入本地的链,过滤所有目的地址是本机地址的数据包
   OUTPUT: 本地发送出去的链,过滤源地址是本机地址的数据包
   FORWARD: 转发的链,不进入本地

   通常有三种状态:
   a) 进入本地的包:NETWORK-->(mangle)PREROUTING-->(nat)PREROUTING-->-->(mangle)INPUT-->(filter)INPUT-->
   b) 从本地发出的包:-->(mangle)OUTPUT-->(nat)OUTPUT-->(filter)OUTPUT-->(mangle)POSTROUTING-->(nat)POSTROUTING-->NETWORK
   c) 路由的包:NETWORK-->(mangle)PREROUTING-->(nat)PREROUTING-->-->(mangle)FORWARD-->(filter)FORWARD-->(mangle)POSTROUTING-->(nat)POSTROUTING-->NETWORK

filter表——三个链:INPUT、FORWARD、OUTPUT
Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
Raw表——两个链:OUTPUT、PREROUTING

3. 状态防火墙:所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。

4. 状态记录表:/proc/net/ip_conntrack
   [UNREPLIED]连接还没有收到回应
   [ASSURED]两个方向已无流量
   当记录表慢的时候,没有[ASSURED]标记的记录将被删除。
   记录条数目可以设置:/proc/sys/net/ipv4/ip_conntrack_max

5. 数据包的四种状态:
   NEW: conntrack看到的某个连接的第一个包,并没有收到对方的应答。
   ESTABLISHED: 数据已经在两个方向进行了传输。有应答就算,比如ICMP的错误返回包。
   RELATED: 当和ESTABLISHED状态又发生新连接时候。比如ftp-data和ftp-control。
   INVALID: 无效,通常DROP。

语法: iptables [-t table] command [match] [target/jump]
   table 对哪个表的操作,默认是filter表
   match 根据什么对包进行匹配
   target 匹配到的数据包如何处理

1. command 可以见iptables的帮助 iptables -h
2. match. -p 匹配协议。协议在/etc/protocols中定义。默认的是tcp,udp,icmp。
3. match. -s,-d 匹配源地址和目的地址。可以是单个IP,也可以是网络地址。192.168.0.0/24
4. match. -f 匹配被分片的包的第二片和后面的所有片。
5. match. -m multiport --source-port 22,110 多端口匹配
6. match. -m owner --pid-owner 78 对某个进程匹配(另外如--uid-owner,--sid-owner)
7. DNAT target 改写目的IP地址,只能用在nat表中的PREROUTING链和OUTPUT链中。
   SNAT target 改写源IP地址,只用于nat表中的POSTROUTING链中。
   iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
   # 将所有的访问15.45.23.67:80端口的数据做DNAT发到192.168.1.9:80
   如果和192.168.1.9在同一内网的机器要访问15.45.23.67,防火墙还需要做设置,改变源IP为防火期内网IP 192.168.1.1。否则数据包直接发给内网机器,对方将丢弃。
   iptables -t nat -A POSTROUTING -p tcp --dst 15.45.23.67 --dport 80 -j SNAT --to-source 192.168.1.1
   # 将所有的访问15.45.23.67:80端口的数据包源IP改为192.168.1.1
   如果防火墙也需要访问15.45.23.67:80,则需要在OUTPUT链中添加,因为防火墙自己发出的包不经过PREROUTING。
   iptables -t nat -A OUTPUT --dst 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9
8. MASQUERADE target
 和SNAT target类似。不使用--to-source,因为伪装的,不需要指定源IP,只可选用--to-ports指定端口。对于静态IP,通常使用SNAT,保留连接跟踪,对于动态IP,通常使用MASQUERADE,不保留连接跟踪,但会占用更多的开销。
9. MIRROR target
 颠倒IP头中的源地址与目的地址,再转发。
10. REDIRECT target
 在防火墙内部转发包到另外一个端口,只用在nat表的PREROUTING链和OUTPUT链中。常用在透明代理中。
   iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080-8090
11. REJECT target
 和DROP基本一样。但是DROP不返回错误信息,REJECT可以指定返回的错误信息。
   iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with icmp-net-unreachable
12. RETURN target
 返回上一层,顺序是:子链——>父链——>缺省的策略。
13. TTL target
 用来更改包的TTL,有些ISP根据TTL来判断是不是有多台机器共享连接上网。
   iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
   iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1
   # 离开防火墙的时候实际上TTL已经-2了,因为防火墙本身要-1一次。
   iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1
   # 离开防火墙的时候不增不减,tracert就不好用了,呵呵。
14. LOG target
 在内核空间记录日志,dmesg等才能看。
15. ULOG target
 在用户空间记录日志。

打开转发IP功能(IP forwarding):
echo "1" > /proc/sys/net/ipv4/ip_forward
如果使用PPP、DHCP等动态IP,需要打开:
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

 

© 著作权归作者所有

共有 人打赏支持
hiwill
粉丝 13
博文 126
码字总数 82358
作品 0
朝阳
linux学习-iptabls简单使用

Linux防火墙iptables学习笔记 一、概要 1、防火墙分类 ①包过滤防火墙(pack filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control table-ACL)检查数据流的源地址,目的...

羊草
07/17
0
0
telnet连接linux主机

telnet连接linux服务器 1.1 检查系统是否安装telnet服务 [root@localhost etc]# rpm -qa |grep telnet rpm –qa 查看软件是否安装 telnet-server-0.17-48.el6.x86_64 1.2 没有安装使用yum安装...

mp_peng
2017/11/26
0
0
Linux防火墙iptables学习笔记(一)

要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多数据包进入,离开,或者经过我们的计算机。 首先我们要弄明白,防火墙将怎么对待 这些数据包。这些数据包会经过一些...

露露露露张
2015/09/29
0
0
iptables 学习笔记一

防火墙,用于实现 Linux 下访问控制的功能; 3、4 层的防火墙,叫网络层防火墙; 7 层的防火墙,代理层防火墙; 对于 TCP/IP 的七层模型,第三层为网络层,三层的防火墙会在这层对源地址和目...

诸葛孔明亮
2016/08/03
3
0
HeartBeat高可用学习笔记

一、 heartbeat和KeepAlived一样都是服务器级别的,不是业务级别的。业务宕机不会切换,需要对业务做监控。 二、heartbeat消息类型: 1. 心跳消息 150字节左右,可以单播,多播和广播,控制心...

香胖
2015/11/21
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Ubuntu 安装ssh服务以及开启root用户ssh登录

一、安装ssh服务 安装ssh服务 sudo apt-get update sudo apt-get install openssh-server 安装完成后启动ssh服务 sudo service ssh start 二、开启root用户ssh登录 解决root远程ssh不能登录,...

15834278076
14分钟前
1
0
AndroidRX

1.延时并切换回主线程执行 Observable.just(true).delay(2, TimeUnit.SECONDS) .observeOn(AndroidSchedulers.mainThread()) .subscribe(new Consumer<Boolean>() { [@Override](https://my.......

我是菜鸟我骄傲
41分钟前
1
0
申请Let's Encrypt永久免费SSL证书

环境安装 1、安装git yum install git-core 2、安装python 系统自带 不用安装 只要版本大于2.7即可。 获取Let's Encrypt免费SSL证书 先停止nginx 在阿里云安全组里加入 443端口的入规则 git ...

HGMrWang
49分钟前
2
0
如何使用playframework进行更好的开发

1: 自定义基类Controller 相信刚开始使用Play的人写的Controller 都继承于 play.mvc.Controller , 但这并不是一个很好的选择,自建基类Controller可以扩展更多的功能。 1.1 验证功能。 后台...

tuerqidi
54分钟前
8
0
《JavaScript高级程序设计(第3版)》阅读笔记

第6章 面向对象的程序设计 6.2 创建对象 6.2.1 工厂模式 JavaScript创建对象(一)—— 工厂模式 6.2.2 构造函数模式 JavaScript创建对象(二)——构造函数模式 6.2.3 原型模式 JavaScript...

Bob2100
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部