netfilter&iptables探讨(3)——iptables的功能与实现

已于 2022-12-06 23:27:50 修改
阅读量664 收藏 1
点赞数
分类专栏: iptables/netfilter 网络数据处理 文章标签: linux 网络 运维
于 2022-08-26 00:13:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dillanzhou/article/details/126258351
版权

《netfilter&iptables探讨(1)——基本原理》中,我们介绍了iptables的基本原理以及它和netfilter的关系。本文将更具体的介绍iptables支持的主要功能和实现方式。

问题

  1. iptables中的表有几类?有什么区别?分别用于什么场景?
  2. 同一个表会在不同的链上被匹配,那么不同链上匹配的表规则是一样的吗?4表到底是4个表还是4类表?
  3. 表中的规则支持哪些匹配模式和匹配后的操作?
  4. 在同一个链/hook点上的多个表是如何匹配的?匹配的顺序是确定的吗?
  5. 表中的多条规则是如何匹配的?

iptables

在之前的文章中我们介绍了iptables只是netfilter机制的一个应用。但与其他netfilter应用不同的是,iptables是与netfilter同步设计的,它也是netfilter最重要、应用最广泛的一个应用。事实上,在内核中,iptables的部分实现是直接集成到协议栈实现中的,只要打开CONFIG_NETFILTER内核选项,协议栈的核心数据结构netns_ipv4/netns_ipv6中就会包括iptables的表结构iptable_filter等。因此,也可以把iptables当成是广义的netfilter的一部分。

iptables的功能逻辑很简单,维护了4个规则表,每个规则表都在若干个netfilter的hook点上注册了匹配函数。在这些匹配函数中,会让当前报文逐个匹配规则表中的规则,如果匹配上了规则中指定的条件,则按规则指定的处理方法来处理报文。

iptables的链

iptables规则按两个维度组织:链(chain)和表(table)。每条规则都要属于一个特定的链和一个特定的表。链决定了规则在协议栈的什么位置被匹配,或者说是哪些报文会被规则匹配。表决定了规则的用途和支持的操作类型。因此,规则所属的链、表和规则自身的匹配条件、匹配操作,共同定义了一条规则的作用。在某次匹配逻辑中访问的具体的规则列表,是由链和表都相同的规则组成的,和iptables中的表这个概念不是同一个东西。

iptables中的链有两种:内置的(built-in)和用户自定义的(user-defined)。内置的链有5个,分别是PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。结合之前对netfilter的介绍,我们知道这5个链其实就是在netfilter的5个hook点上会去匹配的规则。iptables规则的匹配入口实际上也只有这5个hook点/链,用户自定义的链只能由内置链上的规则匹配后跳转匹配,也就是一个报文匹配了内置链上的一个规则后,这个规则让报文再去匹配某个自定义链上的规则。如果自定义链上的规则未被匹配,会返回上一级链的规则表继续匹配。

iptables的表

iptables支持了4种规则表,分别是raw、mangle、nat、filter。每种规则被设计用来支持不同的网络功能,因此支持匹配的hook点位置也不同。每种规则都有自己的hook处理函数,因此当同一个hook点(链)上有多类规则表需要匹配时,会根据hook函数的优先级来决定表的匹配顺序,优先级取值越小的hook函数越早被执行。各个表的情况如下:

用途优先级
raw在其他表规则处理前匹配,可以对最原始(raw)的报文进行处理。一般用来处理一些不希望被其他规则(例如nat/conntrack)处理的报文。

PREROUTING

OUTPUT

-300
mangle用于对报文做一些首部修改或标记。例如可以修改特定报文的TTL等IP首部字段。或者对报文进行标记,这个标记不改变报文内容,但是在内核数据结构中做了记录,可以在其他表规则或内核其他处理逻辑中使用。

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

-150
nat用于NAT网络地址转换。

PREROUTING

INPUT

OUTPUT

POSTROUTING

-100(DST)

 100(SRC)

filter默认表。一般用于过滤特定的报文。

INPUT

FORWARD

OUTPUT

0

再借用一下之前的图:

可以看到,每个链上会匹配的规则表类型是不同的,每种表只会在部分链上被匹配。链上有多种规则表时,匹配的顺序为raw=>mangle=>nat(DST)=>filter=>nat(SRC)。

nat的逻辑比较复杂,不同方向的优先级是不一样的。每个hook点的处理逻辑也分为两部分,实现在两个hookfn中。整个nat有8个hookfn。nat规则的匹配还和conntrack(连接追踪)有紧密的联系,只有每个连接的首包才会匹配nat规则,其他包都会匹配conntrack表。nat相关的具体实现不在这里展开,以后再专门分析。

同一种表在不同链上匹配的规则是不同的,例如一条filter表规则如果指定了OUTPUT链,那么在匹配INPUT链的filter表时是不会匹配到这条规则的。

同一个表中的规则是按照顺序依次匹配的,添加规则时可以指定规则在表中的顺序。

iptables规则匹配模式

iptables规则中可以采用多种报文特征和协议字段来匹配报文,包括:

  • -s:源ip、源ip段。例如:-s 192.168.122.122;-s 192.168.0.0/16;! -s 192.168.1.1
  • -d:目的ip、目的ip段
  • -p:协议类型。例如:-p tcp;-p icmp
  • -i:报文输入网卡。例如:-i eth0
  • -o:报文输出网卡:例如:-o eth0

除了上述的基本匹配条件外,iptables还可以通过扩展模块来支持更多的匹配条件。使用这些扩展匹配条件时,需要首先用-m指定所属扩展模块的名称。部分常用扩展条件:

  • --sport:源端口(段),属于tcp或udp模块。例如:-m tcp --sport 22;-m udp --sport 100:200。如果规则已经用-p指定了协议类型,可以忽略与-p相同的-m参数。
  • --dport:目的端口(段)。如果需要指定多个不连续端口,需要multiport模块。例如:-p tcp -m multiport --dport 21,23,25
  • --tcp-flags:tcp标志位,属于tcp模块。例如:-p tcp --tcp-flags ALL SYN,ACK;-p tcp --syn

其他常用的扩展模块还有iprange(用于匹配ip地址段)、string(用于匹配报文内容字符串)、time(匹配时间)、connlimit(限制并发连接数)、limit(限制报文数)等。这些扩展模块都是在内核中实现的,使用时需要在内核中加载对应的内核模块。

除了在各个表中配置的规则外,每个链还会有一个兜底的默认策略,即报文没有匹配任何规则时,应该接收(ACCEPT)还是丢弃(DROP)。

一条规则中可以包含多个匹配条件,条件间默认是“与”的关系,即所有条件都满足时规则才被匹配。

iptables规则处理动作

如果报文匹配了一条iptables规则,就会被按照这条规则指定的动作处理。与规则匹配模式一样,规则支持的处理动作也分为基本动作和扩展动作,扩展动作也需要依赖扩展模块,但不需要指定模块名。

常用的报文处理动作包括:

  • ACCEPT:报文被接收,可以被协议栈继续处理。被ACCEPT的报文不再匹配当前规则表的其他规则,但还要继续匹配当前链上的其他表中的规则。
  • DROP:报文被丢弃,不再被协议栈继续处理
  • QUEUE:将报文加入队列交给用户态处理REJECT:报文被拒绝。拒绝是指不但将报文丢弃,还会回应一个icmp报文给发送端,通知目标不可访问。可以通过--reject-with选项指定回应的icmp报文类型,例如--reject-with icmp-host-unreachable,默认类型为icmp-port-unreachable。只在INPUT/FORWARD/OUTPUT链上有效。
  • RETURN:停止匹配当前链的规则,返回上一级链继续匹配下一条规则。如果当前链是用户自定义链,则返回到调用这个链的上一级链;如果当前链已经是内置链,则直接匹配链的兜底策略。RETURN也是自定义链的兜底策略,也就是说如果自定义链中的规则没能匹配报文,会回到上级链的规则表中继续匹配。
  • LOG:将报文信息记录到系统日志
  • REDIRECT:将报文转发给本机,具体操作是把报文的目的ip改成本机的IP。可以通过--to-ports修改目的端口,因此这个动作也经常用来做本地端口映射。这个动作只在nat表的PREROUTING/OUTPUT链规则上有效。
  • DNAT:目的地址转换,只在nat表的PREROUTING/OUTPUT链规则上有效。
  • SNAT:源地址转换,只在nat表的POSTROUTING链上有效
  • MASQUERADE:动态源地址转换,即根据网络配置自动选择源地址IP。只在nat表的POSTROUTING链上有效
  • NOTRACK:报文不被连接追踪(connection track)处理。只在raw表有效。
  • MARK:对报文打标,只在mangle表中有效。
  • 自定义链名:跳转到自定义链中继续匹配规则

iptables支持的扩展动作还有很多,可以参考iptables(8) - Linux man page的Target Extensions部分。

iptables命令基本用法

这里引用《8张图带你了解iptables的前世今生》中的一张图来说明iptables命令的基本参数,略作了修改。

 上图中列出了主要的iptables规则配置命令参数。其中使用-t参数指定规则表,-j指定规则动作,用前面介绍的-s/-d等参数来指定规则匹配模式。这里再介绍一下规则表操作命令相关参数。

  • -A:增加一条规则在表尾
  • -D:删除一条规则,可以用规则序号或规则具体配置来指定删除的规则
  • -I:插入一条规则在指定序号位置。默认插入在表头。
  • -R:替换指定序号位置的规则
  • -L:打印输出指定链上的所有规则,如果不指定链,则输出这个表在所有链的规则
  • -F:清空链上的所有规则,如果不指定链,则清空这个表在所有链的规则
  • -P:配置指定链的默认兜底策略,只有内置链可以配置

小结

本文介绍了iptables的基本概念、功能和用法。最后来看一下之前的几个问题:

  1. iptables中的表有4种,被设计用于实现不同的网络功能。因此每种表能被匹配的链是不同的,因为只有在特定链位置上才能实现这些功能。也因此不同的表上能执行的规则动作是不同的,一些动作只能在特定的表/链上才能使用。
  2. 同一类表在不同链上的规则是不同的,4表从内核中的实现数据结构来看确实是一个连续的数组,但从逻辑上看每个表在不同链上的规则是不同的,在特定链上只会匹配规则表数组中属于这个链的一段。因此可以说4表是4类表,而不是4个表。
  3. iptables规则支持的报文匹配模式有很多种,且可以扩展。支持的规则动作也很多,不同的表上可以执行的动作不同。
  4. 同一个链上的多个表是按表的优先级来依次匹配的,顺序基本上是raw=>mangle=>nat=>filter。
  5. 表中的规则是有顺序和序号的,匹配到特定链上的特定表时,会依次顺序匹配其中的规则。
dillanzhou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables 和 Netfilter 架构深入解析
rubys_的专栏
02-04 1336
防火墙是一种重要的工具,可以配置来保护您的服务器和基础设施。在 Linux 生态系统中,iptables是一个广泛使用的防火墙工具,它与内核的netfilter数据包过滤框架配合工作。由于复杂的语法和涉及的相关部分数量众多,创建可靠的防火墙策略可能令人望而生畏。在本指南中,我们将深入探讨iptables架构,旨在使其更易于理解,以便需要构建自己防火墙策略的用户。我们将讨论iptables如何与netfilter交互,以及各个组件如何结合在一起,提供全面的过滤系统。还有一类特殊的非终止目标:跳转目标。
深入理解 netfilteriptables
qq_40989769的博客
02-07 718
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernetes 的 Service 转发都是通过 iptables实现的。关于 netfilter 的介绍文章大部分只描述了抽象的概念,实际上其内核代码的基本实现不算复杂,本文主要参考 Linux 内核 2.6 版本代码(早期版本较为简单),与最新的 5.x 版本在实现上可能有较大差异,但基本设计变化不大,不影响理解其原理。
Linux防火墙之iptables(一)
最新发布
lxplxplike的博客
05-22 594
防火墙 iptables
(一)洞悉linux下的Netfilter&iptables:什么是Netfilter
01-23 914
本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了。趁有时间,好好把这方面的东西总结一番。一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步。     能在CU上混的人绝非等闲之辈。因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter实现机制,原理和设计思想层面的东西,同时从用户态的iptables内核
【博客524】iptables nat的实现根基:conntrack
qq_43684922的博客
10-16 1952
conntrack 是 Linux 下的一个内核模块,这个名字是 connection track 的缩写, 顾名思义,这个模块就是用来做连接跟踪的。然而这里的链接需要同 TCP 协议中的连接区分开来, 它指的是通信的两个端点之间用于传输数据的连接, 因此它不止可以用来跟踪 TCP 的连接,还可以跟踪 UDP、ICMP 协议保报文这样”连接“。conntrack实现跟踪的原理是conntrack 维护一张连接表(conntrack table)。
netfilter_queue 总结
weixin_43745072的博客
11-24 2883
转载请注明出处 函数部分 nfq_open():打开一个nfqueue的句柄。 struct nfq_handle *nfq_open(void); 参数 return:生成的句柄 nfq_close():关闭nfq_open()创建的句柄。 int nfq_close(struct nfq_handle *h); 参数 h:nfq_open()创建的句柄 return: 0 成功,非0失败 nfq_unbind_pf() 将给定队列连接句柄与处理中的属于某个特定协议家族的数据包
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
洞悉linux下的Netfilter&iptables;整理
08-27
洞悉linux下的Netfilter&iptables; 内核中的ip_tables小觑、内核中的rule,match和target、包过滤子系统iptable_filter、如何理解连接跟踪机制、状态防火墙、DNAT、SNAT、iptables命令行工具源码解析
洞悉linux下的netfilter&iptables
07-06
洞悉linux下的netfilter&iptables, 根据博客整理而成
Linux netfilter/iptables知识点详解
09-14
在本篇文章里小编给大家整理的是关于Linux netfilter/iptables知识点详解,有兴趣的朋友们可以参考下。
Linux-Netfilter&iptables实现机制的分析及应用.pdf
08-04
Linux-Netfilter&iptables实现机制的分析及应用.pdf
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1266
Netfilter是什么? NetfilterLinux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 NetfilterLinux的关系 NetfilterLinux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter功能,到后期的...
netfilter/iptables简介
weixin_44260459的博客
11-22 256
netfilteriptables是什么关系?常说的iptables里面的表(table)、链(chain)、规则(rule)都是什么东西?本篇将带着这些疑问介绍netfilter/iptables的结构和相关概念,帮助有需要的同学更好的理解netfilter/iptables,为进一步学习使用iptables做准备。 什么是netfilteriptables 用通俗点的话来讲: netfilter指整个项目,不然官网就不会叫www.netfilter.org了。 在这个项目里面,n
netfilteriptables表的实现
王以山的专栏
09-13 1062
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn1. 前言 iptables所制定的规则都是和内核中netfilter内的“表(table)”相联系的,缺省情况系统中已经自带了3个表:
linux iptables实现
godleading的专栏
02-26 5640
Xtables提供的资源   struct  xt_af  xt[]结构数组 该数组用于挂载各个协议的match和target资源。由于写者(添加、删除)和读者(查找)都是在内核空间进程上下文执行,所以它们只需要用xt[n].mutex信号量进行互斥。读者(查找)在将规则关联上一个match或target时会增加它们所在模块的引用计数,在它释放这个引用计数之前该模块是不会被卸载的,所
四种NAT的iptables实现
乖乖的专栏
01-05 5347
IPtabels被认为是Linux实现包过滤功能的第四代应用程序。iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文讲述的是四种NAT的iptables实现。 四种NAT的iptables实现: 1. Full Cone NAT:所有来自同一个内部Tuple X的请求均被NAT转换至同一个
TCP实现之:iptables原理
qq_17045267的博客
06-16 493
TCP实现之:iptables原理 一、前言 提到防火墙,大家都不陌生。防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。通俗的讲,防火墙就是计算机操作系统中的一种对网络报文进行监控、筛选和过滤以达到保护操作系统免受攻击的机制。 防火墙常用的功能包括以下几点: 包过滤功能。包过滤指的是防火墙对进入(入站)或者发出(出站)的网络数据包按照预先定义好的规则进行过滤,对于不符合规则的包进行丢弃等操作,这
iptables实现路由转发
hcancientmoon的专栏
10-16 1万+
使用linuxiptables
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
netfilteriptables的区别
06-13
NetfilterLinux内核中的一个框架,主要用于网络数据包的处理和过滤。而iptables是基于Netfilter框架的一个用户空间的工具,用于配置和控制Linux内核中的Netfilter子系统。 简单来说,Netfilter是一个内核层面的框架,提供了对网络数据包的处理和过滤的功能,而iptables是基于Netfilter框架的用户空间工具,提供了方便的配置和管理Netfilter规则的功能。 因此,iptables是Netfilter的一部分,它使用Netfilter提供的功能实现网络数据包的过滤、转发和重定向等操作。而Netfilter则是一个更加底层的框架,它提供了更加灵活和强大的网络数据包处理和过滤能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值