目录
Linux包过滤防火墙概述
在Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如web 网站、电子邮件系统、FTP服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?这就用到了Linux防火墙。
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
iptables
位于/sbin/iptables,用来管理防火墙规则的工具
称为Linux防火墙的“用户态”
——上述2种称呼都可以表示Linux防火墙
包过滤的工作层次
主要是网络层,针对IP数据包
体现在对包内的IP地址、端口等信息的处理上
iptables的表、链结构
规则的作用:
对数据包进行过滤或处理
链的作用:
容纳各种防火墙规则
链的分类依据:
处理数据包的不同时机
默认包括5种规则链
INPUT:
处理入站数据包
OUTPUT:
处理出站数据包
FORWARD:
处理转发数据包
POSTROUTING链:
在进行路由选择后处理数据包
PREROUTING链:
在进行路由选择前处理数据包
iptables概述
-netfilter/iptables: IP信息包过滤系统,它实际上由两个组件 netfilter和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
-netfilter和iptables关系:
(1)netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。Linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,netfilter是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集
(2)iptables:属于"用户态"(User Space,又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易通常位于/sbin/iptables目录下。
(3)netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、nat和filter
四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
iptables的四表五链结构介绍
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链
四表五链
规则表的作用:容纳各种规则链;表的划分依据:防火墙规则的作用相似
规则链的作用:容纳各种防火墙规则;规则的作用:对数据包进行过滤或处理;
链的分类依据:处理数据包的不同时机
总结:表里有链,链里有规则
四表:
raw表:
主要用来决定是否对数据包进行状态跟踪,包含两个规则链,OUTPUT、PREROUTING
mangle表:
修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat表:
负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
filter表:
负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链,即INPUT、FORWARD、OUTPUT
注:在iptables 的四个规则表中,mangle 表和raw表的应用相对较少
五链:
INPUT:
处理入站数据包,匹配目标IP为本机的数据包。
OUTPUT:
处理出站数据包,一般不在此链上做配置。
FORWARD:
处理转发数据包,匹配流经本机的数据包。
PREROUTING链:
在进行路由选择前处理数据包,用来修改目的地址,用来做DNAr。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING链:
在进行路由选择后处理数据包,用来修改源地址,用来做SNAr。相当于内网通过路由器NAr转换功能实现内网主机通过一个公网IP地址上网。