iptables研究

最新推荐文章于 2023-01-02 22:05:08 发布
最新推荐文章于 2023-01-02 22:05:08 发布
阅读量164 收藏 1
点赞数
分类专栏: 网络编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010833547/article/details/110261359
版权

#iptables研究

iptables是基于内核模块netfilter的hook函数实现的一个用户态接口程序。

iptables有5个表,其中最常用的有3个分别是 (就像netty,表就好比有5个channel,链就好比每个channel都有读写handler方法够成的Pipeline, 规则就好handler. 也是一样可以交织成一个路由过滤网络)

filter过滤, nat地址转换, mangle修改

每个表都表示一个namespace,它所关注的链都不一样,就好比他们侧重的领域不一样
filter只能操作 input,output,forward (默认表)
nat关注 preroutine, postroutine, output
mangle 可以操作所有链

链就是类似 设计模式中的责任链模式。每一个节点都有2个属性,匹配的规则和-j跳转策略,所有规则命中才会触发跳转策略。

从程序的运行的角度来看

节点就好像一个if判断代码块,-j跳转策略就好像 以contine命令和break命令或者goto命令或者return命令结束的业务代码块,每一个链就一个带有数组迭代器变量的函数,


void chain() {

	for(record : linkedlist ) {
		if(匹配规则) {
			// 这里调用其他-j到自定义链就是嵌套调用了
			策略代码或者其他chain()
		   contine/break/return
		}
	}
}

用户可以通过iptables对链表的节点进行增删查改。

我们常用的

  • ACCEPT 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则炼(nat:postrouting)goto;
  • REJECT 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。 范例如下:return;

iptables -A FORWARD -p TCP ——dport 22 -j REJECT ——reject-with tcp-reset

  • DROP 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。break;
  • REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。 这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如:

iptables -t nat -A PREROUTING -p tcp ——dport 80 -j REDIRECT ——to-ports 8080

  • MASQUERADE 改写封包来source IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则炼(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE ——to-ports 1024-31000

  • LOG 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则。例如:

iptables -A INPUT -p tcp -j LOG ——log-prefix “INPUT packets”

  • SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:

iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT ——to-source 194.236.50.155-194.236.50.160:1024-32000

  • DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则炼(filter:input 或 filter:forward)。范例如下:

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 ——dport 80 -j DNAT ——to-destination 192.168.1.1-192.168.1.10:80-100

  • MIRROR 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。(跟 REJECT 很像)

  • QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用……等。

  • RETURN 结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。

  • MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:

iptables -t mangle -A PREROUTING -p tcp ——dport 22 -j MARK ——set-mark 2

引用 http://arthurchiao.art/blog/deep-dive-into-iptables-and-netfilter-arch-zh/

总结

上面这些都是一些比较细碎的知识点和笔记,之后进一步梳理各个功能点的设计意图以及用法,尤其是关于【链接状态跟踪】以及【各个表的链怎么流转(流转的先后顺序)以及意图】

liangdu_Zuker
关注
专栏目录
论文研究-iptables防火墙技术研究及实现 .pdf
08-21
iptables防火墙技术研究及实现,丁健,杨建良,计算机网络的迅速发展给人类社会带来了前所未有的飞跃,极大的提高了工作效率,丰富了人们的精神生活,而与此同时也带来了一个日
利用Netfilter /iptables抗御 SYN Flood攻击方法研究 (2007年)
04-27
首先介绍 Linux环境下 SYN Flood攻击 的检测方法和防范手段,重点分析基于 Netfilter/iptables的动态包过滤机制抗御 SYN Flood攻击的 原理,然后提出一种iptables与入侵检测系统( IDS)的集成解决方案,采用文件作为数据...
iptables中的return
wsclinux的专栏
11-21 1万+
1. 从一个CHAIN里可以jump到另一个CHAIN, jump到的那个CHAIN是子CHAIN. 2. 从子CHAIN return后,回到触发jump的那条规则,从那条规则的下一条继续匹配. 3. 如果return不是在子CHAIN里,而是在main CHAIN,那么就以默认规则进行.
iptables - RETURN目标
最新发布
to_be_better_wen的博客
01-02 4508
iptables RETURN
iptables中的return【转】
Uaena的博客
02-17 3985
(转自:https://blog.csdn.net/wsclinux/article/details/53256494) 1.从一个CHAIN里可以jump到另一个CHAIN,jump到的那个CHAIN是子CHAIN. 2.从子CHAINreturn后,回到触发jump的那条规则,从那条规则的下一条继续匹配. 3.如果return不是在子CHAIN里,而是在mainCHAIN,那么就...
iptables操作
dap769815768的博客
03-28 478
系统:Ubuntu 20.04 iptables生效的顺序:排在前面的会覆盖掉后面的。比如先增加一条REJECT规则,又增加了一个ACCEPT规则,如果这两个规则是对同一个条件设置的,那么后者会覆盖前者。 1.给filter表增加一条drop规则: # -t表示table,默认是filter表,因此这里可以省略掉-t这个参数 # -A表示Add,-j表示操作类型,-p表示协议,--dport表示目的端口 # 如果本地收到一个tcp数据包,数据包的访问端口是8081的话,那么直接丢弃掉 iptable
Iptables中文手册
软体疯子专栏
09-27 772
NAMEiptables - IP包过滤器管理总览iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改]iptables - RIiptables -D chain rule num[option]iptables -LFZ 链名 [选项]iptables -[NX] 指定链iptables -P chain target[o
Linux中Netfilter_iptables研究与应用.pdf
09-06
Linux中Netfilter_iptables研究与应用.pdf
Linux-iptables防火墙的分布式策略应用研究.pdf
08-11
#资源达人分享计划#
Iptables 中文指南
07-23
序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文中出现的术语 2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 2.3. 编译与安装 2.3.1. 编译 2.3.2. 在Red Hat 7.1上安装 3. 表和链 3.1. 概述 3.2. mangle 表 3.3. nat 表 3.4. Filter 表 4. 状态机制 4.1. 概述 4.2. conntrack记录 4.3. 数据包在用户空间的状态 4.4. TCP 连接 4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. 基础 6.2. Tables 6.3. Commands 6.4. Matches 6.4.1. 通用匹配 6.4.2. 隐含匹配 6.4.3. 显式匹配 6.4.4. 针对非正常包的匹配 6.5. Targets/Jumps 6.5.1. ACCEPT target 6.5.2. DNAT target 6.5.3. DROP target 6.5.4. LOG target 6.5.5. MARK target 6.5.6. MASQUERADE target 6.5.7. MIRROR target 6.5.8. QUEUE target 6.5.9. REDIRECT target 6.5.10. REJECT target 6.5.11. RETURN target 6.5.12. SNAT target 6.5.13. TOS target 6.5.14. TTL target 6.5.15. ULOG target 7. 防火墙配置实例 rc.firewall 7.1. 关于rc.firewall 7.2. rc.firewall详解 7.2.1. 参数配置 7.2.2. 外部模块的装载 7.2.3. proc的设置 7.2.4. 规则位置的优化 7.2.5. 缺省策略的设置 7.2.6. 自定义链的设置 7.2.7. INPUT链 7.2.8. FORWARD链 7.2.9. OUTPUT链 7.2.10. PREROUTING链 7.2.11. POSTROUTING链 8. 例子简介 8.1. rc.firewall.txt脚本的结构 8.1.1. 脚本结构 8.2. rc.firewall.txt 8.3. rc.DMZ.firewall.txt 8.4. rc.DHCP.firewall.txt 8.5. rc.UTIN.firewall.txt 8.6. rc.test-iptables.txt 8.7. rc.flush-iptables.txt 8.8. Limit-match.txt 8.9. Pid-owner.txt 8.10. Sid-owner.txt 8.11. Ttl-inc.txt 8.12. Iptables-save ruleset A. 常用命令详解 A.1. 查看当前规则集的命令 A.2. 修正和清空iptables的命令 B. 常见问题于与解答 B.1. 模块装载问题 B.2. 未设置SYN的NEW状态包 B.3. NEW状态的SYN/ACK包 B.4. 使用私有IP地址的ISP B.5. 放行DHCP数据 B.6. 关于mIRC DCC的问题 C. ICMP类型 D. 其他资源和链接 E. 鸣谢 F. History G. GNU Free Documentation License 0. PREAMBLE 1. APPLICABILITY AND DEFINITIONS 2. VERBATIM COPYING 3. COPYING IN QUANTITY 4. MODIFICATIONS 5. COMBINING DOCUMENTS 6. COLLECTIONS OF DOCUMENTS 7. AGGREGATION WITH INDEPENDENT WORKS 8. TRANSLATION 9. TERMINATION 10. FUTURE REVISIONS OF THIS LICENSE How to use this License for your documents H. GNU General Public License 0. Preamble 1. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 2. How to Apply These Terms to Your New Programs I. 示例脚本的代码 I.1. rc.firewall脚本代码 I.2. rc.DMZ.firewall脚本代码 I.3. rc.UTIN.firewall脚本代码 I.4. rc.DHCP.firewall脚本代码 I.5. rc.flush-iptables脚本代码 I.6. rc.test-iptables脚本代码 List of Tables 3-1. 以本地为目标(就是我们自己的机子了)的包 3-2. 以本地为源的包 3-3. 被转发的包 4-1. 数据包在用户空间的状态 4-2. 内部状态 6-1. Tables 6-2. Commands 6-3. Options 6-4. Generic matches 6-5. TCP matches 6-6. UDP matches 6-7. ICMP matches 6-8. Limit match options 6-9. MAC match options 6-10. Mark match options 6-11. Multiport match options 6-12. Owner match options 6-13. State matches 6-14. TOS matches 6-15. TTL matches 6-16. DNAT target 6-17. LOG target options 6-18. MARK target options 6-19. MASQUERADE target 6-20. REDIRECT target 6-21. REJECT target 6-22. SNAT target 6-23. TOS target 6-24. TTL target 6-25. ULOG target C-1. ICMP类型
iptables详解
weixin_34362790的博客
02-04 175
iptables详解基本概念:1.防火墙工作在主机边缘:对于进出本网络或者本主机的数据报文,根据事先设定好的检查规则对其检查,对形迹可疑的报文一律按照事先定义好的处理机制做出相应处理对linux而言tcp/ip协议栈是在内核当中,意味着报文的处理是在内核中处理的,也就是说防火墙必须在工作在内核中,防火墙必须在内核中完成tcp/ip报文所流进的位置,用规则去检查,才真正能工作起来。iptables用...
【开发运维手牵手】「Linux篇」iptables用法详解和典型配置举例
逗老师的博客
07-05 428
留坑占位
Linux学习整理-网络防火墙iptables-实践篇2
weixin_45776100的博客
02-03 1660
iptables的match和target简单使用说明和实验
IPTables简介四——目标(动作)
weixin_34067049的博客
03-17 354
四、目标(targets and jumps) 就是告诉IPTables某条规则匹配以后进行什么动作。可以进行的动作有两类,第一类是进行IPTables定义的动作(target),还有一种就是调用另外一条用户自定义的链。例如: IPTables -N July_filter //创建一条自定义的链 IPTab...
iptables(三)iptables命令详解
wzj_110的博客
09-30 3万+
一 语法规则 iptables [-t table] COMMAND [chain] CONDITION -j ACTION -t table 是指'操作的表',filter、nat、mangle或raw,'默认使用filter' COMMAND '子命令',定义'对规则的管理' chain 指明'链路' CONDITION 匹配的'条件或标准' ACTION 匹配后'操作动作' 二 相关命令的讲解 '以下内容来自' --> 'man ipt...
iptables深入解析-mangle
weixin_34107739的博客
08-08 2291
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Linux Iptables防火墙策略构建详解
通过深入研究Iptables,本文希望能为读者提供一个实用且易理解的Linux防火墙策略构建指南,帮助读者在实际环境中有效应用和管理这一关键技术工具。" 这篇论文深入剖析了Linux环境下的Iptables防火墙技术,不仅介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值