Linux 2.4 Packet Filtering HOWTO 简体中文版(1)

Linux 2.4 Packet Filtering HOWTO 简体中文版

Rusty Russell, mailing list netfilter@lists.samba.org
$Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $
简体中文：洋鬼鬼·NetSnake
感谢 网中人netmanforever@yahoo.com 提供的繁体参照
此文档描述在Linux2.4 内核中，如何使用iptables过滤不正确的包
（译者：Packet在很多专业书籍中译为分组，此处根据大部分人的习惯，仍译为包）

1. 简介

2. 官方站点及邮件列表

3. 那么，什么是Packet Filter？

3.1 我为什么需要Packet Filter？

3.2 如何在Linux下进行包过滤？

3.2.1 iptables

3.2.2 创建永久性规则

4. 你算老几，凭什么玩弄我的内核？

5. Rusty的真正的包过滤快速指南

6. 包是如何穿过过滤器的

7. 使用iptables

7.1 当计算机启动后你会看到的

7.2 对单个规则的操作

7.3 过滤规格

7.3.1 指定源和目的IP地址

7.3.2 反向指定

7.3.3 协议指定

7.3.4 接口指定

7.3.5 分片指定

7.3.6 iptables扩展：新的匹配

7.3.6.1 TCP 扩展

7.3.6.1.1 TCP标志的解释

7.3.6.2 UDP 扩展

7.3.6.3 ICMP扩展

7.3.6.4 其他匹配的扩展

7.3.6.5 状态匹配

7.4 目标规格

7.4.1 用户定义链

7.4.2 iptables扩展：新目标

7.4.3 特殊的内建目标

7.5 对整个链进行操作

7.5.1 创建新链

7.5.2 删除链

7.5.3 清空一个链

7.5.4 对链进行列表

7.5.5 重置（清零）计数器

7.5.6 设置原则（默认规则）

8. 使用ipchains和ipfwadm

9. NAT和包过滤的混合使用

10. iptables和ipchains之间的差别

11. 对制定包过滤器的建议

1. 简介

欢迎，亲爱的读者。

这篇文章假设你知道有关IP地址、网络地址、网络掩码、选路和DNS。如果不知道，我建议你先阅读网络概念的HowTo（Network Concepts HOWTO）。

这篇HOWTO并非一个简要的介绍（会让你发热、发毛，没有安全感），也非一个完全的原始的披露（最吃苦耐劳的人也会被搅晕，不过必定会有所斩获）。

你的网络并不安全。问题在于，必须获取快速、简洁的通讯，但又必须限于良好的、无恶意的行为，就如同在嘈杂的大戏院里，你可以高谈阔论，但是绝不能大喊：着火了！。这篇HOWTO不能解决这种问题。

（译者：所有安全都只是相对的，否则根本不会产生这种东西了）

因此，你只能决定在哪方面妥协。我想帮助你使用一些可用的工具和一些通常需要注意的漏洞，希望你将它们用在好的一面，而不是出于恶意的目的 -- 另一个同样重要的问题。

(C) 2000 Paul `Rusty' Russell. Licenced under the GNU GPL.

2、 官方站点及邮件列表位置

这里有三个官方站点： o Thanks to Filewatcher http://netfilter.filewatcher.org. o Thanks to The Samba Team and SGI http://netfilter.samba.org. o Thanks to Harald Welte http://netfilter.gnumonks.org. 你可以通过以下站点访问全部相关站点。 http://www.netfilter.org and http://www.iptables.org 以下是netfilter官方邮件列表 http://www.netfilter.org/contact.html#list.

3.那么，什么是包过滤器？

包过滤器是这样一种软件：它检查通过的每个包的头部，然后决定如何处置它们。可以这样对待它们：丢弃（也就是说，如果这个包从未被接受，那么丢弃它），通过（也就是说，让包通过），或者更复杂的（操作）。

Linux下，包过滤内建在内核中（内核模块，或者内建），而且我们还有处理包的一些技巧，不过检查头部和处理包的一般性原则仍在这里。

3.1 我为何要包过滤？

控制、安全、警戒。

控制：

当你用你的Linux服务器把你的内部网和另一个网络（就是Internet吧）连起来，你可以决定哪些通信是允许的，哪些不允许。例如，包头部包含了包的目标地址，你可以阻碍包发送到（你）确定的几个外部网络，另一个例子，我用NetScape连接到Dilbert archives。页面上有来自doubleclick.net的广告，然后NetScape浪费了我的时间愉快的下载他们。 告诉包过滤器禁止任何来自或者发往doubleclick.net地址的包，问题就解决了。（当然有更好的办法，见Junkbuster）。

安全：

当Linux服务器是混乱的Internet和你良好的、有序的网络之间唯一的东西时， 你最好能知道哪些东西可以进入你的大门。例如，你可以允许所有（包）从你的网络 发出，不过你可能会为来自外部的著名的“Ping of Death”而焦急。另一个例子，你不希望 外人telnet到你的Linux服务器，尽管所有账户都有密码。或许你只想（像绝大多数人）成为 Internet的旁观者，而非它的服务器（也可能愿意是吧）。简单的不允许任何人接入，设置 包过滤器拒绝所有进入的包（是不错的办法）。

警戒：

有时，本地网络上错误配置的机器可能会向外部喷射出大量的包。最好是当（网络中）出现任何不正常现象时，让包过滤器告诉你。这样你可能可以做点什么，或者你天生就很好奇。

3.2 如何在Linux下进行包过滤？

Linux内核在其1.1系列中就有了包过滤功能。第一代，由Alan Cox 1994年移植于BSD的ipfw。这在Linux 2.0中由Jos Vos和其他人进行了加强；用户空间工具'ipfwadm'可用来控制内核过滤规则。1998年中，我在Michael Neuling的帮助下，为Linux 2.2进行了重写，推出了用户空间工具'ipchains'。最后，1999年中，基于Linux 2.4的第四代工具，'iptables'，和其他内核的改写正式推出。这就是这个iptables的HOWTO文档的所在。

译者：userspace根据台湾同胞的说法，是用来区别系统内存中的适用范围的，分为核心空间和使用者空间，不必深究）

你需要包含netfilter架构的内核。netfilter是Linux中的一个通用框架，也可以插入（plug in）其他内容（如iptables模块）。也就是说你需要2.3.15及以后版本，而且在配置内核时对CONFIG_NETFILTER回答'Y'。

iptables这个工具用来和内核交互并告诉它哪些包应该过滤。除非你是程序员或者 特别好奇，否则这就是你用来控制包过滤的了。

3.2.1. iptables

iptables工具向内核的包过滤表中插入和删除规则。这就意味着无论怎样设置，启动后信息都会丢失；请参看“制定永久性规则”（Making Rules Permanent）来确定如何保证下次启动这些规则能被恢复。

iptables是ipfwadm和ipchains的替代品。如果你是它们的使用者，请参看 “使用ipchains和ipfwadm”，如何轻松使用iptables。

3.2.2 创建永久性规则

你当前的防火墙设置保存在内核中，所以重启后就会丢失。你可以试着用iptables-save和iptables-restore脚本来保存他们，并由一个文件恢复。

4. 你算老几，凭什么玩弄我的内核？

我是Rusty Russell。Linux IP防火墙的维护者，也是一个适当的时候出现在适当的地方的coder。我写了ipchains（参见“如何在Linux下进行包过滤？”看看实际的工作其实由哪些人完成），并希望能学到足够的东西修正这次的包过滤。

WatchGuard，一个非常出色的防火墙公司，总之一堆广告，此处省略一千字……

在此，我想澄清一个误解：我不是内核专家，我了解它，是因为我的核心工作让我接触了他们：David S. Miller, Alexey Kuznetsov, Andi Kleen, Alan Cox。无论如何，他们做了最深层的工作，轮到我时，已经非常安全和容易了。

5. Rusty的真正的包过滤快速指南

绝大部分人只有一个PPP连接到Internet，而且不希望有人由此进入他们的网络或者防火墙：

# 插入connection-tracking模块（如国内建在内核中就不需要）

# insmod ip_conntrack

# insmod ip_conntrack_ftp

# 对创建大量新的连接创建一个链，除非这些连接来自内部。

# iptables -N block

# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

# iptables -A block -j DROP

# 由INPUT和FORWARD链跳往（刚刚创建的）那条链。

# iptables -A INPUT -j block

# iptables -A FORWARD -j block

6. 包是如何穿过过滤器的

内核由'filter'表中的以下三个规则开始。这些被称为防火墙链或就叫链。这三个链分别是 INPUT、OUTPUT和FORWARD。

对于ASCII艺术迷来说，链好象这样：（注意：这与2.0和2.2内核非常不同）

译者：ASCII艺术，这里指的是利用纯ASCII文本作图

_____ Incoming / / Outgoing -->[Routing ]--->|FORWARD|-------> [Decision] /_____/ ^ | | v ____ ___ / / / / |OUTPUT| |INPUT| /____/ /___/ ^ | | ----> Local Process ----

三个圈代表上面说的三个链。当包到达图中的一个圈，那个链就检查并确定包的命运。 如果链决定DROP包，包在那里就被杀死。但是如果链决定让包ACCEPT，包就继续在图中前进。

一个链是规则的列表。每个规则都会说：'如果包头看上去像这个的话，那么就这样处理'。 如果规则和包不匹配，由链中的下一个规则处理。最后，如果再也没有要进行处理的规则了， 内核就根据链的原则（policy，有时称为默认规则）来决定应当如何做。在一个注重安全的 系统中，原则通常是让内核丢弃这个包。

1. 当一个包进入时（就是由以太网卡），内核首先检查包的目的地。这被称作“选路”。

2. 如果它就是进入本机的，包会向图中的下方移动，到达INPUT链。如果到了这里，任何等待这个包的进程都会收到它。

3. 否则，如果内核未被允许转发，或者不知道该如何转发这个包，它会被丢弃。如果允许转发，而且包的目的地是另一个网络接口（如果你有另一个的话），那么包向我们图中的右边行进，到达FORWARD链。如果允许通过（ACCEPT），它就被送了出去。

4. 最后，服务器上运行的程序可以发送网络包。这些包马上通过OUTPUT链。如果被允（ACCEPT），那么包继续向可以到达它的目的地的网络接口发送。

7. 使用iptables

iptables有着非常详尽的使用手册(man iptables)，而且如果你需要某个选项更详细的介绍。看看“iptables和ipchains的差别”可能对你非常有用。

使用iptables你可以做很多不同的事。开始的内建的三个链INPUT、OUTPUT和FORWARD是不能被删除的。让我们看看整个链的管理。

1. 创建一个新的链 (-N)。

2. 删除一个空链(-X)。

3.修改内建链的原则(-P)。

4. 显示链中的规则（表）(-L)。

5. 清空一个链(-F)。

6. 将链中所有规则的包和字节计数器清零(-Z)。

有几种办法操作链中的规则：

1. 向链中添加一条新规则(-A)。

2. 在链中某个位置插入一条新规则(-I)。

3. 替换某个位置的规则(-R)。

4. 删除链中某个位置的规则，或者是第一个被匹配的。(-D)。

7.1. 当计算机启动后你会看到的

ptables可以作为模块，称为'iptables_filter.o，可以在第一次运行iptables时自动被装载。也可以永久性的编到内核中。

在所有iptables命令执行之前（当心：某些发布版会在初始化脚本中运行iptables），所有内建链中都没有任何规则（'INPUT'、'FORWARD'和'OUTPUT')，所有链的原则都是ACCEPT。你可以在装载iptable_filter模块时，提供'forward=0'选项来修改FORWARD的默认原则。

7.2. 对单个规则的操作

这是基本的包过滤：管理规则，添加(-A)和删除(-D)命令可能是最常用的。其他的(-I插入和-R替换）只是简单的扩展而已。

每个规则都有一组条件来匹配包，和如果匹配了该如何做（target）。例如，你可能希望丢弃所有来自127.0.0.1的ICMP包。这样我们的条件就是协议必须是ICMP，而且源地址必须是127.0.0.1，我们的目标是丢弃(DROP)。127.0.0.1是一个回送接口，即使你没有真正的网络连接它也会存在。你可以用ping程序生成这样的包（它简单的发送ICMP 类型8（echo request），所有愿意响应的主机都会用ICMP 类型0（echo reply）来响应）。这对于测试非常有用。

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max = 0.2/0.2/0.2 ms

# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss

这里，第一个ping是成功的（'-c 1'告诉ping只发送一个包）

然后我们可以向'INPUT'链中添加（-A）一个规则，制定来自127.0.0.1('-s 127.0.0.1')的ICMP协议('-p icmp')包都将被丢弃('-j DROP')。

然后我们测试我们的规则，用第二个ping。在程序放弃等待永远不可能的响应之前，会暂停一下。

我们可以用两种办法中的任一种删除规则。首先，因为知道这是INPUT链中唯一的规则，我们用编号删除：

# iptables -D INPUT 1

删除INPUT链中的编号为1的规则

第二种办法是 -A 命令的映射，不过用-D替换-A。当你的链中规则很复杂，而你不想计算它们的编号的时候这就十分有用了。这样的话，我们可以使用：

# iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP

-D的语法必须和-A（或者-I或者-R）一样精确。如果链中有多个相同的规则，只会删除第一个。

7.3 过滤规格

我们已经看了，用'-p'指定协议，用'-s'指定源地址，不过还有其他选项我们可以用来指定包的特征。下面是一个详细的手册。

7.3.1 指定源和目的IP地址

源（'-s'，'--source'或'--src'）和目的（'-d'，'--destination'或'--dst'）IP地址可以用四种办法指定。最常用的方法是使用全名，就像'localhost'或者'www.linuxhq.com'。第二种办法是指定IP地址，如'127.0.0.1'。

第三和第四种办法允许指定一组IP地址，就像'199.95.207.0/24'或者'199.95.207.0/255.255.255.0'。这指定了从199.95.207.0到199.95.207.255范围内的所有IP地址。'/'后面的数字说明哪部分IP地址是有效的。'32'或者'255.255.255.255‘为默认的（匹配整个IP地址）。用'/0'来指定任何IP地址，像这样：

# '-s 0/0'在这里是多余的

# iptables -A INPUT -s 0/0 -j DROP

这很少用到，这和上面出现过的不指定'-s'结果完全一样。

7.3.2 反向指定

很多标记，包括'-s'（或'--source'）和'-d'（'--destination'）标记可以在前面加上'!'标志（读作'not'），来匹配所有和给出的 NOT 的地址。例如， '-s ! localhost'匹配所有不是来自本机的包。

7.3.3 协议指定

可以用'-p'（或'--protocol'）指定协议。协议可以是数字（如果你知道IP的协议数值）或者像'TCP'、'UDP'或者'ICMP'这类的名称。大小写无所谓，所以'tcp'和'TCP'一样。

协议名称前可加上'!'，以反向解释它，例如'-p ! TCP'将匹配所有不是TCP的包。

7.3.4 接口指定

'-i'（或'--in-interface'）和'-o'（或'--out-interface'）选项指定匹配的接口名。接口可以是包进入的('-i')或者送出('-o')的物理设备。你可以用ifconfig命令列出当前'up'的接口。（也就是说正在工作的）。

通过INPUT链的包不会有送出接口，所以在这个链中'-o'永远不会匹配。同样，通过OUTPUT链的包也没有进入接口，这个链中的'-i'也不会被匹配。

只有通过FORWARD链的包才有进入和送出两个接口。

可以指定一个当前不存在的接口。在这个接口可用之前，规则不能匹配任何东西。这对于拨号PPP连接及类似的非常有用（通常是ppp0接口）。

一个特殊情况，接口名后面是一个'+'，那就会匹配以这个字符串开头的所有接口（无论当前是否存在）。例如，指定一个匹配所有ppp接口的规则，要用到-i ppp+选项。

接口名也可以在前面插入 '!'，来匹配所有与指定接口不同的包，如-i ! ppp+。