Linux防火墙之iptables基础

通过为防火墙提供有关对来自某个源&＃xff0c;到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令iptables建立这些规则&＃xff0c;并将其添加到内核空间的特定信息包过滤表内的链中。添加&＃xff0c;除去及编辑规则命令的一般语法如下&＃xff1a;

$ iptables [-t table] command [match] [target]

大部分规则都是按这种语法写的&＃xff0c;如果不想用标准的表&＃xff0c;就要在“table”处指定表名。一般情况下&＃xff0c;没有必要指定使用的表&＃xff0c;因为iptables默认使用Filter表来执行所有的命令。也没有必要必须在这里指定表名。

• command&＃xff1a;告诉程序该做什么&＃xff0c;比如插入一个规则&＃xff0c;在链的末尾增加一个规则&＃xff0c;或者删除一个规则。

• match&＃xff1a;描述包的某个特点&＃xff0c;以使这个包区别于其他所有的包&＃xff0c;可以指定包的来源IP地址&＃xff0c;网络接口&＃xff0c;端口&＃xff0c;协议类型或者其他。

若数据包符合所有的match&＃xff0c;那么内核使用target来处理它&＃xff0c;或者说把包发往target。例如&＃xff0c;可以让内核把包发送到当前表中的其他链&＃xff08;可能是自己建立的&＃xff09;&＃xff0c;或者只是丢弃这个包而不做任何处理&＃xff0c;或者向发送者返回某个特殊的应答。Netfilter/iptables内核空间默认的表和链如下&＃xff1a;

下面逐个讨论这些选项&＃xff1a;

1. table

[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有3种可用的表选项&＃xff0c;即Filter&＃xff0c;NAT和Mangle。该选项不是必需的&＃xff0c;如果未指定&＃xff0c;则Filter用作默认表。这里我们就只讲讲Filter表。Filter表用来过滤数据包&＃xff0c;可以在任何时候匹配包并将其过滤&＃xff0c;根据包的内容对包做DROP或ACCEPT。当然也可以预先在其他处做一些过滤&＃xff0c;但是这个表才是设计用来过滤的。几乎所有的target都可以在此使用。

2. command

命令中必要的组成部分command是iptables命令的最重要部分&＃xff0c;它告诉iptables命令要执行的操作。例如&＃xff0c;插入规则&＃xff0c;将规则添加到链的末尾或删除规则。下表展示了常用命令及其功能&＃xff1a;

部分选项及其功能&＃xff1a;

3. match

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征&＃xff08;如源和目的地址及协议等&＃xff09;&＃xff0c;可归为5类&＃xff1a;一是generic matches&＃xff08;通用的匹配&＃xff09;&＃xff0c;适用于所有的规则&＃xff1b;二是TCP matches&＃xff0c;只能用于TCP包&＃xff1b;三是UDP &＃xff0c;只能用于UDP包&＃xff1b;四是ICMP matches&＃xff0c;针对ICMP包&＃xff1b;五是针对状态&＃xff0c;指所有者和访问的频率限制等。在此只介绍通用匹配&＃xff1a;

4. target

目标是由规则指定的操作&＃xff0c;那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外&＃xff0c;还有许多可用的目标选项用于建立高级规则的目标&＃xff0c;如LOG, REDIRECT, MARK, MIRROR和MASQUERADE等。常用目标及其说明&＃xff1a;

5. 状态机制

状态机制是iptables中特殊的一部分&＃xff0c;连接跟踪可以让Netfilter知道某个特定连接的状态。运行连接跟踪的防火墙称为“带有状态机制的防火墙”&＃xff0c;以下简称为“状态防火墙”。状态防火墙比非状态防火墙要安全&＃xff0c;因为它允许编写更严密的规则。在iptables中&＃xff0c;包和被跟踪连接的4种不同状态有关&＃xff0c;即&＃xff1a;NEW, ESTABLISHED, RELATED和INVALID。