LINUX iptable应用手册(第一部分)

redhathome

LINUX iptable应用手册(一)
防火牆(Firewall）、网址转换(NAT)、数据包（package）记錄、流量统计，这些功能全是Linux核心裡的Netfilter子系統所提供的，而iptables是控管Netfilter的唯一工具程式。iptables的介面很可能是Linux有史以來最精緻的，它使得Linux成為最有彈性的網路過濾系統。iptables將許多组繁复的规则集成组织成容易控管的形式，以便管理员可以进行分组测试，或关闭、啟动某组规则集。
iptable能够为Unix、Linux和BSD个人工作站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。iptable只读取数据包头，不会给信息流增加负担，也无需进行验证。要想获得更加好的的安全性，可以将其和一个代理服务器（比如sqiud）相结合。
每当有人紧急要求你开放或关闭特定通讯端口(为了让某种重要的网路通讯能通过防火牆，或是阻挡某种攻擊)，或是请你在防火牆设置某种功能，本文将能协助你尽速解決问题。本文以直接的语法和务实的范例，帮助你记忆iptables的各种用法，並提供一些适当的意见，让你的防火牆尽可能保持安全。我们将iptables的选项分成「防火牆」、「流量统计」、「NAT」三类，以适合实务查询的方式编排，帮助管理员在最短时间內找到相关选项的语法和說明。
操作范例如下:
让我们来一个简单的iptables命令：
iptables -t nat -A PREROUTING -i ethl -p tcp - -dport 80
-j DNAT - - to -destination 192.168.1.3:8080
(表1)是解释这个iptables命令的意义。

▓ 概念
Linux核心的包处理流程中，共设置了五个(鱼钩)拦截点(hook points)，分别是PREROUTING、INPUT、FORWARD、POSTROUTING以及OUTPUT。內建链结只能作用在这些拦截点；你可以针对个別拦截点设置一系列处理规则，每条规则各代表一次影响(或监测)包处理流程的机会。
*************************************
▓ 诀窍
我们常看到很多說明文件有着『...nat表格的PREROUTING串链...』这樣的說法，隐喻著链结是属于表格。然而，链结与表格两者之间並沒有统属关系，最多只有隐讳的关联性而已。链结(chains)的真正含意是「包（package）径路上的拦截点」而表格(tables)则是象征「处理效果」。然而，为了措词上的方便，本文仍免不了出现『...某表格的某链结...』之类的說法请读者注意。
*************************************
※ 图1、2、3分別展示了表格与链结的三种有效组合，以及各种组合所象征的包处理流程。其中《图l》是包经过「网址转换系统」(NAT)的流程，相关链结是作用於nat表格。

※ 图2: 是包流经「包过滤系统」的流程,相关链结是作用于filter(过滤)表格。

※ 图3: 是包流经「包内容调整系统」的流程,相关链结是作用于mangle表格。

表2》說明五种拦截点(链结)的作用，以及各拦截适合处理的包类型。

注解：
混杂模式（promiscuous mode）：Ethernet网卡的一种特殊作业模式，在此模式下，即使目的地MAC位址不是指向自己的Ethernet包，也会被收下来。Ethernet网卡通常是在非混杂模式下作业，也就是只接受MAC指向自己的Ethernet包。
*************************************
诀窍
好奇的读者，可从核心原始程式的/usr/include/linux/netfilter_ipv4.h标头档查出各拦截点的定义；它们的名称类似NF-IP_FORWARD、NF_IP_LOCAL_{IN,OUT}、和NF_IP_{PRE,POST}_ROUTING。
*************************************
规则应该设置於哪个表格的哪个链结，取決於规则本身的功能性，以及包的性质。比方說，若你要设置的一条用於过滤离境包的规则，则应该将该规则设置於「filter表格」(因为功能性是「过滤」）的「OUTPUT链结」(因为包性质是「离境包」）虽然要离境的包，其最后一关应该是at表格的POSTROUfING链结(参閱《表4》与《表6》)，但由於nat表格管不到POSTROUTING链结，所以你不能将出境包过滤规则设置在那裡。
表格(Tables)
iptables內建三个表格：filter、mangle以及nat每个表格都被预先设置了一或多个代表各拦截点的链结(请参閱《表2》、《图1》、《图2》、《图3》)。这三个內建筛表的作用，请参閱《表3》。

iptables将适当的链结设置於上述三个内建表格，当系统收到包时，便依据包的来源(本机行程或网络）来源主机的位址、目的地位址来判断包的性质(穿越、输入、输出、绕回)，然后依照包的性质，分別以《表4》到《表7》所列的程式之一来处理该类包。
*************************************
诀窍
图1-3只是个别相关功能的示意流程，而非包的实际旅程。表4-7所描述的顺序，才是包真正的旅程。
*************************************
链结（Chains）
每个表格都预设了相关拦截点的链结，当系统刚开机时，所有链结都是空的:为此，回复iptables套件另外提供了两个辅助工具 – iptables-save與iptables-restore - 可供你儲存、回復所有规则(參閱《輔助工具》)。每个链结各代表一个拦截点，《表2》是各拦截点的說明，《表3》列出各表格预设的链结。
除了內建链结之外，你也可以建立自己的链结来组织你的规则。
若包能通过链结裡的每一条规则而下受影响，最后将由链结的政策(policy)決定包的命运。內建连接只能以「內建目标」(参閱《表8》) - ACCEPT与DROP – 为政策：预设政策为ACCEPT所有自订链结的政策都固定是RETURN，不能改变。
如果要为內建链结制定更复杂的政策，或是希望自订连接改用RETURN之外的其它政策，唯一办法是在链结末端添加一条通适规则(任何包都符合条件的规则)，並将你要的任何目标设定於该规则。
你不能直接修改已经设置到链结裡的现有规则，如果发现某规则有误，唯一办法是刪除掉旧规则(使用-D)、然后将正确的新规则加回去(使用-A或-I)。
包（package）的流程
当包流经链结时，必须依序通过该链结裡每一条规则的检验。若包符合某条规则的「筛选条件」(match)，则将包交给该规则的「目标」(target)来处理，否则，就继续由同链结裡的下一条规则予以检验。倘若包顺利通过链结裡的所有规则(不符合任何规则的筛选条件)，则以链结的「政策」(policy，参閱《链结(Chains)》来決定其去向。
包实际会经过哪些链结，取決於包本身的性质(转交、输入、输出、绕回)，《表4》到《表7》分別列出各种性质的包的旅程顺序。《图1》《图2》和《图3》是单看特定筛表时，包如何通过该筛表各链结的详细流程。




LINUX iptable应用手册(二)
第二篇
规则（Rules）
iptables的每一条规则(rule)，都是由两部分组成的，第一部分包含一或多个「过滤条件」其作用是检查包是否符合处理条件(所有条件都必须成立才算数) ；第而部分称为「目标」，用於決定如何处置符合条件的包。
对於每一条规则，iptables各维护两个计数器：一个计算符合条件的封包数，称为packet counter；另一个计算该规则所处理的总资料量，称为byte counter。每当有包符合特定规则的过滤条件，该规则的packet counter便会被累加一，並将该包的大小累加到该规则的byte counter。
规则可以只有「过滤条件」或「目标」(处置方式)的其中之一；沒指定过滤条件时，则所有包都算符合条件；沒指定处置方式时，则放任让包继续其流程，也就是說。包本身不会有任何改变，只有该规则的两个counters会累增而已。使用下列命令可将这种只有计数作用的空规则加入filter表格FORWARD链结：
iptables -t filter -A FORWARD
过滤条件(Matches)
iptables可让你设置多种过滤条件，但是某些条件需要核心有提供相关功能才行。Iptables本身內建一般性的Internet Protocol (IP) 过滤条件，也就是說，即时沒载入任何扩充模组，你也可以用IP包标头的「传输协定类型」、「来源位址」、「目的地位址」等栏位为过滤条件。关於一般性的IP过滤条件，请参閱《IPv4过滤条件》。
除了IP之外的其它协定，诸如ICMP、TCP、UDP等等，必须载入相关的扩充模组，才可以作为过滤条件。使用iptables的-m或- -match选项，指出载入特定协定的扩充模组。
所有关于过滤条件的扩充模组，几乎都上针对网络层（IP、ICMP）或传输层（TCP、UDP），唯一例外上mac模组，它能让你以Ethernet网卡的MediaAccessController（MAC）位址为过滤条件【注解：Ethernet属于网络层之下的「资料连结层」（OSI Model）或「实体层」（IP Model）】。
目标(Target)
目标「(targets)决定如何处理符合过滤条件的包，或是当成链结的政策。iptables共内建四种目标（参阅《表8》），除此之外的其它目标，必须透过扩充模组来提供。
表8：iptables内建的目标

应用
本节简述各种包处理技术的观念，以及它们的应用。
包过滤(Packet filtering)
「包过滤」是最基本的封包处理方式：于核心网络程式的各交接点检查包內容，籍此决定包的后续处理流程(放行到下一阶段、不回复而逕行放弃、回复拒收讯息，诸如此类）。
累计(Accounting)
「累计」：使用各种包过滤条件的byte/package counter来监测网络交通量。
连線追蹤(Connection tracking)
「连線追蹤」：提供可用於判断包相关性的额外资讯。举例来說，一次FTP session同时需要两条分离的连線，控制与资料传输各一；用於追蹤FTP连線的扩充模组，运用对於FTP恊定的认知，从控制连線上流动的封包资料中，分析出足以便识资料连線的资讯(於何时建立、双方所用的TCP port)，然后将查出的资讯提供给处理包的规则。
封包修改(Packet mangling)
「包修改」：修改包的标头栏位(通常是网路位址与通讯埠编号)，或是其承载资料。
网址转译 (Network address translation，NAT)
NAT是一种涉及修改来源位址，目的地位址、来源端口、目的地端口之特殊「包修改」。对於只修改来源位址/通讯端口的操作，称为「Source NAT」(或简称为S-NAT或SN AT)；若只修改目的地位址/通讯端口，则称为「Destination NAT」(或简称为D-NAT或DNAT)。某些形式的NAT需要运用「连線追蹤」来決定如何修改包。
偽装(Masquerading)
「偽装」是一种特殊的SNAT操作：将来自其它电脑的包的来源位址改成自己的位址：请注意，由於入替的来源位址是自动決定的(执行SNAT的主机的IP位址)。所以，如果它改变了，仍在持续中的旧连線将会失效。「偽装」的主要用途是让多部使用private Ip的电脑(通常是透过DHCP动态取得)可以共用同一个public IP(固定或ISP动态分配)上网。
通讯埠转接(Port Forwarding)
「通讯埠转接」是一种特殊的DNAT操作，其作用是让一部电脑(通常是防火牆)担任其它电脑的代理伺服器(proxy)。防火牆接收外界网络接传给它自己的包，然后改写包的目的地位址或目的端口，使其像是要送到內部网路其它电脑的樣子，然后才修改好的包送往新目的地。此外，来自內部网路的相关回复包，也会被防火牆改写成像是从防火牆自己发出的樣子，然后才送到外界电脑。
「通讯端口转接」通常用於提供內部网路的公开服务(像是web server或email server)给外界存取，而不需要一个以上的public IP。对於外界而言，这些公开服务就像是代理主机(防火牆)所提供的，对於內部网路上的真实伺服器而言，就好像所有的服务要求都来自代理主机。
负裁平衡(Load balancing)
「负戴平衡」的作用是将连線平均分散给一组伺服器，以充分利用资源。最简单的作法是利用「通讯端口转接」技术，使其以循环顺序选择目的地位址。
设定iptables的组态
各家Linux系统的iptables组态设定程序都不太一样，本节提供通用的作法，以及Red Hat 特有的设定方法。
「规则」的储存与回复
Red Hat Linu系统将iptables的「规则」储存于/etc/sysconfig/iptables档案，使用iptables initscript （通常是/etc/init.d/iptables)可将当时的规则储存于/etc/sysconfig/iptables，或将该档案裡的规则载入核心，如下：
/etc/init.d/iptables save （储存当时组态）
/etc/init.d/iptables restore （载入前次储存的组态）
使用Red Hat Linux的chkconfig命令，可以查出哪些runlevel会自动执行iptables：
chkconfig - - list iptables
假设你想在runlevels3、4、与5启动iptables，使用下列命令：
chkconfig - -levels 345 iptables on
你也可以自己启动iptables（从/etc/sysconfig/iptables档案载入规则，与/etc/init.d/iptables restore等效）：
service iptables start
下列命令可以使其失效（清洗掉核心当时的规则）：
service iptables stop
对于Red Hat Linux之外的其它系统，可使用iptables-save与iptables-restore达到储存、回复规则的效果。关于这两个工具程式，请参阅《辅助工具》。
其它相关組態檔
透过/proc档案系统下的虚拟档案，可以监测、控制核心的一般网络功能，以及iptables的行为。《表9》列出最常用的档案。

核心对于iptables的支援
iptables与Linux核心的版本息息相关。在Red Hat Linux系统上，使用uname -r 命令可查出当时核心的版本。你会见到类似以下面的讯息：
2.4.20-20.9
当初用来建构核心的组态档，其名称应该含有核心的版本与机器类型（可使用uname -a查出来），例如：
/usr/src/linux-2.4.20-2.9/configs/
kernel-2.4.20-i686.config
与iptables功能有关的组态项目，其名称多半是以CONFIG_IP_NF_为首。以下是至少必须具备的基本要项：
●CONFIG_PACKET(透过网络界面直接通讯）
●CONFIG_NETFILTER（提供iptables所需要的核心基础机制）
●CONFIG_IP_NF_CONNTRACK（支援NAT与伪装）
●CONFIG_IP_NF_FILTER（支援filter表格）
●CONFIG_IP_NF_IPTABLES（使userspace的iptables工具能够设定kernel-space里的Netfilter）
●CONFIG_IP_NF_MANGLE（支援mangle表格）
●CONFIG_IP_NF_NAT（支援nat表格）
********************************
警告:
你或许会很想要打开CONFG_NET_FASTROUTE，因为「fast routing」听起来是很适合用在防火墙的功能。别这么做！因为「fast routing」的原理其实是绕过Netfilter的各个拦截点。
********************************
如果需要能够与旧版防火墙技术（2.0时代的ipfwadmin，以及2.2时代的ipchains）相容，请加入下列两个选项：
●CONFIG_IP_NF_COMPATHAINS
●CONFIG_IP_NF_COMPAT_IPFWADM
______________________________
缺窍
有一组专为添增新功能到Netfiiter的核心修补程式，称为「patch-o-matic」在Netfilter主網站的《NetfilterExtensions HOWTO》(位於http://www.netfilter.org/documenIation/HOWTO/netfilter.extensions.HOWTO.html)可以找到关於这组修补程式的說明。Patch-o-matic本身並非隨附iptables一起發行．而必须另外从ftp:/ftp.netfiher.org/pub/patch-o-matic/下载。
______________________________
当你修补核心时,必须特別谨慎，尤其是对於实验性的Netfilter扩充模组。有些模组甚至不能同时编译，有些甚至即使可编译也不能夠执行。总之，对於新建好的核心，应该事先於无关紧要的环境下进行测试，而不要贸然安装在实际的防火墙上。
连線追蹤(Connection Tracking)
有能力找出不同封包之間的邏輯關連性，所属的逻辑连線；逻辑连線的概念甚至也适用於某的UDP封包(虽然UDP本身是一种沒有连線概念的协定）。为了做到这点，核心必须记錄连線的生命週期进度追蹤资讯提供给conntrack mateh extension(【注译：match extension是可讓iptables使用特殊條件來过滤封包的扩充模组】)。
TCP实际的连線搭建程序与状态维护机制颇为复杂，所为此，線追蹤逻辑将连線的整个生命期简化为四个阶段(四种状态)，对於个別TCP包，必定是属於道四种状态的连線之一。请参閱《表10》：

对于每一条连线（包括具体TCP连线，以及广义的UDP连线），连线線追蹤逻辑各维护三个位元的状态资讯。《表11》列出这些态代码的名称(可用於 - -ctstatus选项)。

iptables的連線追蹤邏輯，可容许外挂模组来辅助辨识新连线与旧有连线之间的关系。
当你的防火墙（或闸道器）需要转接多连线式的协定时间 、，你将需要使用相关追踪的主要连线形式。
在使用它们之前，必须先用modprobc将相关模组载入核心。请参閱《helper过滤条件》。

累计(Accounting)
对於每一条规则，核心各自设置两个专属的计数器，用于累计符合该条件的封包数，以及这些封包的总位元组数。这两项资讯可用於统计网路用量。
举例来說，假设有一台Internet闸道器路，eth0接内部网络，eth1接Internet；使用下列规则可使其核心自动累计内外网路所交換的封包数与资料量：
iptables -A FORWARD -i ethl
iptables -A FORWARD -o ethl
iptables -A INPUT -i ethl
iptables -A OUTPUT -o ethl
执行上述命令之后，使用iptable -L -v显示统计结果（注意INPUT和OUTPUT的计数结果 - 非零值表示已经有些网络交通问题发生在我们显示计数结果之前）：
Chain INPUT (policy ACCEPT 27 packets, 1728 bytes)
pkts bytes target prot opt in out source destination
3 192 all - - eth1 any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 all - - eth1 any anywhere anywhere
0 0 all - - any eth1 anywhere anywhere
Chain OUTPUT (policy ACCEPT 21 packets, 2744 bytes)
pkts bytes target prot opt in out source destination
3 192 all - - any eth1 anywhere anywhere
在统计方面的应用，请参与《表14》对于 -c、-n、-t和-x选项的讨论，以及《表15》对于-L和-z选项的说明。
网址转译
(Network Address Translation，NAT)
当封包流经NAT電腦時，其位址/通訊端口會被修改，以達到改变包目的地(或旅程)，或是让目的地误以为包是源自NAT电脑的效果。換言之，对封包执行NAT的电脑，可以成为新包的来源或目的地，或是成为真正来源与目的地之间的中继站。
*****************************
警告：
NAT需要连线追踪的能力，而连线追踪又需要电脑能看到所有包才有效，所以，如果你的防火墙是有多台电脑构行，请小心避免破坏连线追踪。
*****************************
利用NAT的位址/通讯埠操弄能力，可以执行许多有用的应用。为此，iptables內建一个nat表格，专用於设置各种涉及NAT操作的规则。
对於大多数协定，NAT可直接修改包的(来源/目的地)位址/通讯埠．而不必理会包的承戴內容为何。不过，某些恊定需要通讯双方在执行期才恊商位址或通讯端口(FTP恊定的资讯连線就是一例)，換言之，这类恊定的承载內容里，含有影响后续相关连線的位址或通讯端口资讯。要让这类协定的封包能顺利通过NAT閘道，iptables势必需要能分析各種恊定封包的能力，否则，通讯双方将因为不知道NAT的存在．而交換了错误的位址(或通讯端口)资讯．造成协定失效。
很显然地，iptables不可能知道每一种承载内容含有位址资讯的协定，为此，iptables的NAT
逻辑容许你使用外挂模组，以协助处理需要交换位址资讯的协定之封包，你可用modprobe命令来将特定的辅助模组载入核心。《表13》列出了常用的 NAT辅助模组。

SNAT與偽裝
Source NAT(SNAT)的主要應用，是让同一內部網路上的多部主机，可共用同一条Internet实体连線．直接与Internet相连的闸道器，可使用SNAT(搭配连線追蹤)来来改写內部网络与Internet之间的来往封包的来源位址。出境封包的来源位址，会被改成闸遭器在Internet端的固定IP位址；當外界主机回复时，它们的封包的目的地位址将会是闸道器的Interne端的IP位址，所以闸道器可以拦截这些封包，将它们的目的地位址改成正确的內部主机IP位址，然后转送到內部网路。
由於SNAT必须在封包即将离开核心的前一刻，即时修改其来源位址(或通讯端口)，所以SNAT规则的设置地点必须是在nat表格的POSTROUTING链结。
举例来說，假设闸道器与Internet相接的介面是ethl，則下列两种iptables命令可以达成SNAT的效果。
iptable -t nat -A POSTROUTING -o eth1 -j SNAT
或
iptable -t nat -A POSTROUTING -o eth1 -j MASQUERADE
第一种方法是直接使用SNAT为目标，这种方法适合用在具有固定IP地址的网关器，另一种方法是使用是使用MASQUERADE为目标，适合用于只有动态IP地址的网关器(例如，使用PPPoE协定的ADSL连线）。由于由于MASQUERADE能够应付网络界面忽然离线，然后以另一个地址恢复上线的情况，所以它转换逻辑比较复杂些，需要耗损比较多的CPU运算能力，因此，如果你有固定的IP地址，就应该尽量使用SNAT来代替MASQUERADE。
DNAT
Destination NAT(DNAT)的主要用途，是让Internet上的电脑能够存取内部网络上的特定服务，但是却又不直接提供服务的内部服务器联机。只要不必在同一个通讯端口上提供两个以上的同性质服务(例如，提供两个不同的WWW网站），就只需要使用一条Internet联机(一个public Ip位址）。闸道器将原本送到特定通讯端口的封包，导引到指定的内部服务器与通讯端口，然后拦截内部服务器的回复封包，改写其目的地位址（与通讯端口），是其回到正确的外界网络位址。
由于DNAT修改包的目的地位址的时机，必须在包即将被送到本机行程之前，或是要被转送其它电脑之前；所以，使用DNAT为目标的规则，必须设置于nat表格的PREROUTING链结。
举例来说，若要将外界连到闸道器port80（HTTP）的联机转接到内部网络上的192.168.1.3：8080的web server，你可以使用以下命令（假设eth1是闸道器连接Internet的网络界面）：
iptable -t nat -A PREROUTING -i eth1 -p tcp - -dport 80
-j DNAT --to-destination 192.168.1.3：8080

LINUX iptable应用手册(三)
第三篇
透明代理(Transparent Proxying)
「透明代理」的原理，是拦截特定类型的出境连線，然后转向另一部能代替原本目的地提供服务的伺服器。此技术让你可架设网络服务的代理服务器(proxy server)．而又不必逐一设定内部网络上的每台电脑。因为所有出境连線都会经过闸道器，所以，任何试图连線到外地网路特定通讯埠的连線，都可以在无形中自动转向代理服务器。
举例来说，倘若你在闸道器架设了HTTP proxy服务（例如Squid），其服务通讯端口是TCP port 8888，你可以将下列规则加入闸道器主机，使其将所有试图连到外界的HTTP通讯都转向HTTP proxy（假设eth0是闸道器连接内部网络的介面）：
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80
-j REDIRECT - -to-port 8888
如果代理服务安装於闸道器之外的机器，要做到「透明代理」的效果，那将会复杂许多。关於这方面的细节，请参考Daniel Kirac对Squid所寫的一篇指導文章：


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/21941/showart_147190.html