IPtables之一:基本概念介绍

本文涉及的产品
云防火墙,500元 1000GB
简介:

防火墙按照实现方法可以分为软件防火墙和硬件防火墙

纯硬件防火墙是很少的,一般见到的防火墙设备都是依靠软件搭配实现

 

按照功能可以将防火墙分为包过滤防火墙和网关代理型防火墙

包过滤防火墙

工作在网络层和传输层。特点:效率高,安全性不及网关型防火墙

包过滤防火墙又可以分为“状态检测型”和“简单包过滤型”

网关代理型

工作于应用层,位于OSI的最高层。特点:效率低,安全性好

 

而在linux中,iptables是一款自带的防火墙软件,基于内核实现网络流量的过滤

针对数据包的IP地址,端口,标志位,连接状态定义相应的防火墙规则,匹配规则后用指定的处理机制进行处理,可以是允许,可以是丢弃

 

首先简单介绍一下一个数据包进入linux后是如何处理的

image

数据包从网卡1进入linux主机后,首先进入内核维护的网络内存空间队列。内核接手数据包后,会进行一系列的流水线处理

 

内核的TCP/IP协议栈解封IP头部后,先是检测数据包的目的IP,然后对比路由表

如果目标IP是指向自己,于是检测TCP首部,将数据包递交给处于内核空间和用户空间的套接字(即端口),让用户空间的程序进行处理。用户程序从套接字取出数据后,进行处理后,改写目标IP和源IP,从新递交给对应的套接字。然后TCP/I协议栈进行数据包的封装,原路返回

如果目标IP不是自己,对比路由表,如果是将要从网卡2发送出去的。TCP/IP协议栈就直接将数据从内存中取出,交由网卡2发送出去,这一切将都在内核空间完成,无需进入用户空间

IPtables分为2部分,一部分位于内核中,用来存放规则,称为NetFilter。还有一段在用户空间中,用来定义规则,并将规则传递到内核中,这段在用户空间中的程序就叫做iptables。

其中存放规则有5个地方,分别位于 1、2、3、4、5 这5个点

1是由内部主动发往外部的规则,2是由外部发往内部的规则,3是不进入用户空间,进行路由转发的规则,4是数据进来,还未查询路由表之前的规则,5是查询完路由表,将要出去的规则

在这5个点都可以定义不同的规则,用以实现处理不同流向的数据包

这5个过滤点,在内核中也叫做hook function(钩子函数)

而这5个钩子,也有着个自的名字

1:input 2:output 3:forward 4:prerouting 5:postrouting

对于4和5,主要是为了实现NAT功能

真正做数据过滤的地方在123这3个点

具体数据的流向

{DE)U]NAAFD})YPBTE[PB_C

 

在这张图中,raw用的比较少不多做介绍,而mangle主要用以数据包的的修改。在处理数据包时,优先级依次以mangle、nat、filter排序

 

在iptables中,以链为单位定义一组规则,对于不同功能的链又组成不同的表

`VFK{78NA{Z9ZIB({[FBV}4

链也可以自定义创建,但不会直接生效,需要在默认的链中建立规则跳转,可以将数据包的匹配检查跳转到自定义创建的链中。如果在自定义创建的链中匹配到,就直接进行处理,如果匹配不到,就跳转会默认的链中

 

由于这一切都是在内核中完成的,所以在用户空间中的iptables传递规则给netfliter后,并不会永久有效,在重启后规则就会丢失,于是可以将规则写成脚本,在每次启动系统时将规则传递给内核

 

而redhat则使用另外一种机制来应用规则和取消规则,具体的实现方法,下篇博文再细细介绍


本文转自lustlost 51CTO博客,原文链接:http://blog.51cto.com/lustlost/937471,如需转载请自行联系原作者

相关文章
|
4月前
|
网络协议 Linux 网络安全
iptables基础
iptables基础
|
6月前
|
Linux 网络安全
iptables 技术简介
iptables 技术简介
|
安全 Linux 开发者
iptables 的使用概念 | 学习笔记
快速学习iptables 的使用概念
iptables 的使用概念 | 学习笔记
|
网络协议 网络安全
|
网络协议 Linux 网络安全
|
网络协议 网络安全
|
网络协议 Linux 网络安全
|
网络协议 Linux 网络安全
|
网络协议 关系型数据库 网络安全