iptables

Linux防火牆軟體

iptables是運行在使用者空間的應用軟體,通過控制Linux核心netfilter模組,來管理網路封包的處理和轉發。在大部分Linux發行版中,可以通過 手冊頁頁面存檔備份,存於網際網路檔案館) 或 man iptables 取得使用者手冊。通常iptables需要核心模組支援才能執行,此處相應的核心模組通常是Xtables。因此,iptables操作需要超級使用者權限,其可執行檔通常位於 /sbin/iptables/usr/sbin/iptables 。同時,需要說明的是,以上命令通常只用於處理 IPv4 封包;而對於 IPv6 封包,則使用類似的 ip6tables 命令。[1]

iptables
原作者羅斯迪·魯塞爾(Rusty Russell)
開發者Netfilter核心團隊
首次釋出1998年
目前版本1.8.8(2022年5月13日,​2年前​(2022-05-13
原始碼庫https://git.netfilter.org/iptables/
程式語言C
作業系統Linux
類型封包過濾
授權條款GNU通用公眾授權條款
網站www.netfilter.org

目前,iptables 支援核心2.4以上版本,舊版核心環境下則使用ipchains(於2.2版核心)或 ipwadm(於2.0版核心)完成類似的功能。2014年1月19日起發行的Linux核心3.13版則使用nftables取而代之,但仍然提供 iptables 命令做為相容介面。[2]

概要

編輯
 
網路封包通過Netfilter時的工作流向

iptables、ip6tables等都使用Xtables框架。存在「表(tables)」、「鏈(chain)」和「規則(rules)」三個層面。

每個「表」指的是不同類型的封包處理流程,如filter表表示進行封包過濾,而nat表針對連接進行位址轉換操作。每個表中又可以存在多個「鏈」,系統按照預訂的規則將封包通過某個內建鏈,例如將從本機發出的資料通過OUTPUT链。在「鏈」中可以存在若干「規則」,這些規則會被逐一進行匹配,如果匹配,可以執行相應的動作,如修改封包,或者跳轉。跳轉可以直接接受該封包或拒絕該封包,也可以跳轉到其他鏈繼續進行匹配,或者從當前鏈返回呼用者鏈。當鏈中所有規則都執行完仍然沒有跳轉時,將根據該鏈的預設策略(「policy」)執行對應動作;如果也沒有預設動作,則是返回呼用者鏈。[3]

filter表

編輯

filter表是預設的表,如果不指明表則使用此表。其通常用於過濾封包。其中的內建鏈包括:

  • INPUT,輸入鏈。發往本機的封包通過此鏈。
  • OUTPUT,輸出鏈。從本機發出的封包通過此鏈。
  • FORWARD,轉發鏈。本機轉發的封包通過此鏈。

nat表

編輯

nat表如其名,用於位址轉換操作。其中的內建鏈包括:

  • PREROUTING,路由前鏈,在處理路由規則前通過此鏈,通常用於目的位址轉換(DNAT)。
  • POSTROUTING,路由後鏈,完成路由規則後通過此鏈,通常用於源位址轉換(SNAT)。
  • OUTPUT,輸出鏈,類似PREROUTING,但是處理本機發出的封包。

mangle表

編輯

mangle表用於處理封包。其和nat表的主要區別在於,nat表側重連接而mangle表側重每一個封包。[4]其中內建鏈列表如下。

  • PREROUTING
  • OUTPUT
  • FORWARD
  • INPUT
  • POSTROUTING

raw表

編輯

raw表用於處理異常,有如下兩個內建鏈:

  • PREROUTING
  • OUTPUT

命令範例

編輯

防火牆範例

編輯

一個典型的工作站的防火牆組態實例。超級使用者(root)可以用" iptables -L"指令顯示防火牆上的組態。完整的組態可以添加-v-vv參數來顯示更詳細資訊,或者使用 iptables-save -c 匯出生成當前表的命令。由於沒有指明「表」,因此預設使用filter表

 # iptables -L
 Chain INPUT(policy DROP)
 target     prot opt source               destination
 ACCEPT     all—localhost.localdomain  localhost.localdomain
 ACCEPT     all—anywhere             anywhere            state RELATED,ESTABLISHED
 REJECT     all—anywhere             anywhere
 
 Chain FORWARD(policy DROP)
 target     prot opt source               destination
 
 Chain OUTPUT(policy ACCEPT)
 target     prot opt source               destination

以上組態允許本機連接所有外部的系統,拒絕(REJECT)或丟棄(DROP)任何發往本機的封包,但是有以下例外(和INPUT链逐一對應):

  • 來自本地環回位址的連接。
  • 已建立的連接(ESTABLISHED),如本機發起到遠端的連接後遠端的回應。
  • 關聯的連接(RELATED),如FTP協定使用的額外埠。[5]

此時,來自外部的ping將沒有回應:

 $  ping -c 1 10.0.0.1 
 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 
 --- 10.0.0.1 ping statistics --- 
 1 packets transmitted, 0 received, 100% packet loss, time 0ms

外部嘗試連接本機的HTTP埠(即TCP 80埠)將被拒絕連接:

 $ telnet 10.0.0.1 80 
 Trying 10.0.0.1... 
 telnet: connect to address 10.0.0.1: Connection refused

但本機訪問外部(OUTPUT)均正常,因為其鏈為空且預設策略為接受(ACCEPT);且本機不轉發(FORWARD)封包,因為其預設策略為丟棄(DROP)。需要額外注意的是,這裡僅展示了IPv4的情況,若同時使用IPv6則需要另行組態ip6tables。

埠重新導向範例

編輯

iptables的重要功能之一是用於埠和/或位址的轉換。如下範例展示了將預設HTTP埠的封包由80轉向8080埠。這樣,HTTP的daemon可以允許由一般使用者權限啟動,而不需要對一般使用者無法將埠號綁在1024埠以下的限制的問題多加考慮。

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

注意:如果你在你的電腦上面運行了這個指令,它只會對連到你的機器上的外部的IP發生效果。從本地端發起的連線不會遵循nat表上PREROUTING鏈的設定。如果你想讓本地端也遵循規則,你可以另外鍵入下面的指令:

iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080

這條規則會將lo介面上的封包輸出由80埠轉向到8080埠上面。

典型設定如辦公室用小型區域網路,由一台Linux主機作為路由器共享位址接入Internet

假設區域網路介面為eth0,位址使用192.168.0.0/24;而Internet介面為eth1,使用的位址為198.51.100.3。

在區域網路使用者訪問Internet時,源位址需要被轉換為198.51.100.3,則使用規則:

 iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 198.51.100.3 

若需要在區域網路192.168.0.2上開啟HTTP服務,則可以設定相應的DNAT服務,將訪問外部TCP 80埠的封包重新導向:

 iptables -t nat -I PREROUTING -p tcp -d 198.51.100.3 --dport 80 -j DNAT --to 192.168.0.2 

需要注意的是,轉發操作需要在filter表FORWARD链中允許,並且打開系統的轉發功能。[6]

其他控制介面

編輯

前端控制介面及命令

編輯

有很多第三方軟體可以幫助設定iptables規則。前端介面像是Ncurses或圖型介面可以讓使用者用點選的方式產生許多簡單的規則。命令稿通常是參照Unix shell產生出來的(不過當然也有可能會使用其它種類型的命令稿),它們有的會用一些預先定義好的規則或簡單的範本來呼叫iptables或 iptables-restore 執行。一些Linux發行版公司會在它們的發行版裡面包含這些方式,當然像這樣的方式能產生的變化就相當有限,不過也因為產生規則的方式很簡單,所以甚至可以利用php網頁撰寫的方式來產生這些規則。

此類前端裝置如生成器(generator)或指令碼(script)往往會被其模板限制,模板僅僅能使用使用者定義規則並替換指定的部分,如只能替換埠或IP位址,同時,生成的規則往往難以達到最佳狀態,需要進行進一步最佳化,如此會增加開發和運維的成本。如果使用者想要了解iptables並且最佳化自己的規則,則需要自己建立規則。

前端的設定

編輯
  • Firewall Builder —圖形前端配合規則/字集產生器、及自動規則集(automated ruleset)載入。
  • Shorewall,以本文為基礎的規則產生器。

其它的工具

編輯

Iptables/Netfilter圖表

編輯

為了較好地了解一個封包穿越核心層的X表(Xtables)之表/鏈(table/chain),你可以參考下列圖表的使用:

參照

編輯

其它防火墻的解決方案

編輯

外部連結

編輯

參考文獻

編輯
  1. ^ Carla Schroder. How to Write iptables Rules for IPv6. www.linux.com. 2017-08-03 [2022-01-22]. (原始內容存檔於2019-06-12). 
  2. ^ The netfilter.org "nftables" project. netfilter.org. [2022-01-22]. (原始內容存檔於2020-11-12). 
  3. ^ iptables详细教程:基础、架构、清空规则、追加规则、应用实例. lesca.me. 2012-03-23 [2022-01-22]. (原始內容存檔於2020-11-27). 
  4. ^ Linux 2.4 NAT HOWTO: Saying How To Mangle The Packets. netfilter.org. [2022-01-22]. (原始內容存檔於2021-01-10). 
  5. ^ Major Hayden. Active FTP connections through iptables. major.io. 2007-07-01 [2022-01-22]. (原始內容存檔於2018-12-11). 
  6. ^ 7.4. FORWARD and NAT Rules Red Hat Enterprise Linux 4. access.redhat.com. [2022-01-22]. (原始內容存檔於2019-07-19).