iptables
iptables是運行在用戶空間的應用軟件,通過控制Linux內核netfilter模組,來管理網絡封包的處理和轉發。在大部分Linux發行版中,可以通過 手冊頁 (頁面存檔備份,存於互聯網檔案館) 或 man iptables
取得用戶手冊。通常iptables需要內核模組支援才能執行,此處相應的內核模組通常是Xtables。因此,iptables操作需要超級用戶權限,其可執行檔案通常位於 /sbin/iptables
或 /usr/sbin/iptables
。同時,需要說明的是,以上命令通常只用於處理 IPv4 封包;而對於 IPv6 封包,則使用類似的 ip6tables 命令。[2]
原作者 | 羅斯迪·魯塞爾(Rusty Russell) |
---|---|
開發者 | Netfilter核心團隊 |
首次釋出 | 1998年 |
目前版本 | 1.8.11[1](2024年11月8日 ) |
原始碼庫 | https://git.netfilter.org/iptables/ |
程式語言 | C |
作業系統 | Linux |
類型 | 封包過濾 |
特許條款 | GNU通用公眾特許條款 |
網站 | www |
目前,iptables 支援內核2.4以上版本,舊版內核環境下則使用ipchains(於2.2版內核)或 ipwadm(於2.0版內核)完成類似的功能。2014年1月19日起發行的Linux內核3.13版則使用nftables取而代之,但仍然提供 iptables 命令做為相容介面。[3]
概要
iptables、ip6tables等都使用Xtables框架。存在「表(tables)」、「鏈(chain)」和「規則(rules)」三個層面。
每個「表」指的是不同類型的封包處理流程,如filter表
表示進行封包過濾,而nat表
針對連接進行地址轉換操作。每個表中又可以存在多個「鏈」,系統按照預訂的規則將封包通過某個內建鏈,例如將從本機發出的數據通過OUTPUT链
。在「鏈」中可以存在若干「規則」,這些規則會被逐一進行匹配,如果匹配,可以執行相應的動作,如修改封包,或者跳轉。跳轉可以直接接受該封包或拒絕該封包,也可以跳轉到其他鏈繼續進行匹配,或者從當前鏈返回呼用者鏈。當鏈中所有規則都執行完仍然沒有跳轉時,將根據該鏈的預設策略(「policy」)執行對應動作;如果也沒有預設動作,則是返回呼用者鏈。[4]
filter表
filter表是預設的表,如果不指明表則使用此表。其通常用於過濾封包。其中的內建鏈包括:
- INPUT,輸入鏈。發往本機的封包通過此鏈。
- OUTPUT,輸出鏈。從本機發出的封包通過此鏈。
- FORWARD,轉發鏈。本機轉發的封包通過此鏈。
nat表
nat表如其名,用於地址轉換操作。其中的內建鏈包括:
- PREROUTING,路由前鏈,在處理路由規則前通過此鏈,通常用於目的地址轉換(DNAT)。
- POSTROUTING,路由後鏈,完成路由規則後通過此鏈,通常用於源地址轉換(SNAT)。
- OUTPUT,輸出鏈,類似PREROUTING,但是處理本機發出的封包。
mangle表
mangle表用於處理封包。其和nat表的主要區別在於,nat表側重連接而mangle表側重每一個封包。[5]其中內建鏈列表如下。
- PREROUTING
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
raw表
raw表用於處理異常,有如下兩個內建鏈:
- PREROUTING
- OUTPUT
命令範例
防火牆範例
一個典型的工作站的防火牆組態實例。超級用戶(root)可以用" iptables -L
"指令顯示防火牆上的組態。完整的組態可以添加-v
或-vv
參數來顯示更詳細資訊,或者使用 iptables-save -c
匯出生成當前表的命令。由於沒有指明「表」,因此預設使用filter表
。
# iptables -L Chain INPUT(policy DROP) target prot opt source destination ACCEPT all—localhost.localdomain localhost.localdomain ACCEPT all—anywhere anywhere state RELATED,ESTABLISHED REJECT all—anywhere anywhere Chain FORWARD(policy DROP) target prot opt source destination Chain OUTPUT(policy ACCEPT) target prot opt source destination
以上組態允許本機連接所有外部的系統,拒絕(REJECT)或丟棄(DROP)任何發往本機的封包,但是有以下例外(和INPUT链
逐一對應):
此時,來自外部的ping將沒有回應:
$ ping -c 1 10.0.0.1 PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. --- 10.0.0.1 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
外部嘗試連接本機的HTTP埠(即TCP 80埠)將被拒絕連接:
$ telnet 10.0.0.1 80 Trying 10.0.0.1... telnet: connect to address 10.0.0.1: Connection refused
但本機訪問外部(OUTPUT)均正常,因為其鏈為空且預設策略為接受(ACCEPT);且本機不轉發(FORWARD)封包,因為其預設策略為丟棄(DROP)。需要額外注意的是,這裏僅展示了IPv4的情況,若同時使用IPv6則需要另行組態ip6tables。
埠重新導向範例
iptables的重要功能之一是用於埠和/或地址的轉換。如下範例展示了將預設HTTP埠的封包由TCP 80轉向8080埠。這樣,HTTP的daemon可以允許由一般用戶權限啟動,而不需要對一般用戶無法將埠號綁在1024埠以下的限制的問題多加考慮。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
如果有多個埠的數據需要轉發到一個埠,則可調取「multiport」(多埠)模組,如下規則會將ens0介面上UDP埠66到77、88到99的封包轉向UDP埠443。
iptables -t nat -I PREROUTING -i ens0 -p udp -m multiport --dports 66:77,88:99 -j REDIRECT --to-ports 443
注意:如果你在你的電腦上面運行了這個指令,它只會對連到你的機器上的外部的IP發生效果。從本地端發起的連線不會遵循nat表上PREROUTING鏈的設置。如果你想讓本地端也遵循規則,你可以另外鍵入下面的指令:
iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080
這條規則會將lo介面上的封包輸出由80埠轉向到8080埠上面。
網絡地址轉換範例
典型設置如辦公室用小型區域網絡,由一台Linux主機作為路由器共用地址接入Internet。
假設區域網絡介面為eth0,地址使用192.168.0.0/24;而Internet介面為eth1,使用的地址為198.51.100.3。
在區域網絡用戶訪問Internet時,源地址需要被轉換為198.51.100.3,則使用規則:
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 198.51.100.3
若需要在區域網絡192.168.0.2上開啟HTTP服務,則可以設置相應的DNAT服務,將訪問外部TCP 80埠的封包重新導向:
iptables -t nat -I PREROUTING -p tcp -d 198.51.100.3 --dport 80 -j DNAT --to 192.168.0.2
需要注意的是,轉發操作需要在filter表
中FORWARD链
中允許,並且打開系統的轉發功能。[7]
其他控制介面
前端控制介面及命令
有很多第三方軟件可以幫助設定iptables規則。前端介面像是Ncurses或圖型介面可以讓用戶用點擊的方式產生許多簡單的規則。命令稿通常是參照Unix shell產生出來的(不過當然也有可能會使用其它種類型的命令稿),它們有的會用一些預先定義好的規則或簡單的範本來呼叫iptables或 iptables-restore
執行。一些Linux發行版公司會在它們的發行版裏面包含這些方式,當然像這樣的方式能產生的變化就相當有限,不過也因為產生規則的方式很簡單,所以甚至可以利用php網頁撰寫的方式來產生這些規則。
此類前端裝置如生成器(generator)或指令碼(script)往往會被其模板限制,模板僅僅能使用用戶定義規則並替換指定的部分,如只能替換埠或IP位址,同時,生成的規則往往難以達到最佳狀態,需要進行進一步最佳化,如此會增加開發和運維的成本。如果用戶想要了解iptables並且最佳化自己的規則,則需要自己建立規則。
前端的設置
- Firewall Builder —圖形前端配合規則/字集產生器、及自動規則集(automated ruleset)載入。
- Shorewall,以本文為基礎的規則產生器。
其它的工具
- Fwsnort - iptables侵入測試以字串比對法及是諾特規則(Snort Rule)來進行FWSnort (頁面存檔備份,存於互聯網檔案館),Translates a Snort IDS ruleset into an IPTables ruleset.
Iptables/Netfilter圖表
為了較好地了解一個封包穿越內核層的X表(Xtables)之表/鏈(table/chain),你可以參考下列圖表的使用:
參照
- ipchains為iptables的前一代
- Netlink為Netfilter使用之API
- NuFW延伸到Netfilter之認證防火墻
- nftables為iptables的後繼者
- firewalld
其它防火墻的解決方案
外部連結
- The netfilter/iptables project Web page(頁面存檔備份,存於互聯網檔案館) (英文)
- Freshmeat project page for the iptables package (頁面存檔備份,存於互聯網檔案館) (英文)
- The netfilter/iptables documentation page (頁面存檔備份,存於互聯網檔案館) (outdated) (英文)
參考文獻
- ^ '[ANNOUNCE] iptables 1.8.11 release' - MARC. marc.info. [2024-12-29].
- ^ Carla Schroder. How to Write iptables Rules for IPv6. www.linux.com. 2017-08-03 [2022-01-22]. (原始內容存檔於2019-06-12).
- ^ The netfilter.org "nftables" project. netfilter.org. [2022-01-22]. (原始內容存檔於2020-11-12).
- ^ iptables详细教程:基础、架构、清空规则、追加规则、应用实例. lesca.me. 2012-03-23 [2022-01-22]. (原始內容存檔於2020-11-27).
- ^ Linux 2.4 NAT HOWTO: Saying How To Mangle The Packets. netfilter.org. [2022-01-22]. (原始內容存檔於2021-01-10).
- ^ Major Hayden. Active FTP connections through iptables. major.io. 2007-07-01 [2022-01-22]. (原始內容存檔於2018-12-11).
- ^ 7.4. FORWARD and NAT Rules Red Hat Enterprise Linux 4. access.redhat.com. [2022-01-22]. (原始內容存檔於2019-07-19).