当前位置:Linux教程 - Linux - 解读Linux2.4的netfilter功能框架(中)

解读Linux2.4的netfilter功能框架(中)

  下面的内容要求具有对TCP/IP,路由,防火墙及包过滤的基本概念的了解。

  在第一部分已经解释过,filter表和三个钩子进行了挂接,因此提供了三条链进行数据过滤。所有来自于网络,并且发给本机的数据报会遍历INPUT规则链。所有被转发的数据报将仅仅遍历FORWARD规则链。最后,本地发出的数据报将遍历OUTPUT链。

向规则链中插入规则
  Linux2.4提供了一个简洁强大的工具""iptables""来插入/删除/修改规则链中的规则。这里并不对iptalbes进行详细的介绍,而只是讨论它的主要的一些特性:

  该命令实现对所有的ip表进行处理,当前包括filter,nat及mangle三个表格,及以后扩展的表模块。

  该命令支持插件来支持新的匹配参数和目标动作。因此对netfilter的任何扩展都非常的简单。仅仅需要编写一个完成实际目标动作处理的模块和iptalbes插件(动态连接库)来添加所需要的一切。

  它有两个实现:iptables(IPV4)及ip6tables。两者都基于相同的库和基本上相同的代码。

基本的iptables命令
  一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入,添加,删除,修改)、对特定规则的目标动作、匹配数据报条件。

  基本的语法为:

  iptables -t table -Operation chain -j target match(es)

  例如希望添加一个规则,允许所有从任何地方到本地smtp端口的连接:

  iptables -t filter -A INPUT -j ACCEPT -p tcp --dport smtp

  当然,还有其他的对规则进行操作的命令如:清空链表,设置链缺省策略,添加一个用户自定义的链....

  基本操作:

  -A   在链尾添加一条规则;

  -I   插入规则;

  -D   删除规则

  -R   替代一条规则;

  -L   列出规则。

  基本目标动作,适用于所有的链:

  ACCEPT 接收该数据报;

  DROP 丢弃该数据报;

  QUEUE 排队该数据报到用户空间;

  RETURN 返回到前面调用的链;

  foobar 用户自定义链。

  基本匹配条件,适用于所有的链:

  -p 指定协议(tcp/icmp/udp/...);

  -s 源地址(ip address/masklen);

  -d 目的地址(ip address/masklen);

  -i 数据报输入接口;

  -o 数据报输出接口;

  除了基本的操作,匹配和目标还具有各种扩展。

iptables的数据报过滤匹配条件扩展
  有各种各样的数据包选择匹配条件扩展用于数据包过滤。这里仅仅简单的说明来让你感受扩展匹配的强大之处。

  这些匹配扩展给了我们强大的数据报匹配手段:

  TCP匹配扩展能匹配源端口,目的端口,及tcp标记的任意组合,tcp选项等;

  UPD匹配扩展能匹配源端口和目的端口;

  ICMP匹配扩展能匹配ICMP类型;

  MAC匹配扩展能匹配接收到的数据的mac地址;

  MARK匹配扩展能匹配nfmark;

  OWNE匹配扩展(仅仅应用于本地产生的数据报)来匹配用户ID,组ID,进程ID及会话ID;

  LIMIT扩展匹配用来匹配特定时间段内的数据报限制。这个扩展匹配对于限制dos攻击数据流非常有用;

  STATE匹配扩展用来匹配特定状态下的数据报(由连接跟踪子系统来决定状态),可能的状态包括:

  INVALID (不匹配于任何连接);

  ESTABLISHED (属于某个已经建立的链接的数据报);

  NEW (建立连接的数据报);

  RELATED (和某个已经建立的连接有一定相关的数据报,例如一个ICMP错误消息或ftp数据连接);

  TOS匹配扩展用来匹配IP头的TOS字段的值。

iptables的数据报过滤目标动作扩展
  LOG  将匹配的数据报传递给syslog()进行记录

  ULOG 将匹配的数据适用用户空间的log进程进行记录

  REJECT 不仅仅丢弃数据报,同时返回给发送者一个可配置的错误信息

  MIRROR 互换源和目的地址以后重新传输该数据报

<<<<<上一页:Netfilter基础和概念