下面的内容要求具有对TCP/IP,路由,防火墙及包过滤的基本概念的了解。 在第一部分已经解释过,filter表和三个钩子进行了挂接,因此提供了三条链进行数据过滤。所有来自于网络,并且发给本机的数据报会遍历INPUT规则链。所有被转发的数据报将仅仅遍历FORWARD规则链。最后,本地发出的数据报将遍历OUTPUT链。 向规则链中插入规则 Linux2.4提供了一个简洁强大的工具”iptables”来插入/删除/修改规则链中的规则。这里并不对iptalbes进行详细的介绍,而只是讨论它的主要的一些特性: 该命令实现对所有的ip表进行处理,,当前包括filter,nat及mangle三个表格,及以后扩展的表模块。 该命令支持插件来支持新的匹配参数和目标动作。因此对netfilter的任何扩展都非常的简单。仅仅需要编写一个完成实际目标动作处理的模块和iptalbes插件(动态连接库)来添加所需要的一切。 它有两个实现:iptables(IPV4)及ip6tables。两者都基于相同的库和基本上相同的代码。 基本的iptables命令 一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入,添加,删除,修改)、对特定规则的目标动作、匹配数据报条件。 基本的语法为: iptables -t table -Operation chain -j target match(es) 例如希望添加一个规则,允许所有从任何地方到本地smtp端口的连接: iptables -t filter -A INPUT -j ACCEPT -p tcp –dport smtp 当然,还有其他的对规则进行操作的命令如:清空链表,设置链缺省策略,添加一个用户自定义的链…. 基本操作: -A 在链尾添加一条规则; -I 插入规则; -D 删除规则 -R 替代一条规则; -L 列出规则。 基本目标动作,适用于所有的链: ACCEPT 接收该数据报; DROP 丢弃该数据报; QUEUE 排队该数据报到用户空间; RETURN 返回到前面调用的链; foobar 用户自定义链。 基本匹配条件,适用于所有的链: -p 指定协议(tcp/icmp/udp/…); -s 源地址(ip address/masklen); -d 目的地址(ip address/masklen); -i 数据报输入接口; -o 数据报输出接口; 除了基本的操作,匹配和目标还具有各种扩展。 iptables的数据报过滤匹配条件扩展 有各种各样的数据包选择匹配条件扩展用于数据包过滤。这里仅仅简单的说明来让你感受扩展匹配的强大之处。 这些匹配扩展给了我们强大的数据报匹配手段: TCP匹配扩展能匹配源端口,目的端口,及tcp标记的任意组合,tcp选项等; UPD匹配扩展能匹配源端口和目的端口; ICMP匹配扩展能匹配ICMP类型; MAC匹配扩展能匹配接收到的数据的mac地址; MARK匹配扩展能匹配nfmark; OWNE匹配扩展(仅仅应用于本地产生的数据报)来匹配用户ID,组ID,进程ID及会话ID; LIMIT扩展匹配用来匹配特定时间段内的数据报限制。这个扩展匹配对于限制dos攻击数据流非常有用; STATE匹配扩展用来匹配特定状态下的数据报(由连接跟踪子系统来决定状态),可能的状态包括: INVALID (不匹配于任何连接); ESTABLISHED (属于某个已经建立的链接的数据报); NEW (建立连接的数据报); RELATED (和某个已经建立的连接有一定相关的数据报,例如一个ICMP错误消息或ftp数据连接); TOS匹配扩展用来匹配IP头的TOS字段的值。 iptables的数据报过滤目标动作扩展 LOG 将匹配的数据报传递给syslog()进行记录 ULOG 将匹配的数据适用用户空间的log进程进行记录 REJECT 不仅仅丢弃数据报,同时返回给发送者一个可配置的错误信息 MIRROR 互换源和目的地址以后重新传输该数据报 乐观者在灾祸中看到机会;悲观者在机会中看到灾祸
解读Linux2.4的netfilter功能框架(中)
