(圖)解netfilter/iptables工作原理
解析netfilter/iptables工作原理:
netfilter/iptables IP 信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具,可用于添加、編輯和除去規(guī)則,這些規(guī)則是在做信息包過(guò)濾決定時(shí),防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲(chǔ)在專(zhuān)用的信息包過(guò)濾表中,而這些表集成在 Linux 內(nèi)核中。在信息包過(guò)濾表中,規(guī)則被分組放在我們所謂的 鏈(chain)中。我馬上會(huì)詳細(xì)討論這些規(guī)則以及如何建立這些規(guī)則并將它們分組在鏈中。
雖然 netfilter/iptables IP 信息包過(guò)濾系統(tǒng)被稱(chēng)為單個(gè)實(shí)體,但它實(shí)際上由兩個(gè)組件 netfilter和 iptables 組成。
netfilter 組件也稱(chēng)為 內(nèi)核空間(kernelspace),是內(nèi)核的一部分,由一些信息包過(guò)濾表組成,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。
iptables 組件是一種工具,也稱(chēng)為 用戶空間(userspace),它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要從 netfilter.org 下載該工具并安裝使用它。
通過(guò)使用用戶空間,可以構(gòu)建自己的定制規(guī)則,這些規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表中。這些規(guī)則具有 目標(biāo),它們告訴內(nèi)核對(duì)來(lái)自某些源、前往某些目的地或具有某些協(xié)議類(lèi)型的信息包做些什么。如果某個(gè)信息包與規(guī)則匹配,那么使用目標(biāo) ACCEPT 允許該信息包通過(guò)。還可以使用目標(biāo) DROP 或 REJECT 來(lái)阻塞并殺死信息包。對(duì)于可對(duì)信息包執(zhí)行的其它操作,還有許多其它目標(biāo)。
根據(jù)規(guī)則所處理的信息包的類(lèi)型,可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到 INPUT 鏈中。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中。這三個(gè)鏈?zhǔn)腔拘畔^(guò)濾表中內(nèi)置的缺省主鏈。另外,還有其它許多可用的鏈的類(lèi)型(如 PREROUTING 和 POSTROUTING ),以及提供用戶定義的鏈。每個(gè)鏈都可以有一個(gè) 策略,它定義“缺省目標(biāo)”,也就是要執(zhí)行的缺省操作,當(dāng)信息包與鏈中的任何規(guī)則都不匹配時(shí),執(zhí)行此操作。
建立netfilter/iptables IP 規(guī)則并將鏈放在適當(dāng)?shù)奈恢弥螅涂梢蚤_(kāi)始進(jìn)行真正的信息包過(guò)濾工作了。這時(shí)內(nèi)核空間從用戶空間接管工作。當(dāng)信息包到達(dá)防火墻時(shí),內(nèi)核先檢查信息包的頭信息,尤其是信息包的目的地。我們將這個(gè)過(guò)程稱(chēng)為 路由。
如果信息包源自外界并前往系統(tǒng),而且防火墻是打開(kāi)的,那么內(nèi)核將它傳遞到內(nèi)核空間信息包過(guò)濾表的 INPUT 鏈。如果信息包源自系統(tǒng)內(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其它源,并且此信息包要前往另一個(gè)外部系統(tǒng),那么信息包被傳遞到 OUTPUT 鏈。類(lèi)似的,源自外部系統(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈。
接下來(lái),將netfilter/iptables IP 信息包的頭信息與它所傳遞到的鏈中的每條規(guī)則進(jìn)行比較,看它是否與某條規(guī)則完全匹配。如果信息包與某條規(guī)則匹配,那么內(nèi)核就對(duì)該信息包執(zhí)行由該規(guī)則的目標(biāo)指定的操作。但是,如果信息包與這條規(guī)則不匹配,那么它將與鏈中的下一條規(guī)則進(jìn)行比較。最后,如果信息包與鏈中的任何規(guī)則都不匹配,那么內(nèi)核將參考該鏈的策略來(lái)決定如何處理該信息包。理想的策略應(yīng)該告訴內(nèi)核 DROP 該信息包。 圖 1 用圖形說(shuō)明了netfilter/iptables這個(gè)信息包過(guò)濾過(guò)程。
圖 1. 信息包過(guò)濾過(guò)程
【編輯推薦】
