下面的内容要求具有对TCP/IP,路由,防火墙及包过滤的基本概念的了解。
在第一部分已经解释过,filter表和三个钩子进行了挂接,因此提供了三条链进行数据过滤。所有来自于网络,并且发给本机的数据报会遍历INPUT规则链。所有被转发的数据报将仅仅遍历FORWARD规则链。最后,本地发出的数据报将遍历OUTPUT链。
向规则链中插入规则
Linux2.4提供了一个简洁强大的工具"iptables"来插入/删除/修改规则链中的规则。这里并不对iptalbes进行详细的介绍,而只是讨论它的主要的一些特性:
该命令实现对所有的ip表进行处理,当前包括filter,nat及mangle三个表格,及以后扩展的表模块。
该命令支持插件来支持新的匹配参数和目标动作。因此对netfilter的任何扩展都非常的简单。仅仅需要编写一个完成实际目标动作处理的模块和iptalbes插件(动态连接库)来添加所需要的一切。
它有两个实现:iptables(IPV4)及ip6tables。两者都基于相同的库和基本上相同的代码。
基本的iptables命令
一个iptables命令基本上包含如下五部分:希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入,添加,删除,修改)、对特定规则的目标动作、匹配数据报条件。
基本的语法为:
iptables -t table -Operation chain -j target match(es)
例如希望添加一个规则,允许所有从任何地方到本地smtp端口的连接:
iptables -t filter -A INPUT -j ACCEPT -p tcp --dport smtp
当然,还有其他的对规则进行操作的命令如:清空链表,设置链缺省策略,添加一个用户自定义的链....
基本操作:
-A 在链尾添加一条规则;
-I 插入规则;
-D 删除规则
-R 替代一条规则;
-L 列出规则。
基本目标动作,适用于所有的链:
ACCEPT 接收该数据报;
DROP 丢弃该数据报;
QUEUE 排队该数据报到用户空间;
RETURN 返回到前面调用的链;
foobar 用户自定义链。
基本匹配条件,适用于所有的链:
-p 指定协议(tcp/icmp/udp/...);
-s 源地址(ip address/masklen);
-d 目的地址(ip address/masklen);
-i 数据报输入接口;
-o 数据报输出接口;
除了基本的操作,匹配和目标还具有各种扩展。
iptables的数据报过滤匹配条件扩展
有各种各样的数据包选择匹配条件扩展用于数据包过滤。这里仅仅简单的说明来让你感受扩展匹配的强大之处。
这些匹配扩展给了我们强大的数据报匹配手段:
TCP匹配扩展能匹配源端口,目的端口,及tcp标记的任意组合,tcp选项等;
UPD匹配扩展能匹配源端口和目的端口;
ICMP匹配扩展能匹配ICMP类型;
MAC匹配扩展能匹配接收到的数据的mac地址;
MARK匹配扩展能匹配nfmark;
OWNE匹配扩展(仅仅应用于本地产生的数据报)来匹配用户ID,组ID,进程ID及会话ID;
LIMIT扩展匹配用来匹配特定时间段内的数据报限制。这个扩展匹配对于限制dos攻击数据流非常有用;
STATE匹配扩展用来匹配特定状态下的数据报(由连接跟踪子系统来决定状态),可能的状态包括:
INVALID (不匹配于任何连接);
ESTABLISHED (属于某个已经建立的链接的数据报);
NEW (建立连接的数据报);
RELATED (和某个已经建立的连接有一定相关的数据报,例如一个ICMP错误消息或ftp数据连接);
TOS匹配扩展用来匹配IP头的TOS字段的值。
iptables的数据报过滤目标动作扩展
LOG将匹配的数据报传递给syslog()进行记录
ULOG 将匹配的数据适用用户空间的log进程进行记录
REJECT 不仅仅丢弃数据报,同时返回给发送者一个可配置的错误信息
MIRROR 互换源和目的地址以后重新传输该数据报
