linux常见命令(11) - 王朝网络

# 对创建大量新的连接创建一个链，除非这些连接来自内部。

# iptables -N block

# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

# iptables -A block -j DROP

# 由INPUT和FORWARD链跳往（刚刚创建的）那条链。

# iptables -A INPUT -j block

# iptables -A FORWARD -j block

6. 包是如何穿过过滤器的

内核由'filter'表中的以下三个规则开始。这些被称为防火墙链或就叫链。这三个链分别是 INPUT、OUTPUT和FORWARD。

对于ASCII艺术迷来说，链好象这样：（注意：这与2.0和2.2内核非常不同）

译者：ASCII艺术，这里指的是利用纯ASCII文本作图

_____

Incoming / \ Outgoing

-->[Routing ]--->|FORWARD|------->

[Decision] \_____/ ^

| |

v ____

___ / / \ |OUTPUT|

|INPUT| \____/

\___/ ^

| |

----> Local Process ----

三个圈代表上面说的三个链。当包到达图中的一个圈，那个链就检查并确定包的命运。如果链决定DROP包，包在那里就被杀死。但是如果链决定让包ACCEPT，包就继续在图中前进。

一个链是规则的列表。每个规则都会说：'如果包头看上去像这个的话，那么就这样处理'。如果规则和包不匹配，由链中的下一个规则处理。最后，如果再也没有要进行处理的规则了，内核就根据链的原则（policy，有时称为默认规则）来决定应当如何做。在一个注重安全的系统中，原则通常是让内核丢弃这个包。

1. 当一个包进入时（就是由以太网卡），内核首先检查包的目的地。这被称作“选路”。

2. 如果它就是进入本机的，包会向图中的下方移动，到达INPUT链。如果到了这里，任何等待这个包的进程都会收到它。

3. 否则，如果内核未被允许转发，或者不知道该如何转发这个包，它会被丢弃。如果允许转发，而且包的目的地是另一个网络接口（如果你有另一个的话），那么包向我们图中的右边行进，到达FORWARD链。如果允许通过（ACCEPT），它就被送了出去。

4. 最后，服务器上运行的程序可以发送网络包。这些包马上通过OUTPUT链。如果被允（ACCEPT），那么包继续向可以到达它的目的地的网络接口发送。

7. 使用iptables

iptables有着非常详尽的使用手册(man iptables)，而且如果你需要某个选项更详细的介绍。看看“iptables和ipchains的差别”可能对你非常有用。

使用iptables你可以做很多不同的事。开始的内建的三个链INPUT、OUTPUT和FORWARD是不能被删除的。让我们看看整个链的管理。

1. 创建一个新的链 (-N)。

2. 删除一个空链(-X)。

3.修改内建链的原则(-P)。

4. 显示链中的规则（表）(-L)。

5. 清空一个链(-F)。

6. 将链中所有规则的包和字节计数器清零(-Z)。

有几种办法操作链中的规则：

1. 向链中添加一条新规则(-A)。

2. 在链中某个位置插入一条新规则(-I)。

3. 替换某个位置的规则(-R)。

4. 删除链中某个位置的规则，或者是第一个被匹配的。(-D)。

7.1. 当计算机启动后你会看到的

ptables可以作为模块，称为'iptables_filter.o，可以在第一次运行iptables时自动被装载。也可以永久性的编到内核中。

在所有iptables命令执行之前（当心：某些发布版会在初始化脚本中运行iptables），所有内建链中都没有任何规则（'INPUT'、'FORWARD'和'OUTPUT')，所有链的原则都是ACCEPT。你可以在装载iptable_filter模块时，提供'forward=0'选项来修改FORWARD的默认原则。

7.2. 对单个规则的操作

这是基本的包过滤：管理规则，添加(-A)和删除(-D)命令可能是最常用的。其他的(-I插入和-R替换）只是简单的扩展而已。

每个规则都有一组条件来匹配包，和如果匹配了该如何做（target）。例如，你可能希望丢弃所有来自127.0.0.1的ICMP包。这样我们的条件就是协议必须是ICMP，而且源地址必须是127.0.0.1，我们的目标是丢弃(DROP)。127.0.0.1是一个回送接口，即使你没有真正的网络连接它也会存在。你可以用ping程序生成这样的包（它简单的发送ICMP 类型8（echo request），所有愿意响应的主机都会用ICMP 类型0（echo reply）来响应）。这对于测试非常有用。

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max = 0.2/0.2/0.2 ms

# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss

这里，第一个ping是成功的（'-c 1'告诉ping只发送一个包）

然后我们可以向'INPUT'链中添加（-A）一个规则，制定来自127.0.0.1('-s 127.0.0.1')的ICMP协议('-p icmp')包都将被丢弃('-j DROP')。

然后我们测试我们的规则，用第二个ping。在程序放弃等待永远不可能的响应之前，会暂停一下。

我们可以用两种办法中的任一种删除规则。首先，因为知道这是INPUT链中唯一的规则，我们用编号删除：

# iptables -D INPUT 1

删除INPUT链中的编号为1的规则

第二种办法是 -A 命令的映射，不过用-D替换-A。当你的链中规则很复杂，而你不想计算它们的编号的时候这就十分有用了。这样的话，我们可以使用：

# iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP

-D的语法必须和-A（或者-I或者-R）一样精确。如果链中有多个相同的规则，只会删除第一个。

7.3 过滤规格

我们已经看了，用'-p'指定协议，用'-s'指定源地址，不过还有其他选项我们可以用来指定包的特征。下面是一个详细的手册。

7.3.1 指定源和目的IP地址

源（'-s'，'--source'或'--src'）和目的（'-d'，'--destination'或'--dst'）IP地址可以用四种办法指定。最常用的方法是使用全名，就像'localhost'或者'www.linuxhq.com'。第二种办法是指定IP地址，如'127.0.0.1'。

第三和第四种办法允许指定一组IP地址，就像'199.95.207.0/24'或者'199.95.207.0/255.255.255.0'。这指定了从199.95.207.0到199.95.207.255范围内的所有IP地址。'/'后面的数字说明哪部分IP地址是有效的。'32'或者'255.255.255.255‘为默认的（匹配整个IP地址）。用'/0'来指定任何IP地址，像这样：

# '-s 0/0'在这里是多余的

# iptables -A INPUT -s 0/0 -j DROP

这很少用到，这和上面出现过的不指定'-s'结果完全一样。

7.3.2 反向指定

很多标记，包括'-s'（或'--source'）和'-d'（'--destination'）标记可以在前面加上'!'标志（读作'not'），来匹配所有和给出的 NOT 的地址。例如， '-s ! localhost'匹配所有不是来自本机的包。

7.3.3 协议指定

可以用'-p'（或'--protocol'）指定协议。协议可以是数字（如果你知道IP的协议数值）或者像'TCP'、'UDP'或者'ICMP'这类的名称。大小写无所谓，所以'tcp'和'TCP'一样。

协议名称前可加上'!'，以反向解释它，例如'-p ! TCP'将匹配所有不是TCP的包。

7.3.4 接口指定

'-i'（或'--in-interface'）和'-o'（或'--out-interface'）选项指定匹配的接口名。接口可以是包进入的('-i')或者送出('-o')的物理设备。你可以用ifconfig命令列出当前'up'的接口。（也就是说正在工作的）。

通过INPUT链的包不会有送出接口，所以在这个链中'-o'永远不会匹配。同样，通过OUTPUT链的包也没有进入接口，这个链中的'-i'也不会被匹配。

只有通过FORWARD链的包才有进入和送出两个接口。

可以指定一个当前不存在的接口。在这个接口可用之前，规则不能匹配任何东西。这对于拨号PPP连接及类似的非常有用（通常是ppp0接口）。

一个特殊情况，接口名后面是一个'+'，那就会匹配以这个字符串开头的所有接口（无论当前是否存在）。例如，指定一个匹配所有ppp接口的规则，要用到-i ppp+选项。

接口名也可以在前面插入 '!'，来匹配所有与指定接口不同的包，如-i ! ppp+。

7.3.5 分片指定

译者：为帮助大家理解，此处附上IP数据报的格式，摘自《Internetworking with TCP/IP》

版本号

首部长度

服务类型

总长度

标志符

标志

分片偏移量

寿命

协议

首部效验和

源IP地址

目的IP地址

IP选项

填充

数据

……

有时一个包太大，不可能适合所有线路。这样的话，包会被分成片，然后当作多个包发送。最终重组这些分片来重建整个包。

分片的问题是，被检查的初始片含有整个头部字段（IP+TCP，UDP和ICMP），但随后的包只有一部分头（没有附加协议字段的IP），因此，检查后面的分片的头部（就像有TCP、UDP和ICMP一样）是不可能的。

如果你在做NAT或连接追踪，那么所有分片在包过滤代码处理以前都会合并，所以你不需要为分片担心。

还请注意，到filter表中的INPUT链（或者任何由NF_IP_LOCAL_IN钩子程序钩入的表）的包实际上由核心IP栈片重组后到达。

否则，理解分片是如何被过滤规则处理的就非常重要了。任何过滤规则要求我们没有的信息，将被认为不匹配。这意味着（分片的）第一片像普通的包一样被处理。第二及后面的片则不会。因此，规则 -p TCP --sport www（指定源端口为'www'）永远不会匹配一个分片（的包）（除了第一片），相反的规则 -p TCP --sport ! www也不会。

无论如何，你可以用'-f'（或'--fragment'）标记指定专门处理第二及以后的分片的规则。当然也可以指定一个规则，让它不去匹配第二及以后的分片，在'-f'前加上'!'。

通常，让第二及以后的分片通过被认为是安全的，因为如果过滤处理了第一片，那么就无法在目标主机上进行重组。不过，已知的Bug是发送分片可能会轻易的让主机崩溃。你自己看着办吧。

网络高手注意：当这类检查进行时，畸形的包（防火墙读取的ICMP代码和类型过短的TCP、UDP和ICMP包）都将被丢弃。所以TCP分片从位置8开始。（译者：什么意思？大概是指IP包中的首部字段位置）

例如，下面的规则会丢弃任何发往192.168.1.1的分片。

# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP

7.3.6 iptables扩展：新的匹配

iptables是可扩展的，也就是包括内核和iptables工具都可以扩充新的特性。

下列部分扩展是标准的，其他的则是派生的。其他人可以做出扩展并发布给合适的人。

内核扩展一般位于内核模块子目录，诸如/lib/modules/2.4.0-test10/kernel/net/ipv4/netfilter。如果你使用了CONFIG_KMOD设置来编译内核，那么它们要求被装载，所以你不需要手工插入。

iptables程序扩展通常是位于/usr/local/lib/iptables/下的共享库，当然也可能在/lib/iptables或者/usr/lib/iptables，具体的要根据不同的发行版本来确定。

扩展有两种：新的目标，新的匹配（我们马上会谈到新的目标）。有些协议自动给出新的测试：如下所示，现有的包括TCP、UDP和ICMP。

这样，你可以在命令行中在 '-p'选项后指定新的测试，就可以载入扩展（模块）了。当允许扩展时，可以用'-m'选项装入扩展。

在选项后面（'-p'，'-j'或者'-m'）加上 '-h'或'--help'来获取扩展的帮助。

# iptables -p tcp --help

7.3.6.1. TCP 扩展

如果指定了'-p tcp'，那么TCP扩展将自动加载，并提供下列选项（不匹配分片）。

--tcp-flags

可附加一个'!'。有两个标志字串可以通过TCP标记来过滤。第一个标志字符串是mask：你想要测验的标志列表。第二个指出哪些将要被设置。例如：

# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

意思是所有标志都将被测试（'ALL'和'SYN, ACK,FIN,RST,URG,PSH'同义），不过只设置SYN和ACK。当然也可以用'NONE'表示无标志。

--syn

前面的'!'是可选的，是'--tcp-flags SYN, RST, ACK, SYN'的缩写

--source-port

后面可以跟一个'!'，可以是单个TCP端口，或一段端口。可以是/etc/services中的端口名或者数字。端口范围格式是低端口名 : 高端口名，或者（指定大于或等于给出的端口）是端口名 + ：，或者（指定小于或等于给出的端口）是: + 端口名。

--sport

就是 '--source-port'。

--destination-port

--dport

和上面类似，不过是指定匹配的目的端口（范围）。

--tcp-option

可以跟一个'!'和一个数字，匹配的是TCP选项和数字相等的包。如果试图用这个TCP选项匹配一个没有完整的TCP包头的包，那么这个包会被自动丢弃。

7.3.6.1.1. TCP标志的解释

有时只允许单向的TCP连接会很有用。例如，你可能会允许连接到外部WWW服务器，但不会允许来自那个服务器的连接。

最简单的举动可能是阻止来自那个服务器的包，可惜，TCP连接需要包双向传送（才能正常工作）。

解决办法是，只阻挡那些用来请求连接的包。这些包称为SYN包（OK，从技术上说，它们的SYN标志被设置，而没有设置RST和ACK标志，不过我们简单的称为SYN包）。通过只阻止这种包，我们就可以阻止来自那些地方的连接企图。

'--syn'标志是这样用的：只对指定了TCP协议的规则有效。例如，指定来自192.168.1.1的连接请求。

-p TCP -s 192.168.1.1 --syn