LINUX iptable应用手册(二)

 第二篇


规则（Rules）
iptables的每一条规则(rule)，都是由两部分组成的，第一部分包含一或多个「过滤条件」其作用是检查包是否符合处理条件(所有条件都必须成立才算数) ；第而部分称为「目标」，用於決定如何处置符合条件的包。

对於每一条规则，iptables各维护两个计数器：一个计算符合条件的封包数，称为packet counter；另一个计算该规则所处理的总资料量，称为byte counter。每当有包符合特定规则的过滤条件，该规则的packet counter便会被累加一，並将该包的大小累加到该规则的byte counter。

规则可以只有「过滤条件」或「目标」(处置方式) 的其中之一；沒指定过滤条件时，则所有包都算符合条件；沒指定处置方式时，则放任让包继续其流程，也就是說。包本身不会有任何改变，只有该规则的两个 counters会累增而已。使用下列命令可将这种只有计数作用的空规则加入filter表格FORWARD链结：

iptables -t filter -A FORWARD


过滤条件(Matches)
iptables 可让你设置多种过滤条件，但是某些条件需要核心有提供相关功能才行。Iptables本身內建一般性的Internet Protocol (IP) 过滤条件，也就是說，即时沒载入任何扩充模组，你也可以用IP包标头的「传输协定类型」、「来源位址」、「目的地位址」等栏位为过滤条件。关於一般性的 IP过滤条件，请参閱《IPv4过滤条件》。

除了IP之外的其它协定，诸如ICMP、TCP、UDP等等，必须载入相关的扩充模组，才可以作为过滤条件。使用iptables的-m或- -match选项，指出载入特定协定的扩充模组。

所有关于过滤条件的扩充模组，几乎都上针对网络层（IP、ICMP）或传输层（TCP、UDP），唯一例外上mac模组，它能让你以Ethernet网卡的 MediaAclearcase/" target="_blank" >ccessController（MAC）位址为过滤条件【注解：Ethernet属于网络层之下的「资料连结层」（OSI Model）或「实体层」（IP Model）】。


目标(Target)

目标「(targets)决定如何处理符合过滤条件的包，或是当成链结的政策。iptables共内建四种目标（参阅《表8》），除此之外的其它目标，必须透过扩充模组来提供。

表8：iptables内建的目标





应用
本节简述各种包处理技术的观念，以及它们的应用。


包过滤(Packet filtering)

「包过滤」是最基本的封包处理方式：于核心网络程式的各交接点检查包內容，籍此决定包的后续处理流程(放行到下一阶段、不回复而逕行放弃、回复拒收讯息，诸如此类）。


累计(Accounting)

「累计」：使用各种包过滤条件的byte/package counter来监测网络交通量。



连線追蹤(Connection tracking)

「连線追蹤」：提供可用於判断包相关性的额外资讯。举例来說，一次FTP session同时需要两条分离的连線，控制与资料传输各一；用於追蹤FTP连線的扩充模组，运用对於FTP恊定的认知，从控制连線上流动的封包资料中，分析出足以便识资料连線的资讯(於何时建立、双方所用的TCP port)，然后将查出的资讯提供给处理包的规则。

封包修改(Packet mangling)

「包修改」：修改包的标头栏位(通常是网路位址与通讯埠编号)，或是其承载资料。


网址转译 (Network address translation，NAT)
NAT 是一种涉及修改来源位址，目的地位址、来源端口、目的地端口之特殊「包修改」。对於只修改来源位址/通讯端口的操作，称为「Source NAT」(或简称为S-NAT或SN AT)；若只修改目的地位址/通讯端口，则称为「Destination NAT」(或简称为D-NAT或DNAT)。某些形式的NAT需要运用「连線追蹤」来決定如何修改包。



偽装(Masquerading)

「偽装」是一种特殊的SNAT操作：将来自其它电脑的包的来源位址改成自己的位址：请注意，由於入替的来源位址是自动決定的(执行SNAT的主机的IP位址)。所以，如果它改变了，仍在持续中的旧连線将会失效。「偽装」的主要用途是让多部使用private Ip的电脑(通常是透过DHCP动态取得)可以共用同一个public IP(固定或ISP动态分配)上网。



通讯埠转接(Port Forwarding)

「通讯埠转接」是一种特殊的DNAT操作，其作用是让一部电脑(通常是防火牆)担任其它电脑的代理伺服器(proxy)。防火牆接收外界网络接传给它自己的包，然后改写包的目的地位址或目的端口，使其像是要送到內部网路其它电脑的樣子，然后才修改好的包送往新目的地。此外，来自內部网路的相关回复包，也会被防火牆改写成像是从防火牆自己发出的樣子，然后才送到外界电脑。

「通讯端口转接」通常用於提供內部网路的公开服务(像是web server或email server)给外界存取，而不需要一个以上的public IP。对於外界而言，这些公开服务就像是代理主机(防火牆)所提供的，对於內部网路上的真实伺服器而言，就好像所有的服务要求都来自代理主机。

负裁平衡(Load balancing)
「负戴平衡」的作用是将连線平均分散给一组伺服器，以充分利用资源。最简单的作法是利用「通讯端口转接」技术，使其以循环顺序选择目的地位址。


设定iptables的组态

各家Linux系统的iptables组态设定程序都不太一样，本节提供通用的作法，以及Red Hat 特有的设定方法。

「规则」的储存与回复

Red Hat Linu系统将iptables的「规则」储存于/etc/sysconfig/iptables档案，使用iptables initscript （通常是/etc/init.d/iptables)可将当时的规则储存于/etc/sysconfig/iptables，或将该档案裡的规则载入核心，如下：
/etc/init.d/iptables save （储存当时组态）
/etc/init.d/iptables restore （载入前次储存的组态）
使用Red Hat Linux的chkconfig命令，可以查出哪些runlevel会自动执行iptables：
chkconfig - - list iptables


假设你想在runlevels3、4、与5启动iptables，使用下列命令：

chkconfig - -levels 345 iptables on

你也可以自己启动iptables（从/etc/sysconfig/iptables档案载入规则，与/etc/init.d/iptables restore等效）：

service iptables start

下列命令可以使其失效（清洗掉核心当时的规则）：

service iptables stop

对于Red Hat Linux之外的其它系统，可使用iptables-save与iptables-restore达到储存、回复规则的效果。关于这两个工具程式，请参阅《辅助工具》。

其它相关組態檔

透过/proc档案系统下的虚拟档案，可以监测、控制核心的一般网络功能，以及iptables的行为。《表9》列出最常用的档案。





核心对于iptables的支援

iptables与Linux核心的版本息息相关。在Red Hat Linux系统上，使用uname -r 命令可查出当时核心的版本。你会见到类似以下面的讯息：
2.4.20-20.9

当初用来建构核心的组态档，其名称应该含有核心的版本与机器类型（可使用uname -a查出来），例如：

/usr/src/linux-2.4.20-2.9/configs/
kernel-2.4.20-i686.config

与iptables功能有关的组态项目，其名称多半是以CONFIG_IP_NF_为首。以下是至少必须具备的基本要项：


●CONFIG_PACKET(透过网络界面直接通讯）

●CONFIG_NETFILTER（提供iptables所需要的核心基础机制）

●CONFIG_IP_NF_CONNTRACK（支援NAT与伪装）

●CONFIG_IP_NF_FILTER（支援filter表格）

●CONFIG_IP_NF_IPTABLES（使userspace的iptables工具能够设定kernel-space里的Netfilter）

●CONFIG_IP_NF_MANGLE（支援mangle表格）

●CONFIG_IP_NF_NAT（支援nat表格）


********************************

警告:
你或许会很想要打开CONFG_NET_FASTROUTE，因为「fast routing」听起来是很适合用在防火墙的功能。别这么做！因为「fast routing」的原理其实是绕过Netfilter的各个拦截点。

********************************


如果需要能够与旧版防火墙技术（2.0时代的ipfwadmin，以及2.2时代的ipchains）相容，请加入下列两个选项：

●CONFIG_IP_NF_COMPATHAINS

●CONFIG_IP_NF_COMPAT_IPFWADM


______________________________

缺窍

有一组专为添增新功能到Netfiiter的核心修补程式，称为「patch-o-matic」在Netfilter主網站的《NetfilterExtensions HOWTO》(位於http: //www.netfilter.org/documenIation/HOWTO/netfilter.extensions.HOWTO.html) 可以找到关於这组修补程式的說明。Patch-o-matic本身並非隨附iptables一起發行．而必须另外从ftp: /ftp.netfiher.org/pub/patch-o-matic/下载。

______________________________


当你修补核心时,必须特別谨慎，尤其是对於实验性的Netfilter扩充模组。有些模组甚至不能同时编译，有些甚至即使可编译也不能夠执行。总之，对於新建好的核心，应该事先於无关紧要的环境下进行测试，而不要贸然安装在实际的防火墙上。

连線追蹤(Connection Tracking)
有能力找出不同封包之間的邏輯關連性，所属的逻辑连線；逻辑连線的概念甚至也适用於某的UDP封包(虽然UDP本身是一种沒有连線概念的协定）。为了做到这点，核心必须记錄连線的生命週期进度追蹤资讯提供给conntrack mateh extension(【注译：match extension是可讓iptables使用特殊條件來过滤封包的扩充模组】)。

TCP实际的连線搭建程序与状态维护机制颇为复杂，所为此，線追蹤逻辑将连線的整个生命期简化为四个阶段(四种状态)，对於个別TCP包，必定是属於道四种状态的连線之一。请参閱《表10》：





对于每一条连线（包括具体TCP连线，以及广义的UDP连线），连线線追蹤逻辑各维护三个位元的状态资讯。《表11》列出这些态代码的名称(可用於 - -ctstatus选项)。






iptables的連線追蹤邏輯，可容许外挂模组来辅助辨识新连线与旧有连线之间的关系。
当你的防火墙（或闸道器）需要转接多连线式的协定时间 、，你将需要使用相关追踪的主要连线形式。
在使用它们之前，必须先用modprobc将相关模组载入核心。请参閱《helper过滤条件》。





累计(Accounting)
对於每一条规则，核心各自设置两个专属的计数器，用于累计符合该条件的封包数，以及这些封包的总位元组数。这两项资讯可用於统计网路用量。

举例来說，假设有一台Internet闸道器路，eth0接内部网络，eth1接Internet；使用下列规则可使其核心自动累计内外网路所交換的封包数与资料量：
iptables -A FORWARD -i ethl
iptables -A FORWARD -o ethl
iptables -A INPUT -i ethl
iptables -A OUTPUT -o ethl

执行上述命令之后，使用iptable -L -v显示统计结果（注意INPUT和OUTPUT的计数结果 - 非零值表示已经有些网络交通问题发生在我们显示计数结果之前）：

Chain INPUT (policy ACCEPT 27 packets, 1728 bytes)
pkts bytes target prot opt in out source destination
3 192 all - - eth1 any anywhere anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 all - - eth1 any anywhere anywhere
0 0 all - - any eth1 anywhere anywhere

Chain OUTPUT (policy ACCEPT 21 packets, 2744 bytes)
pkts bytes target prot opt in out source destination
3 192 all - - any eth1 anywhere anywhere

在统计方面的应用，请参与《表14》对于 -c、-n、-t和-x选项的讨论，以及《表15》对于-L和-z选项的说明。


网址转译

(Network Address Translation，NAT)
当封包流经NAT電腦時，其位址/通訊端口會被修改，以達到改变包目的地(或旅程)，或是让目的地误以为包是源自NAT电脑的效果。換言之，对封包执行NAT的电脑，可以成为新包的来源或目的地，或是成为真正来源与目的地之间的中继站。


*****************************

警告：
NAT需要连线追踪的能力，而连线追踪又需要电脑能看到所有包才有效，所以，如果你的防火墙是有多台电脑构行，请小心避免破坏连线追踪。

*****************************


利用NAT的位址/通讯埠操弄能力，可以执行许多有用的应用。为此，iptables內建一个nat表格，专用於设置各种涉及NAT操作的规则。

对於大多数协定，NAT可直接修改包的(来源/目的地)位址/通讯埠．而不必理会包的承戴內容为何。不过，某些恊定需要通讯双方在执行期才恊商位址或通讯端口(FTP恊定的资讯连線就是一例)，換言之，这类恊定的承载內容里，含有影响后续相关连線的位址或通讯端口资讯。要让这类协定的封包能顺利通过NAT閘道，iptables势必需要能分析各種恊定封包的能力，否则，通讯双方将因为不知道NAT的存在．而交換了错误的位址(或通讯端口)资讯．造成协定失效。

很显然地，iptables不可能知道每一种承载内容含有位址资讯的协定，为此，iptables的NAT
逻辑容许你使用外挂模组，以协助处理需要交换位址资讯的协定之封包，你可用modprobe命令来将特定的辅助模组载入核心。《表13》列出了常用的 NAT辅助模组。






SNAT與偽裝
Source NAT(SNAT)的主要應用，是让同一內部網路上的多部主机，可共用同一条Internet实体连線．直接与Internet相连的闸道器，可使用 SNAT(搭配连線追蹤)来来改写內部网络与Internet之间的来往封包的来源位址。出境封包的来源位址，会被改成闸遭器在Internet端的固定 IP位址；當外界主机回复时，它们的封包的目的地位址将会是闸道器的Interne端的IP位址，所以闸道器可以拦截这些封包，将它们的目的地位址改成正确的內部主机IP位址，然后转送到內部网路。

由於SNAT必须在封包即将离开核心的前一刻，即时修改其来源位址(或通讯端口)，所以SNAT规则的设置地点必须是在nat表格的POSTROUTING链结。
举例来說，假设闸道器与Internet相接的介面是ethl，則下列两种iptables命令可以达成SNAT的效果。

iptable -t nat -A POSTROUTING -o eth1 -j SNAT
或
iptable -t nat -A POSTROUTING -o eth1 -j MASQUERADE


第一种方法是直接使用SNAT为目标，这种方法适合用在具有固定IP地址的网关器，另一种方法是使用是使用MASQUERADE为目标，适合用于只有动态 IP地址的网关器(例如，使用PPPoE协定的ADSL连线）。由于由于MASQUERADE能够应付网络界面忽然离线，然后以另一个地址恢复上线的情况，所以它转换逻辑比较复杂些，需要耗损比较多的CPU运算能力，因此，如果你有固定的IP地址，就应该尽量使用SNAT来代替MASQUERADE。


DNAT

Destination NAT(DNAT)的主要用途，是让Internet上的电脑能够存取内部网络上的特定服务，但是却又不直接提供服务的内部服务器联机。只要不必在同一个通讯端口上提供两个以上的同性质服务(例如，提供两个不同的WWW网站），就只需要使用一条Internet联机(一个public Ip位址）。闸道器将原本送到特定通讯端口的封包，导引到指定的内部服务器与通讯端口，然后拦截内部服务器的回复封包，改写其目的地位址（与通讯端口），是其回到正确的外界网络位址。

由于DNAT修改包的目的地位址的时机，必须在包即将被送到本机行程之前，或是要被转送其它电脑之前；所以，使用DNAT为目标的规则，必须设置于nat表格的PREROUTING链结。
举例来说，若要将外界连到闸道器port80（HTTP）的联机转接到内部网络上的192.168.1.3：8080的web server，你可以使用以下命令（假设eth1是闸道器连接Internet的网络界面）：
iptable -t nat -A PREROUTING -i eth1 -p tcp - -dport 80
-j DNAT --to-destination 192.168.1.3：8080




注译：
package ：“封包”或称呼为“包”
filter ： 筛选或 过滤

原文转自：http://www.ltesting.net