学派吧-iptables基本概念和原理 -linux教程

概述

iptables是linux自带的防火墙软件，用于配置IPv4数据包过滤或NAT（IPv6用ip6tables）。

在linux上，防火墙其实是系统内核的一部分，基于Netfilter构架，基本原理就是在内核网络层数据包流经的不同位置放置一些钩子（hook），利用这些嵌入网络层的hook来对数据抓取、控制或修改，iptables其实只是默认的netfilter控制管理工具，所以使用ps或者top看不到有一个“防火墙”的进程存在，防火墙是不能被卸载也不能关闭的，大家熟知的"service iptables stop"或者“/etc/init.d/iptables stop”命令只不过是清空所有策略和表，并把默认策略改为ACCEPT（允许）而已。

iptables有以下几个重点概念：：

table（表）：iptables内置4个table，不同的table代表不同的功能，每个table可以包含许多chain，不同类型的table对所能包含的chain和策略中的target的使用做了限定，一些target不能在一些table中使用。用户不能自定义table；

chain（链）：chain可用包括一系列的策略，通过配置不同的chain可以对不同作用的策略进行分类，iptables内置5个chain对应netfilter的5个hook，用户也可以自定义chain；

command（命令）：command是对表或链的操作动作，比如添加、删除、修改等等；

rule-specification（策略）：包括下面的匹配规则和目标；

match（匹配规则）：定义本条策略适用于那些数据包，匹配规则可以包括协议、源/目的地址、端口等等；

target（目标）：对匹配上规则的数据包采取的操作，target可以是一个动作或者自定义chain，常见的动作有丢弃（DROP）、允许（ACCEPT）、NAT等等，当target是自定义chain时，数据包进入自定义chain继续匹配；

policy（默认策略）：内置chain的默认动作，每个chain只能有一个policy，如果数据包匹配某条chain匹配完最后一条策略依然没有匹配上，那么就采用policy的默认动作。policy不匹配规则，而且target只能是丢弃（DROP）或允许（ACCEPT），自定义chain不能定义policy。

表

iptables的4个表分别是：

filter（过滤）：数据包过滤/拦截，可以包含INPUT、FORWARD、OUTPUT这3个内置chain。

nat（地址转换）：IP地址或端口号转换，可以包含PREROUTING、OUTPUT、POSTROUTING 3个内置chain，nat table在会话建立时会记录转换的对应关系，同一会话的回包和后续报文会自动地址转换，这是因为nat使用了ip_conntrack模块。

mangle（包管理）：用来修改IP报文，可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5个内置chain。

raw：此表的优先级高于ip_conntrack模块和其它的table，主要用于将有会话状态的连接（比如tcp）的数据包排除在会话外。可以包含POSTROUTING、OUTPUT两个内置chain。

看到这里肯定会有这样的疑问，为什么table只能包含一些而不是全部的chain呢？我想这个构架是按需设计而不是按功能设计的，尽管table不是包含所有的chain，但是每种功能的table都包含了实现这种功能所需的chain，即使包含更多的chain也是累赘或者无用的，而且实际上用起来也的确如此，够用了。

还有就是不同table生效优先顺序问题，先后优先级是这样的：

raw > mangle > nat > filter

所以，如果有filter禁止ping目的地址2.2.2.2，而nat又有策略将目的地址1.1.1.1转换成2.2.2.2，那么ping 1.1.1.1是ping不通的。

不过一般情况下filter是不会和nat的策略打起架来，比如INPUT chain能做filter，却不能做nat，PREROUTING能做nat却不能做filter，而且PREROUTING只能做目的地址转换，不会对源地址过滤的需求造成麻烦，所以通常是不会相互干扰的。

链

iptables内置的5个chain：PREROUTING、INPUT、OUPUT、FORWARD、POSTROUGING，这5个chain分别与netfilter中数据转发路径上的5个不同的位置挂钩，以匹配筛选不同类型的数据流，如下图所示：

学派吧-iptables基本概念和原理 -linux教程

其中：

PREROUTING链：应用于所有进入机器的ip包，包括目的地址是本机和目的地址非本机的包。

INPUT链：应用于所有目的是本机的包，也就是目的IP是本机接口地址，所有发给本地socket的数据都经过它。

OUPUT链：应用于所有由本机产生的包，所有应用程序发出的数据都经过它。

FORWARD链：应用于所有经过路由决策被转发的包，也就是目的地址不是本机的数据包。

POSTROUGING链：应用于所有发出机器的IP包，包括本机发出的和从本机转发的数据包。

策略匹配按照重上到下的顺序进行，当测试到某策略匹配时执行target并跳出，不再向下匹配，当测试到最后一条策略仍不匹配时，则采用policy指定的动作，如下图：

学派吧-iptables基本概念和原理 -linux教程

除了内置chain外，还可以自定义chain，自定义chain并不能利用netfilter的hook来捕捉数据包，但是可用于策略的分类，比如有3类不同的用户访问主机上的不同服务，如果所有策略都放在INPUT chain中策略会多而难以维护，这个时候就可以定义3个自定义chain，分别配置不同的策略，同时在INPUT chain中添加策略对来访者分类并将目标指向3个自定义chain。

自定义chain大显神威的地方在于动态生成策略，例如VPN服务器上，需要对不同分组的用户区别对待管理，但是用户IP是随机分配的，不能根据IP来区分用户组，这时候可以预先定义好各组chain，利用VPN服务端软件的一些钩子，当用户登陆时自动添加策略引导到自定义chain上来匹配。如果这时候没有自定义chain，那么策略的数量将是（用户数×所属组策略数），每增加一个用户，都要把所属组的全部策略添加一遍，这样大量的时间花费在策略匹配上，性能下降很快。