LINUX iptable应用手册(二)

第二篇准则（rules）iptables的每一条文则(rule)，都是由两局部构成的，第一局部包括一或多个「过滤前提」其效率是查看包能否适合处置前提(一切前提都必需创造才算数) ；第而局部称为「目的」，用於決定怎样处治适合前提的包。对於每一条文则，iptables各保护两个计数器：一个计划适合前提的封包数，称为packet counter；另一个计划该准则所处置的总材料量，称为byte counter。每当有包适合特定例则的过滤前提，该准则的packet counter便会被累加一，並将该包的巨细累加到该准则的byte counter。准则不妨惟有「过滤前提」或「目的」(处治办法)的个中之一；沒指定过滤前提时，则一切包都算适合前提；沒指定处治办法时，则纵容让包连接其过程，也即是說。包自己不会有任何变换，惟有该准则的两个counters会累增罢了。运用下列吩咐可将这种惟有计数效率的空准则介入filter表格forward链结：iptables -t filter -a forward过滤前提(matches)iptables可让你树立多种过滤前提，然而某些前提须要中心有供给关系功效才行。iptables自己內建普遍性的internet protocol (ip) 过滤前提，也即是說，立即沒载入任何夸大模组，你也不妨用ip包标头的「传输协议典型」、「根源位址」、「手段位置址」等栏位为过滤前提。关於普遍性的ip过滤前提，请参閱《ipv4过滤前提》。除去ip除外的其它协议，诸如icmp、tcp、udp之类，必需载入关系的夸大模组，才不妨动作过滤前提。运用iptables的-m或- -match选项，指出载入一定协议的夸大模组。一切对于过滤前提的夸大模组，简直都上对准搜集层（ip、icmp）或传输层（tcp、udp），独一不同上mac模组，它能让你以ethernet网卡的mediaaccesscontroller（mac）位址为过滤前提【证明：ethernet属于搜集层之下的「材料连结层」（osi model）或「实业层」（ip model）】。目的(target)目的「(targets)确定怎样处置适合过滤前提的包，或是当成链结的策略。iptables共内建四种目的（参见《表8》），除此除外的其它目的，必需透过夸大模组来供给。表8：iptables内建的目的运用本节简述百般包处置本领的看法，以及它们的运用。包过滤(packet filtering)「包过滤」是最基础的封包处置办法：于中心搜集程式的各交代点查看包內容，籍此确定包的后续处置过程(放行到下一阶段、不恢复而逕行停止、恢复拒绝接收消息，诸如许类）。累计(accounting)「累计」：运用百般包过滤前提的byte/package counter来监测搜集交通流量。连線追蹤(connection tracking)「连線追蹤」：供给可用於确定包关系性的特殊资源讯息。举例来說，一次ftp session同声须要两条辨别的连線，遏制与材料传输各一；用於追蹤ftp连線的夸大模组，应用对於ftp恊定的认知，从遏制连線上震动的封包材料中，领会出足再不识材料连線的资源讯息(於何时创造、两边所用的tcp port)，而后将查出的资源讯息供给给处置包的准则。封包窜改(packet mangling)「包窜改」：窜改包的标头栏位(常常是网路位址与通信埠编号)，或是其装载材料。网址转译 (network address translation，nat)nat是一种波及窜改根源位址，手段位置址、根源端口、手段地端口之特出「包窜改」。对於只窜改根源位址/通信端口的操纵，称为「source nat」(或简称为s-nat或sn at)；若只窜改手段位置址/通信端口，则称为「destination nat」(或简称为d-nat或dnat)。某些情势的nat须要应用「连線追蹤」来決定怎样窜改包。偽装(masquerading)「偽装」是一种特出的snat操纵：未来自其它电脑的包的根源位址改成本人的位址：请提防，由於入替的根源位址是机动決定的(实行snat的长机的ip位址)。以是，即使它变换了，仍在连接中的旧连線将会作废。「偽装」的重要用处是让多部运用private ip的电脑(常常是透过dhcp动静博得)不妨共用同一个public ip(恒定或isp动静调配)上钩。通信埠转接(port forwarding)「通信埠转接」是一种特出的dnat操纵，其效率是让一部电脑(常常是防火牆)控制其它电脑的代劳伺服器(proxy)。防火牆接受外界搜集接传给它本人的包，而后改写包的手段位置址或手段端口，使其像是要送给內部网路其它电脑的樣子，而后才窜改好的包送往新手段地。其余，来自內部网路的关系恢复包，也会被防火牆改写成像是从防火牆本人发出的樣子，而后才送给外界电脑。「通信端口转接」常常用於供给內部网路的公然效劳(像是web server或email server)给外界存取，而不须要一个之上的public ip。对於外界而言，那些公然效劳就像是代劳长机(防火牆)所供给的，对於內部网路上的如实伺服器而言，就犹如一切的效劳诉求都来自代劳长机。负裁平稳(load balancing)「负戴平稳」的效率是将连線平等分散给一组伺服器，以充溢运用资源。最大略的作法是运用「通信端口转接」本领，使其以轮回程序采用手段位置址。设定iptables的组态各家linux体例的iptables组态设定步调都不太一律，本节供给通用的作法，以及red hat 私有的设定本领。「准则」的积聚与恢复red hat linu体例将iptables的「准则」积聚于/etc/sysconfig/iptables档案，运用iptables initscript （常常是/etc/init.d/iptables)可将其时的准则积聚于/etc/sysconfig/iptables，或将该档案裡的准则载入中心，如次：/etc/init.d/iptables save （积聚其时组态）/etc/init.d/iptables restore （载入前次积聚的组态）运用red hat linux的chkconfig吩咐，不妨查出哪些runlevel会机动实行iptables：chkconfig - - list iptables假如你想在runlevels3、4、与5启用iptables，运用下列吩咐：chkconfig - -levels 345 iptables on你也不妨本人启用iptables（从/etc/sysconfig/iptables档案载入准则，与/etc/init.d/iptables restore等效）：service iptables start下列吩咐不妨使其作废（荡涤掉中心其时的准则）：service iptables stop对于red hat linux除外的其它体例，可运用iptables-save与iptables-restore到达积聚、恢复准则的功效。对于这两个东西程式，请参见《扶助东西》。其它关系組態檔透过/proc档案体例下的假造档案，不妨监测、遏制中心的普遍搜集功效，以及iptables的动作。《表9》列出最常用的档案。中心对于iptables的救济iptables与linux中心的本子休戚相关。在red hat linux体例上，运用uname -r 吩咐可查出其时中心的本子。你拜访到一致以底下的消息：2.4.20-20.9开初用来建构中心的组态档，其称呼该当含有中心的本子与呆板典型（可运用uname -a查出来），比方：/usr/src/linux-2.4.20-2.9/configs/kernel-2.4.20-i686.config与iptables功效相关的组态名目，其称呼大都是以config_ip_nf_带头。以次是起码必需完备的基础重要项目：●config_packet(透过搜集界面径直通信）●config_netfilter（供给iptables所须要的中心普通体制）●config_ip_nf_conntrack（救济nat与假装）●config_ip_nf_filter（救济filter表格）●config_ip_nf_iptables（使userspace的iptables东西不妨设定kernel-space里的netfilter）●config_ip_nf_mangle（救济mangle表格）●config_ip_nf_nat（救济nat表格）********************************劝告:你大概会很想要翻开confg_net_fastroute，由于「fast routing」听起来是很符合用在风火墙的功效。别这么做！由于「fast routing」的道理本来是绕过netfilter的各个阻挡点。********************************即使须要不妨与旧版风火墙本领（2.0期间的ipfwadmin，以及2.2期间的ipchains）相容，请介入下列两个选项：●config_ip_nf_compathains●config_ip_nf_compat_ipfwadm______________________________缺窍有一组专为添增新功效到netfiiter的中心补缀程式，称为「patch-o-matic」在netfilter主網站的《netfilterextensions howto》(位於http://www.netfilter.org/documeniation/howto/netfilter.extensions.howto.html)不妨找到关於这组补缀程式的說明。patch-o-matic自己並非隨附iptables一道發行．而必需其余从ftp:/ftp.netfiher.org/pub/patch-o-matic/载入。______________________________当你补缀中心时,必需特別精心，更加是对於试验性的netfilter夸大模组。有些模组以至不许同声编写翻译，有些以至纵然可编写翻译也不许夠实行。总之，对於兴建好的中心，该当事前於可有可无的情况下举行尝试，而不要遽然安置在本质的风火墙上。连線追蹤(connection tracking)有本领找到各别封包之間的邏輯關連性，分属的论理连線；论理连線的观念以至也实用於某的udp封包(固然udp自己是一种沒有连線观念的协议）。为了做到这点，中心必需记錄连線的人命週期进度追蹤资源讯息供给给conntrack mateh extension(【注译：match extension是可讓iptables运用特出條件來过滤封包的夸大模组】)。tcp本质的连線搭建步调与状况保护体制颇为搀杂，所为此，線追蹤论理将连線的所有人命期简化为四个阶段(四种状况)，对於个別tcp包，必然是属於道四种状况的连線之一。请参閱《表10》：对于每一条连线（囊括简直tcp连线，以及广义的udp连线），连线線追蹤论理各保护三个位元的状况资源讯息。《表11》列出那些态代码的称呼(可用於 - -ctstatus选项)。iptables的連線追蹤邏輯，可承诺外挂模组来扶助辨识新连线与现有连线之间的联系。当你的风火墙（或闸道器）须要转接多连线式的协议功夫 、，你将须要运用关系蹑踪的重要连线情势。在运用它们之前，必需先用modprobc将关系模组载入中心。请参閱《helper过滤前提》。累计(accounting)对於每一条文则，中心各自树立两个专属的计数器，用来累计适合该前提的封包数，以及那些封包的总位元组数。这两项资源讯息可用於统计网路用量。举例来說，假如有一台internet闸道器路，eth0接里面搜集，eth1接internet；运用下列准则可使其中心机动累计表里网路所交換的封包数与材料量：iptables -a forward -i ethliptables -a forward -o ethliptables -a input -i ethliptables -a output -o ethl实行上述吩咐之后，运用iptable -l -v表露统计截止（提防input和output的计数截止 - 非零值表白仍旧有些搜集交通题目爆发在咱们表露计数截止之前）：chain input (policy accept 27 packets, 1728 bytes)pkts bytes target prot opt in out source destination3 192 all - - eth1 any anywhere anywherechain forward (policy accept 0 packets, 0 bytes)pkts bytes target prot opt in out source destination0 0 all - - eth1 any anywhere anywhere 0 0 all - - any eth1 anywhere anywherechain output (policy accept 21 packets, 2744 bytes)pkts bytes target prot opt in out source destination3 192 all - - any eth1 anywhere anywhere在统计上面的运用，请介入《表14》对于 -c、-n、-t和-x选项的计划，以及《表15》对于-l和-z选项的证明。网址转译(network address translation，nat)当封包流经nat電腦時，其位址/通訊端口會被窜改，以達到变换包手段地(或路程)，或是让手段地误觉得包是源自nat电脑的功效。換言之，对封包实行nat的电脑，不妨变成新包的根源或手段地，或是变成真实根源与手段地之间的中继站。*****************************劝告：nat须要连线蹑踪的本领，而连线蹑踪又须要电脑能看到一切包才灵验，以是，即使你的风火墙是有多台电脑构行，请提防制止妨害连线蹑踪。*****************************运用nat的位址/通信埠操弄本领，不妨实行很多有效的运用。为此，iptables內建一个nat表格，专用於树立百般波及nat操纵的准则。对於大普遍协议，nat可径直窜改包的(根源/手段地)位址/通信埠．而不用领会包的承戴內容何以。然而，某些恊定须要通信两边在实行期才恊商位址或通信端口(ftp恊定的资源讯息连線即是一例)，換言之，这类恊定的装载內容里，含有感化后续关系连線的位址或通信端口资源讯息。要让这类协议的封包能成功经过nat閘道，iptables必然须要能领会各種恊定封包的本领，要不，通信两边将由于不领会nat的生存．而交換了缺点的位址(或通信端口)资源讯息．形成协议作废。很明显地，iptables不大概领会每一种装载实质含有位址资源讯息的协议，为此，iptables的nat 论理承诺你运用外挂模组，以扶助处置须要调换位址资源讯息的协议之封包，你可用modprobe吩咐来将一定的扶助模组载入中心。《表13》列出了常用的 nat扶助模组。snat與偽裝source nat(snat)的重要應用，是让同一內部網路上的多部长机，可共用同一条internet实业连線．径直与internet贯串的闸道器，可运用snat(搭配连線追蹤)来来改写內部搜集与internet之间的交易封包的根源位址。离境封包的根源位址，会被改成闸遭器在internet端的恒定ip位址；當外界长机恢复时，它们的封包的手段位置址将会是闸道器的interne端的ip位址，以是闸道器不妨阻挡那些封包，将它们的手段位置址改成精确的內部长机ip位址，而后转赠到內部网路。由於snat必需在封包行将摆脱中心的前一刻，立即窜改其根源位址(或通信端口)，以是snat准则的树立场所必需是在nat表格的postrouting链结。举例来說，假如闸道器与internet贯串的介面是ethl，則下列两种iptables吩咐不妨完毕snat的功效。iptable -t nat -a postrouting -o eth1 -j snat或iptable -t nat -a postrouting -o eth1 -j masquerade第一种本领是径直运用snat为目的，这种本领符合用在具备恒定ip地方的网关器，另一种本领是运用是运用masquerade为目的，符合用来惟有动静ip地方的网关器(比方，运用pppoe协议的adsl连线）。因为因为masquerade不妨草率搜集界面遽然离线，而后以另一个地方回复上线的情景，以是它变换论理比拟搀杂些，须要丧失比拟多的cpu演算本领，所以，即使你有恒定的ip地方，就该当尽管运用snat来包办masquerade。dnatdestination nat(dnat)的重要用处，是让internet上的电脑不妨存取里面搜集上的一定效劳，然而却又不径直供给效劳的里面效劳器联机。只有不用在同一个通信端口上供给两个之上的同本质效劳(比方，供给两个各别的www网站），就只须要运用一条internet联机(一个public ip位址）。闸道器将本来送给一定通信端口的封包，扶引到指定的里面效劳器与通信端口，而后阻挡里面效劳器的恢复封包，改写其手段位置址（与通信端口），是其回到精确的外界搜集位址。因为dnat窜改包的手段位置址的机会，必需在包行将被送给本机路途之前，或是要被转赠其它电脑之前；以是，运用dnat为目的的准则，必需树立于nat表格的prerouting链结。举例来说，若要将外界连到闸道器port80（http）的联机转接到里面搜集上的192.168.1.3：8080的web server，你不妨运用以次吩咐（假如eth1是闸道器贯穿internet的搜集界面）：iptable -t nat -a prerouting -i eth1 -p tcp - -dport 80-j dnat --to-destination 192.168.1.3：8080注译：package ：“封包”或称谓为“包”filter ： 挑选或 过滤