Explication graphique détaillée du principe d'iptables sous Linux

1, netfilter et iptables

---

(1) Netfilter est un framework de pare-feu du noyau Linux 2.4 proposé par Rusty Russell. Le framework est à la fois concis et flexible et peut implémenter la sécurité. politiques De nombreuses fonctionnalités de l'application, telles que le filtrage des paquets, le traitement des paquets, le masquage d'adresses, le proxy transparent, la traduction d'adresses réseau (NAT) dynamique et le filtrage basé sur les adresses des utilisateurs et de contrôle d'accès au support (MAC) et le filtrage basé sur l'état, les paquets. limitation de débit, etc. Ces règles d'Iptables/Netfilter peuvent être combinées de manière flexible pour former un grand nombre de fonctions, couvrant tous les aspects, tout cela grâce à ses excellentes idées de conception.

Netfilter est un module de traitement de paquets au sein de la couche centrale du système d'exploitation Linux. Il a les fonctions suivantes :

• Traduction d'adresse réseau (Traduction d'adresse réseau)

• Modification du contenu des paquets de données

• Pare-feu de filtrage de paquets

　 (2) Les paquets de données sont formulés dans le Plateforme Netfilter Cinq points de montage (Hook Point, nous pouvons le comprendre comme un point de fonction de rappel. Lorsque le paquet de données atteint ces emplacements, notre fonction sera activement appelée, nous donnant la possibilité de changer sa direction et son contenu lorsque le paquet de données est acheminé ), ces 5 points de montage sont respectivement

, PRE_ROUTING, INPUT, OUTPUT, FORWARD. POST_ROUTING

(3) Les règles définies par Netfilter sont stockées dans la mémoire du noyau, et iptables est une application de couche application qui passe Netfilter L'interface publiée est utilisé pour modifier les XXtables (table de configuration Netfilter) stockées dans la mémoire du noyau. Ce XXtables se compose d'une table

, d'une chaîne tables et d'une règle chains. iptables est responsable de la modification de ce fichier de règles au niveau de la couche application. Une application similaire est firewalld. rules

　

---

2. Quatre tables de filtre, nat, mangle et autres règles

---

(1) table a des tables de règles filter, nat, mangle et autres ;

　

table de filtrage

　 Principalement utilisé pour filtrer les paquets de données et décider de les publier en fonction à des règles spécifiques Le paquet de données (tel que DROP, ACCEPT, REJECT, LOG). Le module du noyau correspondant à la table de filtrage est iptable_filter, qui contient trois chaînes de règles :

• chaîne : INPUTINPUT est destiné aux paquets dont la destination est

• Chaîne : FORWARDFORWARD filtre tous ceux qui ne sont pas générés localement et la destination n'est pas locale (c'est-à-dire que la machine locale est uniquement responsable de forwarding)

• Chaîne : OUTPUTOUTPUT est utilisée pour filtrer tous les packages générés localement

　 table nat

　 est principalement utilisée pour modifier l'adresse IP, le numéro de port et d'autres informations du paquet de données (traduction d'adresse réseau, telle que SNAT, DNAT, MASCARADE, REDIRECT). Les paquets appartenant à un flux (les données peuvent être divisées en plusieurs paquets en raison des restrictions de taille des paquets) ne traverseront cette table qu'une seule fois. Si le premier paquet peut être NAT ou Masqueraded, alors les paquets restants seront automatiquement soumis à la même opération, c'est-à-dire que les paquets restants ne passeront pas par cette table. Le module noyau correspondant à la table est iptable_nat, qui contient trois chaînes

• chaîne :

  est utilisée pour changer le but du paquet lorsque il atteint simplement le pare-feu. AdressePREROUTING

• Chaîne :

  Modifier l'adresse de destination des paquets générés localementOUTPUT

• Chaîne :

  Changer l'adresse source du paquet juste avant qu'il ne quitte le pare-feuPOSTROUTING

　

table mangle

Principalement utilisé pour modifier le TOS (Type Of Service, type de service), TTL (Time To Live, cycle de vie) du paquet de données et définir la marque Mark pour que le paquet de données implémente Qos ( Qualité de service, qualité de service) ajustement et politique de routage et autres

les applications ne sont pas largement utilisées car elles nécessitent la prise en charge de l'équipement de routage correspondant. Contient cinq chaînes de règles : PREROUTING, POSTROUTING, INPUT, OUTPUT, FORWARD.

　

table brute

　 C'est une nouvelle table ajoutée à iptables depuis la version 1.2.9. Elle est principalement utilisée pour déterminer si le paquet de données. Le statut est suivi. Lors de la mise en correspondance de paquets de données, les règles de la table brute ont priorité sur les autres tables. Contient deux chaînes de règles - OUTPUT, PREROUTING

(2) 4 statuts différents des paquets de données et 4 types de connexions suivies dans iptables :

• NEW : Le package souhaite démarrer une connexion (reconnecter ou rediriger la connexion)

• RELATED : Le package est Une nouvelle connexion établi par une connexion déjà établie. Par exemple : la connexion de transmission de données FTP est la connexion RELATED à partir de la connexion de contrôle. --icmp-type 0 (réponse ping) est LIÉ par --icmp-type 8 (demande ping).

• ESTABLISHED : Tant qu'une réponse est envoyée et reçue, une connexion de données passe de NOUVELLE à ÉTABLIE, et ce statut continuera à correspondre aux données suivantes paquets de cette connexion.

• INVALID : Le paquet de données ne peut pas être identifié à quelle connexion il appartient ou n'a aucun état, tel qu'un débordement de mémoire, et un message d'erreur ICMP est reçu ne sachant pas à quelle connexion elle appartient, généralement toutes les données dans cet état doivent être supprimées.

---

3.Cinq chaînes et règles d'ENTRÉE, AVANT et autres règles

---

(1) Lors du traitement de divers paquets de données, selon différents timings d'intervention des règles de pare-feu, iptables propose cinq chaînes de règles par défaut. Comprenez ces chaînes du point de vue du temps d'application :

• <.>

  Chaîne : INPUTLes règles de cette chaîne sont appliquées lorsqu'un paquet est reçu (entrant) pour l'adresse native du pare-feu.

• Chaîne : OUTPUTQuand le pare-feu envoie des paquets sortants (sortant) , les règles de cette chaîne sont appliquées.

• Chaîne : FORWARDUne fois reçue, elle doit être envoyée à d'autres via le pare-feu Lorsque les paquets sont transférés (transférés) vers une adresse, les règles de cette chaîne sont appliquées.

• Chaîne : PREROUTINGAvant d'acheminer le paquet de données, appliquez les règles dans cette chaîne, comme DNAT.

• Chaîne : POSTROUTINGAprès avoir acheminé le paquet, appliquez les règles dans cette chaîne, telle que SNAT.

(2) Parmi elles, les chaînes INPUT et OUTPUT sont plus couramment utilisées dans le « Host Firewall ", C'est-à-dire qu'il vise principalement au contrôle de sécurité des données entrant et sortant du serveur lui-même ; et les chaînes FORWARD, PREROUTING et POSTROUTING sont plus couramment utilisées dans les « pare-feu réseau », en particulier lorsque le serveur pare-feu est utilisé comme serveur pare-feu. porte.

---

4. Principes de routage des paquets Linux

---

(1) Comprendre l'architecture et les fonctions de Netfilter et Iptables, et apprendre à contrôler le comportement de Netfilter. structure de la table Xtables, alors comment cette table Xtables joue-t-elle un rôle dans le routage des paquets de la pile de protocoles du noyau ?

Flux de travail : le paquet de données du port réseau est reçu par la carte réseau sous-jacente. Après avoir été décompressé par la couche liaison de données (en supprimant l'en-tête de la trame de liaison de données), il entre dans la pile de protocole TCP/IP (essentiellement). a Le pilote du noyau qui traite les paquets réseau) et Netfilter sont mélangés dans le processus de traitement des paquets. Le processus de réception, de traitement et de transfert des paquets de données constitue une machine à vecteurs à états finis. Après avoir traversé une série de fonctions de traitement du noyau et de points Netfilter Hook, il est finalement transmis ou digéré par cette application de couche supérieure.

Comme le montre l'image :

À partir de l'image ci-dessus, nous pouvons résumer les règles suivantes :

• Lorsqu'un paquet de données entre dans la carte réseau, le paquet de données entre d'abord dans la

  Chaîne PREROUTING Dans la chaîne PREROUTING, nous avons la possibilité de modifier le DestIP (IP de destination) du paquet de données, puis le "module de routage" du noyau transmet le "paquet de données" "l'adresse IP de destination" et la "table de routage dans le noyau" détermine s'il doit être transféré (notez que le DestIP du paquet de données peut avoir été modifié par nous à ce moment-là). heure)

• Si le paquet de données est Lors de l'entrée dans la machine locale (c'est-à-dire que l'IP de destination du paquet de données est l'IP du port réseau de la machine locale), le paquet de données sera descendez le long du diagramme et atteignez la

  chaîne INPUT. Une fois que le paquet atteint la chaîne INPUT, tout processus le recevra

• Les programmes exécutés sur cette machine peuvent également envoyer des paquets de données, qui passent par la chaîne de SORTIE, et arrivent ensuite à la sortie de la chaîne POSTROTING (notez que à ce moment, le SrcIP du paquet de données peut avoir été modifié par nous)

• Si le paquet de données doit être transféré (c'est-à-dire que l'adresse IP de destination n'est plus dans l'actuel sous-réseau), et le noyau autorise le transfert, le paquet de données se déplacera vers la droite, passera par la chaîne FORWARD, puis atteindra la sortie de la chaîne POSTROUTING (sélectionnez le port réseau du sous-réseau correspondant à envoyer)

　Lors de l'écriture de règles iptables, gardez toujours ce diagramme de séquence de routage à l'esprit et configurez les règles de manière flexible en fonction des différents points de hook

---

Cinq règles d'écriture iptables

---

Format de commande :

Exemple : >

　

1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 - j ACCEPTER

🎜>1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPTER

　

1.[-t nom de la table]

　　<strong>1.[-t 表名]</strong> : Sur quelle table cette règle fonctionne, vous pouvez utiliser filter, nat, etc., si non spécifié, la valeur par défaut est filter

•  : Ajouter une nouvelle règle à la dernière ligne de la liste des chaînes de règles -A

•  : Insérer une règle, et les règles à cette position seront déplacées vers l'arrière dans l'ordre, ce qui n'est pas précisé. Le nombre est 1-I

•  : Pour supprimer une règle de la chaîne de règles, soit saisissez le nom complet règle ou précisez le numéro de règle à supprimer -D

• : Remplacer une règle Le remplacement de règle ne modifiera pas l'ordre, et le numéro doit être précisé. -R

•  : Définir l'action par défaut d'une chaîne de règles -P

•  : -nL, -L, afficher le Liste actuelle des règles de pare-feu en cours d'exécution-n

　

2. : Spécifiez quelle chaîne de la table de règles, telle que INPUT, SORTIE, FORWARD, PREROUTING, etc. chain名

•  : utilisé lors de l'insertion, de la suppression et du remplacement de règles, [规则编号]afficher le numéro--line-numbers

•  : i est spécifié de quelle carte réseau le paquet de données entre, o spécifie de quelle carte réseau le paquet de données sort [-i|o 网卡名称]

•  : Vous pouvez spécifier le protocole d'application des règles, y compris TCP, UDP et ICMP, etc.[-p 协议类型]

•  : L'adresse IP ou l'adresse de sous-réseau de l'hôte source [-s 源IP地址]

• : Le numéro de port source de l'IP du paquet [--sport 源端口号]

• : L'adresse IP ou l'adresse de sous-réseau de l'hôte de destination [-d目标IP地址]

•  : Le numéro de port de destination de l'IP du paquet [--dport目标端口号]

　<p>3.-m<code>　　<strong>3.-m</strong>

 : étendre matches, cette option est utilisée pour fournir davantage de paramètres de correspondance, tels que :

• 
  

• -m state --state ESTABLISHED,RELATED

• -m tcp --dport 22

• -m multiport --dports 80,8080

• -m icmp --icmp-type 8

　<code>　　<strong>4.<-j 动作></strong>4.<-j action>  : Action pour traiter les paquets de données, notamment ACCEPT, DROP, REJECT, etc.

• 
  

• ACCEPT :

  autoriser les données Le paquet passe par

• DROP :

  jette le paquet directement sans donner toute information de réponse

• REJECT :

  refuse de transmettre le paquet de données et enverra un message de réponse à l'extrémité d'envoi des données si nécessaire.

• SNAT :
  conversion d'adresse source. Après avoir entré la route au niveau du routage et avant de quitter la pile du réseau local, l'adresse source est réécrite, l'adresse de destination reste inchangée et une entrée de table NAT est établie sur la machine locale. Lorsque les données sont renvoyées, les données d'adresse de destination. est réécrit sous forme de données selon la table NAT et envoyé à l'adresse source et envoyé à l'hôte. Résolvez le problème des utilisateurs intranet utilisant la même adresse publique pour accéder à Internet. MASQUERADE

  est une forme spéciale de SNAT, adaptée aux adresses IP qui changent temporairement comme l'ADSL

• DNAT :Traduction de l'adresse de destination. Contrairement au SNAT, avant que le paquet IP ne passe par la route, l'adresse de destination est re-modifiée et l'adresse source reste inchangée. Une entrée NAT est établie sur la machine locale. Lorsque les données sont renvoyées, l'adresse source est modifiée en conséquence. à la table NAT à l'adresse de destination lorsque les données ont été envoyées simultanément à l'hôte distant. La véritable adresse du serveur backend peut être masquée. (Merci à l'internaute d'avoir souligné que cet endroit a été écrit à l'envers avec SNAT)
  REDIRECT : Il s'agit d'une forme spéciale de DNAT, qui transmet les paquets réseau à l'hôte local (quelle que soit l'adresse cible spécifiée dans l'adresse IP). en-tête), ce qui est pratique pour effectuer une redirection de port sur cette machine.

• LOG : Enregistrez les informations du journal dans le fichier /var/log/messages, puis transmettez le paquet à la règle suivante

À l'exception du dernier LOG, une fois que les trois premières règles correspondent au paquet, le paquet ne continuera pas à correspondre, donc l'ordre des règles est extrêmement critique.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!