iptsbles系列一

  1. 云栖社区>
  2. 博客>
  3. 正文

iptsbles系列一

友弟 2017-10-08 23:35:00 浏览989
展开阅读全文

iptables系列之基础原理

linux:网络防火墙 
  netfilter:frame 框架 网络过滤器 
   iptables:数据报文过滤,NAT,mangle等规则生成的工具。


网络知识:
   IP报文首部
   tcp报文首部

 ip:tcp:http

IP报文首部:
  版本号4 头部长度4 服务类型8 总长度16 
  段标识符16    R1 DF1 MF1 片偏移13
  TTL8  协议8    首部校验和
           源ip32
           目的ip32
          可选
          数据
分段和重组
DF:don't fragment 
MF:more fragment
片偏移:8的整数倍
协议:封装的报文的协议
icmp:3层协议直接使用IP
       udp 17 tcp 69
       
端口号:0--65535 
 0---1023 系统
 >=5000用户 


tcp:有状态的协议,三次握手

TCP首部

      源端口16     目的端口16
             序列号32
             确认号32
头部长度4 R6 URG1 ACK1 PSH1 RST1 SYN1 FIN1     窗口大小16 
校验和16      紧急指针 
         选项    
        数据   
             
             
             
注意:数据的流向
序列号:发送方告诉接受方发送的数据的编号
确认号:接受方期望接受下一个序列的第一个序号。
流控:滑动窗口。
重传;计时器
URG:紧急指针是否有效
ACK:说明确认号是否有效
PSH:推送,要优先处理的数据
RST:重置 
SYN:同步请求,建立连接 
FIN:断开连接

转换为能够通过网络发送的数据格式 
  文本
  二进制
  
TCP的三次握手 
TCP的四次断开

被动打开:closed---->listen 
主动打开:closed---->syn_sent 

listen--->SYN_RCVD---->established 
closed---->syn_sent---->established

三次握手 四次断开

TCP的有限状态机

TCP的状态转移:
主动关闭方:
established--->fin-wait-1----->fin-wait-2---->time-wait---->closed 
被动关闭方:
established---->closed-wait---->last-ack------>closed 

2MSL:最长报文段寿命 

fin-wait-1---->closing--->time-wait--->closed 

防火墙

工作在主机或网络的边缘,对进出主机或网络的数据报进行检查与监控,并且根据事先定义的规则,匹配其规则,采取定义的处理的动作进行操作的组件。

防火墙:硬件,软件,规则(匹配标准,处理办法)
framework:框架  (不防家贼)

默认规则:
   开放:堵
   关闭:通 
服务器:默认允许已知,拒绝未知    
规则:匹配标准 
   IP:源ip,目标ip  
   TCP/UDP:sport,DPORT,URS,ACK,PSH,RST,SYN,FIN 
   ICMP:icmp-type 控制消息报文协议 报文类型 
   
数据报文过滤:
      
网络功能:是内核空间实现的

内核中为用户空间中命令预留一些空间
在内核中TCP/IP的模块上开放一些位置,只是开放给用户空间可以编写防火墙规则的命令。可以实现用户中的命令可以直接操控内核空间的。
内核中的工作框架,用户空间中的管理工具。
syscall:可以和内核直接打交道。

linux2.0 
   ipfw/firewall 
   
linux2.2 
    ipchain/netfilter,firewall 
 
linux2.4 
    iptables(用户空间中可以写规则的用户空间中的应用,规则生成器)/netfilter(内核中可以放置的空间)   
内核中netfilter

       TCP/IP模块
网卡(拆帧)--->IP---本机->进程--->
                 |----->转发--->网卡
IP---->网卡--->用户 

报文的流向类型:(取决于IP)

1.从外面进入主机内部到达进程
2.本机内部出去的报文
3.通过主机进行转发的

检查路由表 ,路由决策

路由决策发生在数据包文件被网卡接受后进入主机后,进入TCP/IP协议栈模块时进行路由决策。

上述的三个位置是内核空间让iptables在内核空间中放置规则的地方。

进,出,转发

/proc/sys/net/ipv4/ip_forward 

-s 0.0.0.0 -d 172.16.100.7 reject 

hook function:钩子函数
netfilter设计者放在TCP/IP上的钩子函数。

自上而下,挨个检查,匹配前一个了,就不检查下面的了。

规则定义技巧:
 若两条规则不相关,就将范围大的规则放在上面,匹配的可能性大。(http访问频繁的放在上面。)
 若两条规则相关,则将范围小的规则放在上面,防止规则覆盖与疏漏。

hook function:5个
路由之前的位置
报文在即将转发之前的位置 做地址转换的

通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是 用户自定义的功能)。

IP层的五个HOOK点的位置
[1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点(刚刚进行完版本号,校验
和等检测), 目的地址转换在此点进行;
[2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点,INPUT包过滤在此点进行;
[3]:NF_IP_FORWARD:要转发的包通过此检测点,FORWARD包过滤在此点进行;
[4]:NF_IP_POST_ROUTING:所有马上便要通过网络设备出去的包通过此检测点,内置的源地址转换功能(包括地址伪装)在此点进行;
[5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点,OUTPUT包过滤在此点进行。

netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。

框架

netfilter提供了一个抽象、通用化的框架[1],作为中间件,为每种网络协议(IPv4、IPv6等)定义一套钩子函数。Ipv4定义了5个钩子函数,这些钩子函数在数据报流过协议栈的5个关键点被调用,也就是说,IPv4协议栈上定义了5个“允许垂钓点”。在每一个“垂钓点”,都可以让netfilter放置一个“鱼钩”,把经过的网络包(Packet)钓上来,与相应的规则链进行比较,并根据审查的结果,决定包的下一步命运,即是被原封不动地放回IPv4协议栈,继续向上层递交;还是经过一些修改,再放回网络;或者干脆丢弃掉。

NAT:network address transfer

sip:172.16.100.6 dip:100.2.2.1------>sip:12.1.1.6 dip:100.2.2.1 数据报文出去修改地址  源地址转换 
返回的响应的报文:
   sip:100.2.2.1 dip:12.1.1.6 ----->sip:100.2.2.1 dip:172.16.100.6  
   目标地址转换
注意:主机内部维护着一张地址映射表。

源地址转换是在报文即将离开网卡的时候修改源地址。
目标地址转换是在报文刚刚进入网卡的时候修改目标地址。

SNAT:
DNAT:

NAT
静态转换
动态转换 
端口多路复用(PAT)
ALG(Application Level Gateway),即应用程序级网关技术
hook function:钩子函数
   prerouting
   input
   output
   forward
   postrouting
规则链:
    PREROUTING
    INPUT 
    OUTPUT 
    FORWARD 
    POSTROUTING 
filter(过滤): 表
    INPUT 
    OUTPUT 
    FORWARD
nat(地址转换):表
  PREROUTING
  OUTPUT   
  POSTROUTING 
mangle(修改报文首部,拆开,修改,封装):表
      PREROUTING 
      INPUT 
      OUTPUT 
      FORWARD
      POSTROUTING 
raw():
     PREROUTING 
     OUTPUT 
     
注意:不同功能的不能放在一起。
  iptables: 

数据包过滤顺序:
raw:PREROUTING 
mangle:PREROTING
nat:PREROUTING -------|
                     \|/
       |--------  路由选择--------------|
      \|/                              \|/                   
magle:INPUT                         mangle:FORWARD
filter:INPUT                        filter:FORWARD 
       \|/                                |
       路由选择                           |
        \|/                               |
raw:  OUTPUT                              | 
mangle:OUTPUT                             |
nat:OUTPUT                                | 
filter:OUTPUT                             |
        |                                 | 
        |                                 | 
        |------->  mangle:POSTROUTING <---| 
                   nat: POSTROUTING
iptables:
   四个表五个链
   表:raw,mangle,nat,filter 
   链:PREROUTING,INPUT,OUTPUT,FORWARD,POSTROUTING 

  itables:
   可以使用自定义链:
  一个钩子函数hook function就是一个链。
自定义链只有被默认链调用才可以使用。
自定义
自定义链是为了精简链,调高链的效率。

可以使用自定义链,但是在被调用是才能发挥作用,而且如果没有自定义链中任何规则匹配,还应该有返回机制:

  用户可以删除自定义空链
  不可以删除默认链
  
每条规则都有两个内置计算器
    被匹配到的报文个数。
    被匹配的报文大小之和。
规则:匹配标准,处理动作
iptables [-t table] subcommand CHAIN [num] 匹配标准 -j 处理办法
匹配标准:
  通用匹配
  扩展匹配(使用扩展模块,依赖于模块进行匹配)
           隐含扩展:不用特别指明由哪个模块进行的扩展,因为此时使用-p {tcp|udp|icmp}
           显示扩展:必须指明由哪个模块进行的扩展,在iptables中使用-m选项可完成此功能。
           
 匹配标准: 
   通用匹配:
     -s,--src :指定源地址
     -d,--dst :指定目标地址
     -p {tcp|udp|icmp}:指定协议
     -i interface:指定数据报文流入的接口
          可用于定义标准的链:PREROUTING,INPUT,FORWARD 
     -o interface:指定数据报文流出的接口
        可用于定义标准的链:OUTPUT,POSTROUTING,FORWARD 

-j 处理办法  -j 跳转 
-j TARGET 
   ACCEPT   :接受
   DROP    :默默丢弃
   REJECT   :拒绝并通知
   
        
iptables -t filter -A INPUT -s  172.160.0.0/16 -d 172.16.100.7 -j DROP

网友评论

登录后评论
0/500
评论
友弟
+ 关注