iptables-1.1.9指南(超经典) (4)-红联Linux系统门户

[UNREPLIED]的含义和前面一样，说明数的传输只发生在一个方向上，也就是说未收到应答。再往后，是应答包的源、目地址，还有相应的三个新字段，要注意的是type和code是随着应答包的不同而变化的，id和请求包的一样。

和前面一样，应答包被认为是ESTABLISHED的。然而，在应答包之后，这个ICMP 连接就不再有数据传输了。所以，一旦应答包穿过防火墙，ICMP的连接跟踪记录就被销毁了。

以上各种情况，请求被认为NEW，应答是ESTABLISHED。换句话说，就是当防火墙看到一个请求包时，就认为连接处于NEW状态，当有应答时，就是ESTABLISHED状态。

Note

注意，应答包必须符合一定的标准，连接才能被认作established的，每个传输类型都是这样。

ICMP的缺省超时是30秒，可以在/proc/sys/net/ipv4/netfilter/ip_ct_icmp_timeout中修改。这个值是比较合适的，适合于大多数情况。

ICMP的另一个非常重要的作用是，告诉UDP、TCP连接或正在努力建立的连接发生了什么，这时ICMP应答被认为是RELATED的。主机不可达和网络不可达就是这样的例子。当试图连接某台机子不成功时（可能那台机子被关上了），数据包所到达的最后一台路由器就会返回以上的ICMP信息，它们就是RELATED的，如下图：

我们发送了一个SYN包到某一地址，防火墙认为它的状态是NEW。但是，目标网络有问题不可达，路由器就会返回网络不可达的信息，这是RELATED的。连接跟踪会认出这个错误信息是哪个连接的，连接会中断，同时相应的记录删除会被删除。

当UDP连接遇到问题时，同样会有相应的ICMP信息返回，当然它们的状态也是RELATED ，如下图：

我们发送一个UDP包，当然它是NEW的。但是，目标网络被一些防火墙或路由器所禁止。我们的防火墙就会收到网络被禁止的信息。防火墙知道它是和哪个已打开的UDP连接相关的，并且把这个信息（状态是RELATED）发给它，同时，把相应的记录删除。客户机收到网络被禁止的信息，连接将被中断。
4.7. 缺省的连接操作

有时，conntrack机制并不知道如何处理某个特殊的协议，尤其是在它不了解这个协议或不知道协议如何工作时，比如，NETBLT，MUX还有 EGP。这种情况下，conntrack使用缺省的操作。这种操作很象对UDP连接的操作，就是第一个包被认作NEW，其后的应答包等等数据都是 ESTABLISHED。

使用缺省操作的包的超时值都是一样的，600秒，也就是10分钟。当然，这个值可以通过 /proc/sys/net/ipv4/netfilter/ip_ct_generic_timeout更改，以便适应你的通信量，尤其是在耗时较多、流量巨大的情况下，比如使用卫星等。
4.8. 复杂协议和连接跟踪

有些协议比其他协议更复杂，这里复杂的意思是指连接跟踪机制很难正确地跟踪它们，比如，ICQ、IRC 和FTP，它们都在数据包的数据域里携带某些信息，这些信息用于建立其他的连接。因此，需要一些特殊的 helper来完成工作。

下面以FTP作为例子。FTP协议先建立一个单独的连接----FTP控制会话。我们通过这个连接发布命令，其他的端口就会打开以便传输和这个命令相关的数据。这些连接的建立方法有两种：主动模式和被动模式。先看看主动模式，FTP客户端发送端口和IP地址信息给服务器端，然后，客户端打开这个端口，服务器端从它自己的20端口（FTP-Data端口号）建立与这个端口的连接，接着就可以使用这个连接发送数据了。

问题在于防火墙不知道这些额外的连接（相对于控制会话而言），因为这些连接在建立时的磋商信息都在协议数据包的数据域内，而不是在可分析的协议头里。因此，防火墙就不知道是不是该放这些从服务器到客户机的连接过关。

解决的办法是为连接跟踪模块增加一个特殊的helper，以便能检测到那些信息。这样，那些从FTP服务器到客户机的连接就可以被跟踪了，状态是RELATED，过程如下图所示：

被动FTP工作方式下，data连接的建立过程和主动FTP的相反。客户机告诉服务器需要某些数据，服务器就把地址和端口发回给客户机，客户机据此建立连接接受数据。如果FTP服务器在防火墙后面，或你对用户限制的比较严格，只允许他们访问HTTP和FTP，而封闭了其他所有端口，为了让在 Internet是的客户机能访问到FTP，也需要增加上面提到的helper。下面是被动模式下data连接的建立过程：

有些conntrack helper已经包含在内核中，在写这篇文章时，FTP和IRC已有了相应的conntrack helper。如果在内核里没有你想要的helper，可以到iptables用户空间的patch-o-matic目录中看看，那里有很多的 helper，比如针对ntalk或H.323协议的等等。如果没找到，还有几个选择：可以查查iptables的 CVS，或者联系Netfilter-devel问问有没有你要的。还不行的话，只有你自己写了，我可以给你介绍一篇好文章，Rusty Russell's Unreliable Netfilter Hacking HOW-TO，连接放在附录里其他资源和链接。

Conntrack helper即可以被静态地编译进内核，也可以作为模块，但要用下面的命令装载：

modprobe ip_conntrack_*

注意连接跟踪并不处理NAT，因此要对连接做NAT就需要增加相应的模块。比如，你想NAT并跟踪FTP连接，除了FTP的相应模块，还要有NAT 的模块。所有的NAT helper名字都是以ip_nat_开头的，这是一个命名习惯：FTP NAT helper叫做ip_nat_ftp，IRC的相应模块就是ip_nat_irc。conntrack helper 的命名也遵循一样的习惯：针对IRC的conntrack helper叫ip_conntrack_irc，FTP的叫作ip_conntrack_ftp。
Chapter 5. 规则的保存与恢复

iptables提供了两个很有用的工具用来处理大规则集： iptables-save和iptables-restore，它们把规则存入一个与标准脚本代码只有细微查别的特殊格式的文件中，或从中恢复规则。
5.1. 速度

使用iptables-save和iptables-restore的一个最重要的原因是，它们能在相当程度上提高装载、保存规则的速度。使用脚本更改规则的问题是，改动每个规则都要调运命令iptables，而每一次调用iptables，它首先要把Netfilter内核空间中的整个规则集都提取出来，然后再插入或附加，或做其他的改动，最后，再把新的规则集从它的内存空间插入到内核空间中。这会花费很多时间。

为了解决这个问题，可以使用命令iptables-save和restore 。 iptables-save用来把规则集保存到一个特殊格式的文本文件里，而iptables-restore是用来把这个文件重新装入内核空间的。这两个命令最好的地方在于一次调用就可以装载和保存规则集，而不象脚本中每个规则都要调用一次iptables。 iptables-save运行一次就可以把整个规则集从内核里提取出来，并保存到文件里，而iptables-restore每次装入一个规则表。换句话说，对于一个很大的规则集，如果用脚本来设置，那这些规则就会反反复复地被卸载、安装很多次，而我们现在可以把整个规则集一次就保存下来，安装时则是一次一个表，这可是节省了大量的时间。

如果你的工作对象是一组巨大的规则，这两个工具是明显的选择。当然，它们也有不足之处，下面的章节会详细说明。
5.2. restore的不足之处

iptables-restore能替代所有的脚本来设置规则吗？不，到现在为止不行，很可能永远都不行。iptables-restore的主要不足是不能用来做复杂的规则集。例如，我们想在计算机启动时获取连接的动态分配的IP地址，然后用在脚本里。这一点，用iptables-restore 来实现，或多或少是不可能的。

一个可能的解决办法是写一个小脚本来获取那个IP地址，并在iptables-restore调用的配置文件中设置相应的关键字，然后用获取的IP 值替换关键字。你可以把更改后的配置文件存到一个临时文件中，再由 iptables-restore使用它。然而这会带来很多问题，并且你不能用iptables-save来保存带关键字的配置文件。此法较笨。

另一个办法是先装入iptables-restore文件，再运行一个特定的脚本把动态的规则装入。其实，这也是较笨的方法。iptables- restore并不适合于使用动态IP的场合，如果你想在配置文件里使用选项来实现不同的要求，iptables-restore也不适用。

iptables-restore和iptables-save还有一个不足，就是功能不够齐全。因为使用的人不是太多，所以发现这个问题的人也不多，还有就是一些match和target被引用时考虑不细致，这可能会出现我们预期之外的行为。尽管存在这些问题，我还是强烈建议你使用它们，因为它们对于大部分规则集工作的还是很好的，只要在规则中别包含那些新的都不知如何使用的match和 target。
5.3. iptables-save

iptables-save用来把当前的规则存入一个文件里以备iptables-restore使用。它的使用很简单，只有两个参数：

iptables-save [-c] [-t table]

参数-c的作用是保存包和字节计数器的值。这可以使我们在重启防火墙后不丢失对包和字节的统计。带-c参数的iptables-save命令使重启防火墙而不中断统计记数程序成为可能。这个参数默认是不使用的。

参数-t指定要保存的表，默认是保存所有的表。下面给出未装载任何规则的情况下iptables-save的输出。

# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002
*filter
:INPUT ACCEPT [404:19766]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [530:43376]
COMMIT
# Completed on Wed Apr 24 10:19:17 2002
# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002
*mangle
:PREROUTING ACCEPT [451:22060]
:INPUT ACCEPT [451:22060]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [594:47151]
:POSTROUTING ACCEPT [594:47151]
COMMIT
# Completed on Wed Apr 24 10:19:17 2002
# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:17 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [3:450]
:OUTPUT ACCEPT [3:450]
COMMIT
# Completed on Wed Apr 24 10:19:17 2002

我们来解释一下这个输出格式。#后面的是注释。表都以*开始，例如*mangle。每个表都包含链和规则，链的详细说明是: [:]。例如，链的名字是 PREROUTING，策略是ACCEPT，然后是包记数器和字节计数器，这两个计数器和iptables -L -v输出中用到的计数器一样。每个表的描述都以关键字COMMIT结束，它说明在这一点，就要把规则装入内核了。

上面的例子是最基本的，我想用一个简短的例子说明会更好，其中包含一个非常小的规则集Iptables-save ruleset。iptables-save的输出如下：

# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002
*filter
:INPUT DROP [1:229]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Apr 24 10:19:55 2002
# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002
*mangle
:PREROUTING ACCEPT [658:32445]
:INPUT ACCEPT [658:32445]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [891:68234]
:POSTROUTING ACCEPT [891:68234]
COMMIT
# Completed on Wed Apr 24 10:19:55 2002
# Generated by iptables-save v1.2.6a on Wed Apr 24 10:19:55 2002
*nat
:PREROUTING ACCEPT [1:229]
:POSTROUTING ACCEPT [3:450]
:OUTPUT ACCEPT [3:450]
-A POSTROUTING -o eth0 -j SNAT --to-source 195.233.192.1
COMMIT
# Completed on Wed Apr 24 10:19:55 2002

每个命令前都有包和字节计数器，这说明使用了-c参数。除了有计数器，其他的都和普通的脚本一样。现在的问题是怎么把输出保存到文件中。非常简单，既然使用linux，你应该早就知道了，用重定向啊：

iptables-save -c > /etc/iptables-save

这就会把规则集保存到/etc/iptables-save中，而且还有计数器。
5.4. iptables-restore

iptables-restore用来装载由iptables-save保存的规则集。不幸的是，它只能从标准输入接受输入，而不能从文件接受。下面是它的事方法：

iptables-restore [-c] [-n]

参数-c要求装入包和字节计数器。如果你用iptables-save保存了计数器，现在想重新装入，就必须用这个参数。它的另一种较长的形式是--counters。

参数-n告诉iptables-restore不要覆盖已有的表或表内的规则。默认情况是清除所有已存的规则。这个参数的长形式是--noflush。

用iptables-restore装载规则有好几种方法，我们来看看最简单、最一般的：

这样规则集应该正确地装入内核并正常工作了。如果有问题，你就要除措了。
Chapter 6. 规则是如何练成的

本章将详细地讨论如何构件你自己的规则。规则就是指向标，在一条链上，对不同的连接和数据包阻塞或允许它们去向何处。插入链的每一行都是一条规则。我们也会讨论基本的matche及其用法，还有各种各样的target，以及如何建立我们自己的target（比如，一个新的子链）。
6.1. 基础

我们已经解释了什么是规则，在内核看来，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件（就是符合matche语句），我们就运行target或jump指令。书写规则的语法格式是：

iptables [-t table] command [match] [target/jump]

对于这个句法没什么可说的，但注意target指令必须在最后。为了易读，我们一般用这种语法。总之，你将见到的大部分规则都是按这种语法写的。因此，如果你看到别人写的规则，你很可能会发现用的也是这种语法，当然就很容易理解那些规则了。

如果你不想用标准的表，就要在[table]处指定表名。一般情况下没有必要指定使用的表，因为iptables 默认使用filter表来执行所有的命令。也没有必要非得在这里指定表名，实际上几乎可在规则的任何地方。当然，把表名在开始处已经是约定俗成的标准。

尽管命令总是放在开头，或者是直接放在表名后面，我们也要考虑考虑到底放在哪儿易读。command告诉程序该做什么，比如：插入一个规则，还是在链的末尾增加一个规则，还是删除一个规则，下面会仔细地介绍。

match细致地描述了包的某个特点，以使这个包区别于其它所有的包。在这里，我们可以指定包的来源IP 地址，网络接口，端口，协议类型，或者其他什么。下面我们将会看到许多不同的match。

最后是数据包的目标所在。若数据包符合所有的match，内核就用target来处理它，或者说把包发往 target。比如，我们可以让内核把包发送到当前表中的其他链（可能是我们自己建立的），或者只是丢弃这个包而没有什么处理，或者向发送者返回某个特殊的应答。下面有详细的讨论。
6.2. Tables

选项-t用来指定使用哪个表，它可以是下面介绍的表中的任何一个，默认的是 filter表。注意，下面的介绍只是章节表和链的摘要。

Table 6-1. Tables
Table （表名） Explanation （注释）
nat nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被 NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因，对这一点，后面会有更加详细的讨论。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址。
mangle 这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： PREROUTING，POSTROUTING， OUTPUT，INPUT和 FORWARD。PREROUTING在包进入防火墙之后、路由判断之前改变包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包。注意，mangle表不能做任何NAT，它只是改变数据包的 TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中操作的。
filter filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作。FORWARD 链过滤所有不是本地产生的并且目的地不是本地（所谓本地就是防火墙了）的包，而 INPUT恰恰针对那些目的地是本地的包。OUTPUT 是用来过滤所有本地生成的包的。

上面介绍了三个不同的表的最基本的内容。你应该知道它们的使用目的完全不同，还要清楚每一条链的使用。如果你不了解，就可能会在防火墙上留下漏洞，给人以可乘之机。在章节表和链中，我们已详细地讨论了这些必备的的表和链。如果你没有完全理解包是怎样通过这些表、链的话，我建议你回过头去再仔细看看。
6.3. Commands

在这一节里，我们将要介绍所有的command以及它们的用途。command指定iptables 对我们提交的规则要做什么样的操作。这些操作可能是在某个表里增加或删除一些东西，或做点儿其他什么。以下是iptables可用的command（要注意，如不做说明，默认表的是 filter表。）：

Table 6-2. Commands
Command -A, --append
Example iptables -A INPUT ...
Explanation 在所选择的链末添加规则。当源地址或目的地址是以名字而不是ip地址的形式出现时，若这些名字可以被解析为多个地址，则这条规则会和所有可用的地址结合。
Command -D, --delete
Example iptables -D INPUT --dport 80 -j DROP或iptables -D INPUT 1
Explanation 从所选链中删除规则。有两种方法指定要删除的规则：一是把规则完完整整地写出来，再就是指定规则在所选链中的序号（每条链的规则都各自从1被编号）。
Command -R, --replace
Example iptables -R INPUT 1 -s 192.168.0.1 -j DROP
Explanation 在所选中的链里指定的行上（每条链的规则都各自从1被编号）替换规则。它主要的用处是试验不同的规则。当源地址或目的地址是以名字而不是ip地址的形式出现时，若这些名字可以被解析为多个地址，则这条command会失败。
Command -I, --insert
Example iptables -I INPUT 1 --dport 80 -j ACCEPT
Explanation 根据给出的规则序号向所选链中插入规则。如果序号为1，规则会被插入链的头部，其实默认序号就是1。
Command -L, --list
Example iptables -L INPUT
Explanation 显示所选链的所有规则。如果没有指定链，则显示指定表中的所有链。如果什么都没有指定，就显示默认表所有的链。精确输出受其它参数影响，如-n 和-v等参数，下面会介绍。
Command -F, --flush
Example iptables -F INPUT
Explanation 清空所选的链。如果没有指定链，则清空指定表中的所有链。如果什么都没有指定，就清空默认表所有的链。当然，也可以一条一条地删，但用这个command会快些。
Command -Z, --zero
Example iptables -Z INPUT
Explanation 把指定链（如未指定，则认为是所有链）的所有计数器归零。
Command -N, --new-chain
Example iptables -N allowed
Explanation 根据用户指定的名字建立新的链。上面的例子建立了一个名为allowed的链。注意，所用的名字不能和已有的链、target同名。
Command -X, --delete-chain
Example iptables -X allowed
Explanation 删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将会删除默认表所有非内建的链。
Command -P, --policy
Example iptables -P INPUT DROP
Explanation 为链设置默认的target（可用的是DROP 和ACCEPT，如果还有其它的可用，请告诉我），这个target称作策略。所有不符合规则的包都被强制使用这个策略。只有内建的链才可以使用规则。但内建的链和用户自定义链都不能被作为策略使用，也就是说不能象这样使用：iptables -P INPUT allowed（或者是内建的链）。
Command -E, --rename-chain
Example iptables -E allowed disallowed
Explanation 对自定义的链进行重命名，原来的名字在前，新名字在后。如上，就是把allowed改为disallowed。这仅仅是改变链的名字，对整个表的结构、工作没有任何影响。

iptables-1.1.9指南(超经典) (4)

共有 0 条评论

频道文章

最新教程

随机推荐