ptables是Linux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配置工具,而核心的数据包拦截和转发是Netfiler。Netfilter是Linux操作系统核心层内部的一个数据包处理模块。iptables和Netfilter关系如图1所示。
1 Netfilter的工作原理
- 从图中可以看到,ip_rcv函数为网络层向下层开放的入口,数据包通过该函数进入网络层进行处理,该函数主要对上传到网络层的数据包进行前期合法性检查,通过后交由 Netfilter 的钩子节点;
- 绿色方框内的IP_PRE_ROUTING为 Netfilter 框架的 Hook 点,该节点会根据预设的规则对数据包进行判决并根据判决结果做相关的处理,比如执行 NAT 转换;
- IP_PRE_ROUTING节点处理完成后,数据包将交由ip_rcv_finish处理,该函数根据路由判决结果,决定数据包是交由本机上层应用处理,还是需要进行转发;如果是交由本机处理,则会交由ip_local_deliver走本地上交流程;如果需要转发,则交由ip_forward函数走转发流程;
- 在数据包上交本地的流程中,IP_LOCAL_INPUT节点用于监控和检查上交到本地上层应用的数据包,该节点是 Linux 防火墙的重要生效节点之一;
- 在数据包转发流程中,Netfilter 框架的IP_FORWARD节点会对转发数据包进行检查过滤;
- 而对于本机上层发出的数据包,网络层通过注册到上层的ip_local_out函数接收数据处理,处理 OK 进一步交由IP_LOCAL_OUT节点检测;
- 对于即将发往下层的数据包,需要经过IP_POST_ROUTING节点处理;网络层处理结束,通过dev_queue_xmit函数将数据包交由 Linux 内核中虚拟网络设备做进一步处理,从这里数据包即离开网络层进入到下一层;
2 报文处理的涉及到不同的hook点
矩形方框中的即为 Netfilter 的钩子节点。从图中可以看到,三个方向的数据包需要经过的钩子节点不完全相同:
- 发往本地:NF_INET_PRE_ROUTING—>NF_INET_LOCAL_IN
- 转发:NF_INET_PRE_ROUTING—>NF_INET_FORWARD—>NF_INET_POST_ROUTING
- 本地发出:NF_INET_LOCAL_OUT—>NF_INET_POST_ROUTING
3 iptables表
iptables 在用户态提供了表格和链的概念。包含的表格有 filter,nat,mangle 以及 raw。而每个表格下包含不同的链,如下图所示:
iptables 中每个表格的作用不同,以我们比较常用的 filter 表为例,其主要起到数据包过滤和拦截作用,包含 INPUT,FORWARD 和 OUTPUT 三个链,根据链的名字我们可以知道,这三个链分别被放置到 Netfilter 三个不同的钩子节点中生效。INPUT 链是在NF_INET_LOCAL_IN节点,FORWARD 链是在NF_INET_FORWARD节点,OUTPUT 链则是在NF_INET_LOCAL_OUT节点。其他表格的链也类似。
若有收获,就点个赞吧
0 人点赞
