iptables的四表五链与NAT工作原理

本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。

1、iptables简介

我们先来看一下netfilter官网对iptables的描述:

iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators.

Since Network Address Translation is also configured from the packet filter ruleset, iptables is used for this, too.

The iptables package also includes ip6tables. ip6tables is used for configuring the IPv6 packet filter.

也就是说iptables实际上只是位于用户空间的一个面向系统管理员的Linux防火墙的管理工具而已,而真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内核模块,iptables对应在内核中的模块应该是ip_tables,我们查看系统内核中ip_tables的信息的时候可以看到ip_tables.ko这个模块是在netfilter这个目录下的。

实际上除了iptables还有如nftablesfirewalld等防火墙工具都是在用户空间(用户层)对相应的内核空间中对应的netfilter相关的模块进行操作的工具。

2、iptables的四表五链

2.1 iptables流程图

首先我们来看一下下面的这张图了解一下iptables中的表和链的概念。图中使用箭头展示了用户访问使用了iptables的机器的过程,其中按照箭头的顺序我们就可以将其梳理为一条大的带有分支的链条,在每个需要进行操作的模块处都标有名称和相应的括号,括号内的就是iptables的四表,而每个模块都可以视为一个链。

CentOS7中的input链中还有nat表,但是在CentOS6中并没有。

之所以叫做链就是因为在访问该链的时候会按照每个链对应的表依次进行查询匹配执行的操作,如PREROUTING链对应的就是(raw->mangle->nat),每个表按照优先级顺序进行连接,每个表中还可能有多个规则,因此最后看起来就像链一样,因此称为链。而iptables的表中存储的就是对应的规则和需要执行的操作,这里以路由器为例查看其中iptablesfilter表:

注意每一个链对应的表都是不完全一样的,表和链之间是多对多的对应关系。但是不管一个链对应多少个表,它的表都是按照下面的优先顺序来进行查找匹配的。

表的处理优先级:raw>mangle>nat>filter

2.2 四表

iptables的四个表iptable_filteriptable_mangleiptable_natiptable_raw,默认表是filter(没有指定表的时候就是filter表)。

  • filter 表:用来对数据包进行过滤,具体的规则要求决定如何处理一个数据包。

    对应的内核模块为:iptable_filter,其表内包括三个链:inputforwardoutput;

  • nat 表:nat 全称:network address translation 网络地址转换,主要用来修改数据包的 IP 地址、端口号信息。

    对应的内核模块为:iptable_nat,其表内包括三个链:preroutingpostroutingoutput;

  • mangle 表:主要用来修改数据包的服务类型,生存周期,为数据包设置标记,实现流量整形、策略路由等。

    对应的内核模块为:iptable_mangle,其表内包括五个链:preroutingpostroutinginputoutputforward;

  • raw 表:主要用来决定是否对数据包进行状态跟踪。

    对应的内核模块为:iptable_raw,其表内包括两个链:outputprerouting;

raw表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在系统进行ip_conntrack(连接跟踪)前进行处理。一但用户使用了raw表,在某个链上,raw表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了。RAW表可以应用在那些不需要做nat的情况下,以提高性能。

2.3 五链

iptables的五个链PREROUTINGINPUTFORWARDOUTPUTPOSTROUTING

  • input 链:当收到访问防火墙本机地址的数据包时,将应用此链中的规则;
  • output 链:当防火墙本机向外发送数据包时,将应用此链中的规则;
  • forward 链:当收到需要通过防火中转发给其他地址的数据包时,将应用此链中的规则,注意如果需要实现forward转发需要开启Linux内核中的ip_forward功能;
  • prerouting 链:在对数据包做路由选择之前,将应用此链中的规则;
  • postrouting 链:在对数据包做路由选择之后,将应用此链中的规则;

2.4 iptables的常见情况

下面我们利用上面的流程图来对几种常见的情况解析:关键点在于发往iptables主机的数据包的目的地址是否是iptables主机本机。如果是,那我们就可以理解为常见的开启了iptables防火墙的网站服务器主机;如果不是,那就是走ip_forward进行转发,比如我们常见的NAT路由器的NAT服务和策略路由等。如下图为开启了ip_forward功能的openwrt路由器。

3、NAT工作原理

接下来介绍一些NAT(Network Address Translation,网络地址转换)的基本知识,众所周知,IPv4的公网IP地址已经枯竭,但是需要接入互联网的设备还在不断增加,这其中NAT就发挥了很大的作用(此处不讨论IPv6)。NAT服务器提供了一组私有的IP地址池(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),使得连接该NAT服务器的设备能够获得一个私有的IP地址(也称局域网IP/内网IP),当设备需要连接互联网的时候,NAT服务器将该设备的私有IP转换成可以在互联网上路由的公网IP(全球唯一)。NAT的实现方式有很多种,这里我们主要介绍三种:静态NAT动态NAT和网络地址端口转换(NAPT)。

3.1 BNAT

  • 静态NAT:LVS的官方文档中也称为(N-to-N mapping)
    ,前面的N指的是局域网中需要联网的设备数量,后面的N指的是该NAT服务器所拥有的公网IP的数量。既然数量相等,那么就可以实现静态转换,即一个设备对应一个公网IP,这时候的NAT服务器只需要维护一张静态的NAT映射转换表。

    内网IP 外网IP
    192.168.1.55 219.152.168.222
    192.168.1.59 219.152.168.223
    192.168.1.155 219.152.168.224
  • 动态NAT:LVS的官方文档中也称为(M-to-N mapping)
    ,注意这时候的M>N,也就是说局域网中需要联网的设备数量多于NAT服务器拥有的公网IP数量,这时候就需要由NAT服务器来实现动态的转换,这样每个内网设备访问公网的时候使用的公网IP就不一定是同一个IP。

在一些家用路由器中,DMZ是指一部所有端口都暴露在外部网络的内部网络主机,除此以外的端口都被转发。严格来说这不是真正的DMZ,因为该主机仍能访问内部网络,并非独立于内部网络之外的。但真正的DMZ是不允许访问内部网络的,DMZ和内部网络是分开的。这种 DMZ主机并没有真正DMZ所拥有的子网划分的安全优势,其常常以一种简单的方法将所有端口转发到另外的防火墙或NAT设备上。

3.2 NAPT

以上的这两种都属于基本网络地址转换(Basic NAT),这种转换在技术上比较简单,仅支持地址转换,不支持端口映射,这也就带来了另一个问题就是资源的浪费。我们知道一个IP实际上可以对应多个端口,而我们访问应用实际上是通过IP地址+端口号的形式来访问的,即客户端访问的时候发送请求到服务器端应用程序监听的端口即可实现访问。那么NAPT就是在这基础上的扩展延申,它在IP地址的基础上加上了端口号,支持了端口映射的功能。

  • NAPT:NAPT实际上还可以分为源地址转换(SNAT)目的地址转换(DNAT)两种。注意这个源地址和目的地址是针对NAT服务器而言,我们通过下面一张图来说明:

首先我们这里有一个客户端,上面运行着一个浏览器,假设它使用的是5566端口,它需要访问14.25.23.47这个Web服务器的HTTPS服务的443端口,它在访问的时候需要经过局域网出口的这个路由器网关(同时也是NAT服务器),路由器对它进行一个NAPT的源地址转换(SNAT),这个时候客户端的请求经过NAT服务器之后变成了222.17.23.45:7788这个IP端口对Web服务器的443端口进行访问。注意在这个过程中,目标服务器(Web服务器)的IP和端口是一直没有改变的。

接下来在Web服务器接收到请求之后,需要返回数据给发送请求的设备,注意这时候web服务器返回数据的指向IP应该是刚刚NAT服务器发送请求的227.17.23.45:7788这个IP端口,这时候路由器网关再进行一次NAPT的目标地址转换(DNAT),目标的IP端口就是最开始发送请求的192.168.1.77:5566这个端口。

实际上对于大多数人来说日常接触到最多的就是路由器做的SNAT和DNAT操作,它们一般成对出现用于解决公网IP资源不足的问题,需要注意的是NAT是可以进行嵌套操作的,即NAT下面的网络设备还可以继续做NAT,只要做NAT的网段不和上层的NAT的网段相同即可。

4、iptables配置

在了解清楚iptables的工作原理和每个表以及链的作用之后,我们就可以根据其特点进行针对性的配置。

iptables 的基本语法命令格式

1
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
  • 表名链名:指定iptables命令所操作的,未指定表名时将默认使用filter表;
  • 管理选项:表示iptables规则的操作方式,比如:插入增加删除查看等;
  • 匹配条件:指定要处理的数据包的特征,不符合指定条件的数据包不处理;
  • 控制类型:指数据包的处理方式,比如:允许accept拒绝reject丢弃drop日志LOG等;
1
2
3
4
5
6
7
8
9
10
11
12
iptables 命令的常用管理选项
-A:在指定链的末尾添加一条新的规则
-D:删除指定链中的某一条规则,可删除指定序号或具体内容
-I:在指定链中插入一条新规则,未指定序号时默认作为第一条规则
-R:修改、替换指定链中的某一条规则,可指定规则序号或具体内容
-L:列出指定链中所有的规则,未指定链名,则列出表中的所有链
-F:清空指定链中所有的规则,未指定链名,则清空表中的所有链
-P:设置指定链的默认策略
-n:使用数字形式显示输出结果
-v:查看规则列表时显示详细的信息
-h:查看命令帮助信息
--line-numbers:查看规则列表时,同时显示规则在链中的顺序号

在添加规则之前我们先开启iptables的独立log功能,对于centos6,我们可以执行以下操作:

1
2
3
4
echo "kern.*     /var/log/iptables.log" >> /etc/rsyslog.conf
# 记录所有级别的日志到指定目录中
service rsyslog restart
# 重启rsyslog服务使配置生效

接着我们开始添加一条比较有针对性的规则:

1
2
iptables -A INPUT -j LOG --log-prefix "*** INPUT ***" --log-level debug
iptables -t filter -A INPUT -p tcp -s 192.168.100.100 --dport 80 -j REJECT

上述两条命令第一条增加了一条记录日志的规则,对于INPUT链中的所有操作都记录到日志中,添加日志前缀*** INPUT ***并设定日志级别为debug

第二条是在INPUT链的filter表中插入一条规则,限定对192.168.100.100这个IP使用tcp协议访问本机的目的端口80端口的时候拒绝掉数据包。

接着我们尝试访问发现无法正常显示页面。

再查看日志发现iptables日志中多了很多请求被拒绝的记录。

再清空所有的规则,此时可以正常访问,且不再继续记录日志,因为记录日志的那条规则也被我们清空掉了。