# iptables知識概念 [TOC] ## 一、iptables防火墻簡介 Netfilter/Iptables（以下簡稱Iptables）是unix/linux自帶的一款優秀且開放源代碼的安全自由的基于包過濾的防火墻工具，它的功能十分強大，使用非常靈活，可以對流入和流出服務器的數據包進行很精細的控制。特別是它可以在一臺非常低的硬件配置下跑的非常好 Iptables是Linux2.4及2.6內核中集成的服務。其功能與安全性比其ipfwadm，ipchains強大的多，iptables主要工作在OSI七層的二、三、四層，如果重新編譯內核，iptables也可以支持**7層控制（squid代理+iptables）** * 強調： 如果并發比較大，或者日PV多的情況下，開啟防火墻要注意，很可能導致網站訪問緩慢 大并發（并發1萬，PV日3000萬）要么購買硬件防火墻，要么不開iptables防火墻 ## 二、iptables 名詞和術語 ### 1. 容器：包含和被包含的關系 容器：裝東西的器皿，docker容器技術，將鏡像裝在了一個系統中，這個系統就稱為容器 iptables稱為一個容器---裝著防火墻的表 防火墻的表又是一個容器---裝著防火墻的鏈 防火墻的鏈也是一個容器---裝著防火墻的規則 iptables---表---鏈---規則 ### 2. 規則: 防火墻一條一條安全策略 防火墻匹配規則流程：參見防火墻工作流程圖 1) 防火墻是層層過濾的，實際是按照配置規則的順序從上到下，從前到后進行過濾的。 2) 如果匹配上規則，即明確表示是阻止還是通過，數據包就不再向下匹配新的規則。 3) 如果規則中沒有明確表明是阻止還是通過的，也就是沒有匹配規則，向下進行匹配，直到匹配默認規則得到明確的阻止還是通過。 4) 防火墻的默認規則是所有規則執行完才執行的。 ### 3. 防火墻工作流程圖 iptables是采用數據包過濾機制工作的，所以它會對請求的數據包的包頭數據進行分析，并根據我們預先設定的規則來進行匹配是否可以進入到主機。  ### 4. 四表五鏈 iptables表（tables）和鏈（chains） * Filter表 實現防火墻安全過濾功能 * Nat表 負責數據包改寫,網關共享上網、IP和端口映射 * Mangle表 對數據進行表決包含所有鏈,實際用的不多,忽略 * RAW表 用處很少和Mangle一樣,直接忽略 ## 三、filter表和NAT表詳述 對于filter表的控制是我們實現本機防火墻的重要手段，特別是對INPUT鏈的控制 ### 1. filter表 1) 作用 主要和主機自身有關，真正負責主機防火墻功能的（過濾流入流出主機的數據包）。filter表是iptables默認使用的表。這個表定義了三個鏈（Chains): 2) 企業工作場景： * 主機防火墻| 3) 鏈的作用 * INPUT 負責過濾所有目標地址是本機地址的數據包。通俗的講，就是過濾進入主機的數據包 * FORWARD 負責轉發流經主機的數據包。起轉發的作用，和LVS的NAT模式關系很大 * OUTPUT 處理所有源地址是本機地址的數據包，通俗的講，就是處理從主機發出去的數據包。 ### 2. NAT表 1) 作用 nat表負責網絡地址轉換，即來源與目的ip地址和port的轉換。應用：和主機本身無關。一般用于局域網共享上網或者特殊的端口轉換服務相關。 這個表定義了三個鏈（Chains)，nat功能就相當于網絡的acl控制。和網絡交換機:Acl類似。 2) NAT功能一般企業工作場景 * 用于做企業路由<zebna>或網關(iptibles),共享上網（POSTROUTING) * 做內部外部IP地址一對一映射（dmz)，硬件防火墻映射IP到內部服務器，ftp服務。（PREROUTING) * web,單個端口的映射，直接映射80端口（PREROUTING)。 3) 鏈的作用 * OUTPUT 和主機發出去的數據包有關.改變主機發出數據包的目標地址。 * PREROUTING 在數據包到達防火墻時進行路由判斷之前執行的規則，作用是改變數據包的目的地址、目的端口等。 例如：把公網IP:124.42.60.113映射到局域網的10.0.0.19服務器上。如果是web眼務，可以把80轉為局域網的服務器上9000端口。 * POSTROUTING 在數據包離開防火墻時進行路由判斷之后執行的規則，作用改變數據包的源地址、源端口等。 例如：我們現在的筆記本和虛擬機都是10.0.0.0/24,就是出網的時候被我們企業路由器把源地址改成了公網地址了。生產應用：局域網共享上網。 ## 四、iptables表和鏈工作流程圖 ### 1.全流程圖  2.簡化流程圖[僅filter表,NAT表]