iptables是linux系统下的一个功能强大的模块,不仅可以用作防火墙,还可以实现NAT等众多路由功能。iptables的容器有很清晰的层次关系:
1. iptables是表的容器,iptables包含表(4张表)
2. 表是链的容器,每个表都包含若干个链
3. 链是规则的容器,真正的过滤规则是属于链里面的
iptables是采用数据包过滤机制工作的,它会对请求的数据包的包头数据进行分析,并根据预先设定的规则来进行匹配,决定是否可以进入主机,流程如下:
从上图不难看出,防火墙是一层层过滤的,按照配置规则的顺序从上到下,从前到后进行过滤。如果匹配上规则,即明确了是阻止还是通过,此时数据包就不再往下匹配新规则了。否则一直向下匹配,直到匹配到默认规则,得到明确的阻止或通过;防火墙的默认规则是对应链的所有规则执行完后才会执行的。
iptables根据功能和表的定义划分包含三个表,filter,nat,mangle,其每个表又包含不同的操作链(Chains)。要使用iptables实现ip白名单、mac地址白名单,只需使用filter表。filter表包含的操作链有三个:INPUT、FORWARD、OUTPUT:
1.INPUT负责过滤所有目标地址是本机地址的数据包,即进入主机的数据包
2.FORWARD负责转发流经主机的数据包
3.OUTPUT负责处理所有源地址是本机地址的数据包,即主机发出的数据包
防火墙功能主要设定INPUT链的规则。首先加载如下模块到Linux内核:
modprobe ip_tables modprobe iptable_filter modprobe iptable_nat modprobe ip_conntrack 连接跟踪 modprobe ip_conntrack_ftp 连接跟踪 modprobe ip_nat_ftp modprobe ipt_state