iptables系列之基础原理

linux:网络防火墙 
  netfilter:frame 框架 网络过滤器 
   iptables:数据报文过滤，NAT，mangle等规则生成的工具。


网络知识：
   IP报文首部
   tcp报文首部

 ip：tcp:http

IP报文首部：
  版本号4 头部长度4 服务类型8 总长度16 
  段标识符16    R1 DF1 MF1 片偏移13
  TTL8  协议8    首部校验和
           源ip32
           目的ip32
          可选
          数据
分段和重组
DF：don't fragment 
MF:more fragment
片偏移：8的整数倍
协议：封装的报文的协议
icmp：3层协议直接使用IP
       udp 17 tcp 69
       
端口号：0--65535 
 0---1023 系统
 >=5000用户 


tcp：有状态的协议，三次握手

TCP首部

      源端口16     目的端口16
             序列号32
             确认号32
头部长度4 R6 URG1 ACK1 PSH1 RST1 SYN1 FIN1     窗口大小16 
校验和16      紧急指针 
         选项    
        数据   
             
             
             
注意：数据的流向
序列号：发送方告诉接受方发送的数据的编号
确认号：接受方期望接受下一个序列的第一个序号。
流控：滑动窗口。
重传；计时器
URG：紧急指针是否有效
ACK：说明确认号是否有效
PSH：推送，要优先处理的数据
RST:重置 
SYN：同步请求，建立连接 
FIN：断开连接

转换为能够通过网络发送的数据格式 
  文本
  二进制
  
TCP的三次握手 
TCP的四次断开

被动打开：closed---->listen 
主动打开：closed---->syn_sent 

listen--->SYN_RCVD---->established 
closed---->syn_sent---->established

三次握手 四次断开

TCP的有限状态机

TCP的状态转移：
主动关闭方：
established--->fin-wait-1----->fin-wait-2---->time-wait---->closed 
被动关闭方：
established---->closed-wait---->last-ack------>closed 

2MSL:最长报文段寿命 

fin-wait-1---->closing--->time-wait--->closed 

防火墙

工作在主机或网络的边缘，对进出主机或网络的数据报进行检查与监控，并且根据事先定义的规则，匹配其规则，采取定义的处理的动作进行操作的组件。

防火墙：硬件，软件，规则（匹配标准，处理办法）
framework：框架  (不防家贼)

默认规则：
   开放：堵
   关闭：通 
服务器：默认允许已知，拒绝未知    
规则：匹配标准 
   IP:源ip，目标ip  
   TCP/UDP:sport，DPORT，URS,ACK,PSH,RST,SYN,FIN 
   ICMP:icmp-type 控制消息报文协议 报文类型 
   
数据报文过滤：
      
网络功能：是内核空间实现的

内核中为用户空间中命令预留一些空间
在内核中TCP/IP的模块上开放一些位置，只是开放给用户空间可以编写防火墙规则的命令。可以实现用户中的命令可以直接操控内核空间的。
内核中的工作框架，用户空间中的管理工具。
syscall:可以和内核直接打交道。

linux2.0 
   ipfw/firewall 
   
linux2.2 
    ipchain/netfilter,firewall 
 
linux2.4 
    iptables（用户空间中可以写规则的用户空间中的应用，规则生成器）/netfilter(内核中可以放置的空间)   

内核中netfilter

       TCP/IP模块
网卡（拆帧）--->IP---本机->进程--->
                 |----->转发--->网卡
IP---->网卡--->用户 

报文的流向类型：（取决于IP）

1.从外面进入主机内部到达进程
2.本机内部出去的报文
3.通过主机进行转发的

检查路由表 ，路由决策

路由决策发生在数据包文件被网卡接受后进入主机后，进入TCP/IP协议栈模块时进行路由决策。

上述的三个位置是内核空间让iptables在内核空间中放置规则的地方。

进，出，转发

/proc/sys/net/ipv4/ip_forward 

-s 0.0.0.0 -d 172.16.100.7 reject 

hook function:钩子函数
netfilter设计者放在TCP/IP上的钩子函数。

自上而下，挨个检查，匹配前一个了，就不检查下面的了。

规则定义技巧：

 若两条规则不相关，就将范围大的规则放在上面，匹配的可能性大。（http访问频繁的放在上面。）
 若两条规则相关,则将范围小的规则放在上面，防止规则覆盖与疏漏。

hook function：5个
路由之前的位置
报文在即将转发之前的位置 做地址转换的

通俗的说，netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是 用户自定义的功能）。

IP层的五个HOOK点的位置

[1]:NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验
和等检测）， 目的地址转换在此点进行；
[2]:NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行；
[3]:NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行；
[4]:NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行；
[5]:NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。

netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换（Network Address Translation，NAT），以及基于用户及媒体访问控制（Media Access Control，MAC）地址的过滤和基于状态的过滤、包速率限制等。

框架

netfilter提供了一个抽象、通用化的框架[1]，作为中间件，为每种网络协议（IPv4、IPv6等）定义一套钩子函数。Ipv4定义了5个钩子函数，这些钩子函数在数据报流过协议栈的5个关键点被调用，也就是说，IPv4协议栈上定义了5个“允许垂钓点”。在每一个“垂钓点”，都可以让netfilter放置一个“鱼钩”，把经过的网络包（Packet）钓上来，与相应的规则链进行比较，并根据审查的结果，决定包的下一步命运，即是被原封不动地放回IPv4协议栈，继续向上层递交；还是经过一些修改，再放回网络；或者干脆丢弃掉。

NAT:network address transfer

sip:172.16.100.6 dip:100.2.2.1------>sip:12.1.1.6 dip:100.2.2.1 数据报文出去修改地址  源地址转换 
返回的响应的报文：
   sip：100.2.2.1 dip:12.1.1.6 ----->sip:100.2.2.1 dip:172.16.100.6  
   目标地址转换
注意：主机内部维护着一张地址映射表。

源地址转换是在报文即将离开网卡的时候修改源地址。
目标地址转换是在报文刚刚进入网卡的时候修改目标地址。

SNAT：
DNAT：

NAT
静态转换
动态转换 
端口多路复用（PAT）
ALG（Application Level Gateway），即应用程序级网关技术

hook function:钩子函数

   prerouting
   input
   output
   forward
   postrouting

规则链：

    PREROUTING
    INPUT 
    OUTPUT 
    FORWARD 
    POSTROUTING 

filter（过滤）： 表

    INPUT 
    OUTPUT 
    FORWARD

nat（地址转换）：表

  PREROUTING
  OUTPUT   
  POSTROUTING 

mangle(修改报文首部，拆开，修改，封装):表

      PREROUTING 
      INPUT 
      OUTPUT 
      FORWARD
      POSTROUTING 
raw()：
     PREROUTING 
     OUTPUT 
     
注意：不同功能的不能放在一起。
  iptables: 

数据包过滤顺序：

raw:PREROUTING 
mangle:PREROTING
nat:PREROUTING -------|
                     \|/
       |--------  路由选择--------------|
      \|/                              \|/                   
magle:INPUT                         mangle：FORWARD
filter:INPUT                        filter:FORWARD 
       \|/                                |
       路由选择                           |
        \|/                               |
raw:  OUTPUT                              | 
mangle:OUTPUT                             |
nat:OUTPUT                                | 
filter:OUTPUT                             |
        |                                 | 
        |                                 | 
        |------->  mangle:POSTROUTING <---| 
                   nat: POSTROUTING

iptables:

   四个表五个链
   表：raw,mangle,nat,filter 
   链：PREROUTING,INPUT,OUTPUT,FORWARD,POSTROUTING 

  itables:
   可以使用自定义链：
  一个钩子函数hook function就是一个链。
自定义链只有被默认链调用才可以使用。

自定义

自定义链是为了精简链，调高链的效率。

可以使用自定义链，但是在被调用是才能发挥作用，而且如果没有自定义链中任何规则匹配，还应该有返回机制：

  用户可以删除自定义空链
  不可以删除默认链
  
每条规则都有两个内置计算器
    被匹配到的报文个数。
    被匹配的报文大小之和。

规则：匹配标准，处理动作

iptables [-t table] subcommand CHAIN [num] 匹配标准 -j 处理办法
匹配标准：
  通用匹配
  扩展匹配（使用扩展模块,依赖于模块进行匹配）
           隐含扩展：不用特别指明由哪个模块进行的扩展，因为此时使用-p {tcp|udp|icmp}
           显示扩展：必须指明由哪个模块进行的扩展，在iptables中使用-m选项可完成此功能。
           
 匹配标准： 
   通用匹配：
     -s,--src ：指定源地址
     -d,--dst ：指定目标地址
     -p {tcp|udp|icmp}：指定协议
     -i interface:指定数据报文流入的接口
          可用于定义标准的链：PREROUTING,INPUT,FORWARD 
     -o interface:指定数据报文流出的接口
        可用于定义标准的链：OUTPUT,POSTROUTING,FORWARD 

-j 处理办法  -j 跳转 
-j TARGET 
   ACCEPT   ：接受
   DROP    ：默默丢弃
   REJECT   :拒绝并通知
   
        
iptables -t filter -A INPUT -s  172.160.0.0/16 -d 172.16.100.7 -j DROP