Linux数据包路由原理、Iptables/netfilter入门学习

相关学习资料

https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html
http://zh.wikipedia.org/wiki/Netfilter
http://www.netfilter.org/projects/iptables/
http://linux.vbird.org/linux_server/0250simple_firewall.php
http://linux.vbird.org/linux_server/0250simple_firewall.php
http://www.vpser.net/security/linux-iptables.html

 

目录

1. Iptables/Netfilter原理分析
2. Linux数据包路由原理
3. Iptables规则编写原则

 

1. Iptables/Netfilter原理分析

在文章的最开头，我们首先要明确一个概念，Iptables/Netfilter到底是什么，它们之间的关系是怎样的。

我们可以这样简单地理解:

1. Netfilter是Linux操作系统核心层内部的一个数据包处理模块，它具有如下功能:
    1) 网络地址转换(Network Address Translate)
    2) 数据包内容修改
    3) 以及数据包过滤的防火墙功能
Netfilter平台中制定了五个数据包的挂载点(Hook Point，我们可以理解为回调函数点，数据包到达这些位置的时候会主动调用我们的函数，使我们有机会能在数据包路由的时候有机会改变它们
的方向、内容)，这5个挂载点分别是
    1) PRE_ROUTING
    2) INPUT
    3) OUTPUT
    4) FORWARD
    5) POST_ROUTING
2. Iptables
Netfilter所设置的规则是存放在内核内存中的，Iptables是一个应用层(Ring3)的应用程序，它通过Netfilter放出的接口来对存放在内核内存中的Xtables(Netfilter的配置表)进行修改
(这是一个典型的Ring3和Ring0配合的架构)

Xtables

我们知道Netfilter是负责实际的数据流改变工作的内核模块，而Xtables就是它的规则配置文件，Netfilter依照Xtables的规则来运行，Iptables在应用层负责修改这个规则文件。

Xtables由"表"、"链"、"规则rule"组成

1. Filter(表)
filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作 
    1) INPUT(链)
    INPUT针对那些目的地是本地的包
        1.1) 规则rule
　　　　    ..
    2) FORWARD(链)
    FORWARD链过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的包
        2.1) 规则rule
　　　　    ..
    3) OUTPUT(链)
    OUTPUT是用来过滤所有本地生成的包
        3.1) 规则rule
　　　　    ..
2. Nat(表)
Nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包(因为包
的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表
，一个一个的被NAT，而是自动地完成
    1) PREROUTING(链)
    PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址
        1.1) 规则rule
　　　　    ..
    2) INPUT(链)
        2.1) 规则rule
　　　　    ..
    3) OUTPUT(链)
    OUTPUT链改变本地产生的包的目的地址
        3.1) 规则rule
　　　　    ..
    4) POSTROUTING(链)
    POSTROUTING链在包就要离开防火墙之前改变其源地址。
        4.1) 规则rule
　　　　    ..
3. Mangle(表) 
这个表主要用来mangle数据包。我们可以改变不同的包及包 头的内容，比如 TTL，TOS或MARK。 注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规
则或程序(如tc)可以使用这种标记对包进行过滤或高级路由。注意，mangle表不能做任何NAT，它只是改变数据包的TTL，TOS或MARK，而不是其源目地址。NAT必须在nat表中操作的。
    1) PREROUTING(链)
    PREROUTING在包进入防火墙之后、路由判断之前改变 包
        1.1) 规则rule
　　　　    ..
    2) INPUT(链)
    INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包
        2.1) 规则rule
　　　　    ..
    3) FORWARD(链)
    FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包
        3.1) 规则rule
　　　　    ..
    4) OUTPUT(链)
    OUTPUT在确定包的目的之前更改数据包
        4.1) 规则rule
　　　　    ..
    5) POSTROUTING(链)
    POSTROUTING是在所有路由判断之后
        5.1) 规则rule
　　　　    ..

Netfilter的Hook点

Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK)(或者说是回调函数)，而在每个检测点上登记(callback)了一些处理函数进行处理(如包过滤，NAT等，甚至可以是 用户自定义的功能)

1. NF_IP_PRE_ROUTING:
刚刚通过数据链路层解包，进入网络层的数据包通过此点(刚刚进行完版本号，校验
和等检测)，目的地址转换在此点进行
2. NF_IP_LOCAL_IN
经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行
3. NF_IP_FORWARD
要转发的包通过此检测点，FORWARD包过滤在此点进行
4. NF_IP_POST_ROUTING
所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能(包括地址伪装)在此点进行
5. NF_IP_LOCAL_OUT
本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行

可以看到:

Iptables/Netfilter的工作是针对网络的数据包进行修改的，所以，Iptables/Netfilter在某种程度上可以算是一种网络层的路由器/防火墙

我们可以看到，通过"5个代表不同阶段的Hook点"、"表、链、规则"这种"松耦合"、"规则型"的结构，我们作为管理员可以获得最大程度的控制灵活性、可以有非常巨大的想象空间

Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation，NAT)，以及基于用户及媒体访问控制(Media Access Control，MAC)地址的过滤和基于状态的过滤、包速率限制等
Iptables/Netfilter的这些规则可以通过灵活组合，形成非常多的功能、涵盖各个方面，这一切都得益于它的优秀设计思想

 

2. Linux数据包路由原理

我们已经知道了Netfilter和Iptables的架构和作用，并且学习了控制Netfilter行为的Xtables表的结构，那么这个Xtables表是怎么在内核协议栈的数据包路由中起作用的呢？

网口数据包由底层的网卡NIC接收，通过数据链路层的解包之后(去除数据链路帧头)，就进入了"TCP/IP协议栈(本质就是一个处理网络数据包的内核驱动)和Netfilter混合"的"数据包处理流程"中了。

数据包的接收、处理、转发流程构成一个有限状态向量机，经过一些列的内核处理函数、以及Netfilter Hook点，最后被转发、或者本次上层的应用程序消化掉

从这张图中，我们可以总结出以下规律:

1. 当一个数据包进入网卡时，数据包首先进入PREROUTING链，在PREROUTING链中我们有机会修改数据包的DestIP(目的IP)，然后内核的"路由模块"根据"数据包目的IP"以及"内核中的路由表"
判断是否需要转送出去(注意，这个时候数据包的DestIP有可能已经被我们修改过了)
2. 如果数据包就是进入本机的(即数据包的目的IP是本机的网口IP)，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它
3. 本机上运行的程序也可以发送数据包，这些数据包经过OUTPUT链，然后到达POSTROTING链输出(注意，这个时候数据包的SrcIP有可能已经被我们修改过了)
4. 如果数据包是要转发出去的(即目的IP地址不再当前子网中)，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出(选择对应子网的网口发送出去)

我们在写Iptables规则的时候，要时刻牢记这张路由次序图，根据所在Hook点的不同，灵活配置规则

 

3. Iptables规则编写原则

我们前面说过，使用Iptables是一个非常灵活的过程，我们在写规则的时候，一定要时刻牢记上面的这张"数据包路由图"，明白在5个Hook点，3种"表"分别所处的位置，以及结合在这个5个Hook点可以实现的功能，来理解规则。理解规则的原理比强记规则本身效果要好得多

0x1: 提出需求

在正式编写Iptables规则之前，我们一定是有一个实现某个功能、目的的需求，我们必须先将它整理出来，为下一步抽象化作准备，这里我以我项目中的需求为例，大家在自己的实验中可以举一反三

1. 网口at0(10.0.0.1)是一个伪AP的网口，目标客户端连接到伪AP网口at0之后会发起DHCPDISCOVER过程，监听在at0上的DHCPD会进行回应，为客户端分配10.0.0.100的IP地址，并设置客户
端的默认网关为10.0.0.1(即at0的IP地址)、默认DNS服务器为10.0.0.1(即at0的IP地址)
2. 需要将网口at0(10.0.0.1)的入口流量牵引到真正连接外网的网卡接口eth0(192.168.159.254)上，做一个NAT服务
3. 对网口at0(10.0.0.1)的DHCP流量(目的端口67的广播数据包)予以放行，因为我们需要在伪AP所在的服务器上假设DHCP服务器
4. 对网口at0(10.0.0.1)的DNS流量(目的端口53)予以放行，因为我们需要在伪AP所在的服务器上假设DNS服务器

0x2: 逐步抽象化我们的需求

我们根据我们的需求进行抽象化，即用规则来抽象化描述我们的目的，在编写的过程中要注意不同的Hook点所能做的修改是不同的

//开启Linux路由转发开关，由于本机对数据包进行转发
echo "1" > /proc/sys/net/ipv4/ip_forward
//将客户端的HTTP流量进行NAT，改变数据包的SrcIP，注意，是在POSTROUTING(数据包即将发送出去之前进行修改)
iptables -t nat -A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 80 -j SNAT --to-source 192.168.159.254
//将远程WEB服务器返回来的HTTP流量进行NAT，回引回客户端，注意，是在PREROUTING(数据包刚进入协议栈之后马上就修改)
iptables -t nat -A PREROUTING -p tcp -d 192.168.159.254 -j DNAT --to 10.0.0.100

我们在DHCP服务器中指定客户端的默认DNS服务器是10.0.0.1(本机)，即伪DNS，但我目前还没有在本机架设DNS，所以目前还需要将53号端口的DNS数据包NAT出去，牵引到谷歌的DNS: 8.8.8.8上去

iptables -t nat -A PREROUTING -p udp -s 10.0.0.0/24 --dport 53 -j DNAT --to 8.8.8.8
iptables -t nat -A POSTROUTING -p udp -s 10.0.0.0/24 --dport 53 -j SNAT --to-source 192.168.159.254

iptables -t nat -A PREROUTING -p udp -d 192.168.159.254 --sport 53 -j DNAT --to 10.0.0.100
iptables -t nat -A POSTROUTING -p udp -s 8.8.8.8 --sport 53 -j SNAT --to-source 10.0.0.1

 

 

 

Copyright (c) 2014 LittleHann All rights reserved