作者: 耳朵里有風
還記得剛接觸Linux系統(tǒng)脸狸,需要在上面部署tomcat, 部署好之后卻發(fā)現(xiàn)在瀏覽器上怎么也訪問不了最仑,折騰一會之后才知道端口沒有放開,網(wǎng)上搜了開放端口的命令 iptables -I INPUT -p tcp --dport 8080 -j ACCEPT炊甲,試了試發(fā)現(xiàn)果然有效泥彤。我猜應該也有不少小伙伴和有著類似的經(jīng)歷吧,那你會不會好奇那串命令為什么能生效呢卿啡?本篇我想寫的內(nèi)容就是圍繞iptables展開的吟吝,希望讀完本篇,你能從中找到答案牵囤。至于為什么在Docker網(wǎng)絡學習專題中要了解iptables, 我在后續(xù)的篇章中會有提及爸黄。好了,下面作為iptables的粉絲揭鳞,開始去追逐她吧!
iptables概念
可以說iptables是用戶空間的命令行工具梆奈,比如上面說的要開放一個端口野崇,于是敲了一個iptables命令。 那么除了開放端口亩钟,iptables還能做些什么乓梨? 下面先列出了三個常用功能(還有很多),之后會逐一來看要如何做以及為什么能這么做清酥。
- 構建防火墻規(guī)則
- 防攻擊扶镀,比如流量控制
- 轉發(fā)數(shù)據(jù)包
1、構建防火墻規(guī)則
通常使用iptables來設置防火墻焰轻,比如文章最開始舉的開放端口的例子臭觉,它其實就是讓防火墻允許外界通過指定端口來訪問服務器部署的服務,通過iptables命令增加了一條防火墻規(guī)則辱志,當服務器接收到請求時蝠筑,內(nèi)核某個模塊就會根據(jù)這條規(guī)則來判斷是否讓這個請求通過,這個模塊有個名字叫netfilter揩懒。
從圖1不難發(fā)現(xiàn)什乙,netfilter和iptables組成了Linux數(shù)據(jù)包果過濾的防火墻,其中iptables負責組織具體過濾的規(guī)則已球,而netfilter通過這些規(guī)則來處理用戶請求臣镣,決定請求的進出辅愿。需要注意的是,netfilter不僅是負責數(shù)據(jù)的阻斷過濾忆某,它同時也負責網(wǎng)絡地址轉換以及數(shù)據(jù)包內(nèi)容修改渠缕。
1.1、 iptables 基礎
構建防火墻規(guī)則褒繁,這里有兩個名詞亦鳞,防火墻和規(guī)則燕差。 剛剛已經(jīng)解釋了防火墻實質(zhì)是iptables/netfilter對規(guī)則的制定和調(diào)用坝冕,那么規(guī)則顯得尤為重要;要弄懂規(guī)則是什么测暗, 還是回顧下開放端口的命令
iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
這條命令的意思大概是在頂部添加一條新的INPUT鏈規(guī)則碗啄,協(xié)議是tcp, 目標端口是8080稳摄,處理的方式是接受請求厦酬,該規(guī)則會歸到filter表。(簡述:允許訪問tcp協(xié)議下8080端口)昌讲, 具體參數(shù)含義:
| 參數(shù) | 含義 |
|---|---|
-I |
command: 具體命令短绸,-I表示從頂部添加旋廷,類似的操作 -A表示從底部追加,-D表示刪除一條規(guī)則等 |
INPUT |
chain: 指定鏈目尖, 包含PREROUTING瑟曲、INPUT、FORWARD洞拨、POSTROUTING烦衣、OUTPUT |
-p tcp --dport 8080 |
paramter&Xmatch: -p tcp 表示指定協(xié)議為tcp; -dport 8080表示指定目標端口(Destination Port)是8080 |
-j ACCEPT |
target: -j ACCEPT 表示允許,其他還有DROP秸歧、REJECT键菱、DNAT今布、SNAT |
5鏈4表
重點先來看下第二個參數(shù)INPUT, 它是用來指定規(guī)則作用在哪條鏈上部默,iptables一共有5種鏈,包括: PREROUTING蘑志、INPUT贬派、FORWARD搞乏、POSTROUTING请敦、OUTPUT储玫,這5種鏈的位置如下圖所示:
- PREROUTING撒穷、POSTROUTING 鏈是前后的處理;
- INPUT禽笑、OUTPUT 鏈是核心態(tài)與用戶態(tài)轉移時的處理;
- FORWARD鏈是非本機請求的轉發(fā)僚稿;
鏈的理解:INPUT可以添加多條規(guī)則蟀伸,這些規(guī)則在一起組成了INPUT鏈;
圖3
說到了鏈蠢络,不得不提另外一個重要的概念脖律,那就是表。把具有相同功能的規(guī)則的集合叫做表芦疏,比如在INPUT鏈中有對請求過濾的規(guī)則酸茴,在OUTPUT兢交、FORWARD鏈也同樣有過濾的功能,于是把負責過濾功能的規(guī)則統(tǒng)統(tǒng)歸到filter表中酪穿。下面是具體表和功能
| 表 | 功能 | 對應內(nèi)核模塊 |
|---|---|---|
| filter | 負責過濾功能被济,防火墻 | iptables_filter |
| nat | network address translation涧团,網(wǎng)絡地址轉換功能 | iptable_nat |
| mangle | 拆解報文,做出修改钮追,并重新封裝 的功能 | iptable_mangle |
| raw | 關閉nat表上啟用的連接追蹤機制 | iptable_raw |
知識點
- 表不一定會存儲所有鏈的規(guī)則元媚,這是因為鏈不需要具備所有功能,比如POSTROUTING就不需要過濾的功能犹芹,所以POSTROUTING的規(guī)則是不會存儲在filter表中的腰埂。
- 鏈的規(guī)則根據(jù)功能不同存儲在不同的表中蜈膨,如果一個鏈中存在多個功能的規(guī)則,他們的執(zhí)行順序是raw > mangle > nat > filter
- 為了更方便的管理驴一,我們還可以在某個表里面創(chuàng)建自定義鏈肝断,將針對某個應用程序所設置的規(guī)則放置在這個自定義鏈中驰凛,但是自定義鏈接不能直接使用,只能被某個默認的鏈當做動作去調(diào)用才能起作用(講Docker網(wǎng)絡時還會提到)
1.2趣钱、舉個栗子
有了上面的基礎首有,假設現(xiàn)在有臺機器枢劝,ip是10.0.1.2,先允許22訪問低矮,其他都拒絕
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j REJECT
現(xiàn)在有應用需要用到8080到8085 這一段端口 iptables -I INPUT -p tcp -dport 8080:8085 -j ACCEPT
需要服務器能通ping的通iptables -I INPUT -p icmp -j ACCEPT
允許本機訪問自己 iptables -I INPUT -i lo -j ACCEPT ( -i lo 指定網(wǎng)卡設備,意思是允許lo過來的數(shù)據(jù)包)
允許本機訪問其他主機 iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT (往外請求時轮蜕,回包的狀態(tài)為ESTABLISHED或RELATED, -m state --state <狀態(tài)>: 指定請求狀態(tài))
只允許10.0.1.3 訪問8090端口 iptables -I INPUT -p tcp -s 10.0.1.3 --dport 8090 -j ACCEPT
二跃洛、流量控制
流量控制也還是在INPUT進行控制
iptables -I INPUT -p tcp -dport 80 -s 10.0.1.3 -m connlimit --connlimit-above 10 -j ACCEPT
-m connlimit --connlimit-above 10 指定了并發(fā)上限為10,上面命令就是限制10.0.1.3 訪問服務器80端口的并發(fā)的上限為10葱蝗;
三、數(shù)據(jù)包轉發(fā)
上面不管是防火墻規(guī)則還是流浪控制都是filter表功能皂甘,數(shù)據(jù)包轉發(fā)用到的就是nat表功能了悼凑。轉發(fā)與否的請求流程區(qū)別在于所走的鏈是不同的,下圖綠色是轉發(fā)的請求路徑渐夸,轉發(fā)是在內(nèi)核態(tài)完成墓塌,不需要經(jīng)過用戶態(tài)奥额,節(jié)省了轉發(fā)時間。
除了 請求到用戶態(tài) (PREROUTING -> INPUT) 和 本機轉發(fā)請求 (PREROUTING -> FORWARD -> POSTROUTING)态坦, 還有從用戶態(tài)發(fā)出報文(OUTPUT --> POSTROUTING)的應用場景本篇不再具體分析
Linux數(shù)據(jù)包轉發(fā)需要先指定內(nèi)核參數(shù)net.ipv4.ip_forward伞梯,這個參數(shù)指定了Linux系統(tǒng)當前對路由轉發(fā)功能的支持情況谜诫;其值為0時表示禁止進行IP轉發(fā)攻旦;如果是1,則說明IP轉發(fā)功能已經(jīng)打開。 打開配置 /etc/sysctl.conf 文件修改 net.ipv4.ip_forward=1
nat規(guī)則分為SNAT(源地址轉換)和DNAT(目標地址轉換)且预, DNAT 在PREROUTING階段轉換目標地址烙无, SNAT是在POSTROUTING階段將源地址進行轉換截酷;
理解目標地址和源地址:目標地址就是我將要訪問的地址,而源地址就是我自己的地址鼓择;
-
DNAT示例
假設客戶端(10.0.1.2) 要訪問HTTP服務器就漾,該服務器ip是172.1.3.3,這是一個跨網(wǎng)段的請求催跪,是無法直接訪問的夷野,現(xiàn)在實現(xiàn)通過10.0.1.3這臺服務轉發(fā)來訪問HTTP服務器(就是通過 http://10.0.1.3能夠請求到172.1.3.2 的服務)悯搔。 10.0.1.3 同時配置和172.1.3.3同網(wǎng)段的網(wǎng)卡,ip是172.1.3.2通危, 圖示如下:
圖6
要實現(xiàn)這樣的場景菊碟,只需要在轉發(fā)服務器10.0.1.3 上做一個DNAT即可
iptables -t nat -A PREROUTING -d 10.0.1.3 -p tcp --dport 80 -j DNAT --to 172.1.3.3:80
-t 是指定表類型在刺,默認是filter;上面這句話的意思就是將訪問10.0.1.3:80 轉到172.1.3.3:80上魄幕;
-
SNAT 示例
還是剛剛的場景纯陨,只是現(xiàn)在不想通過輸入http://10.0.1.3來請求到172.1.3.2的服務留储, 而是直接輸入172.1.3.2進行請求;
圖7
要實現(xiàn)這樣的場景机久,只需要在轉發(fā)服務器10.0.1.3 上做一個SNAT即可
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -j SNAT --to 172.1.3.2
SNAT和DNAT適用于不同的場景,比如當我在公司網(wǎng)絡環(huán)境需要訪問某個外部網(wǎng)站(如 www.baidu.com)時,就沒必要在瀏覽器上輸一個內(nèi)部ip來請求這個網(wǎng)站侠畔,所有此時DNAT就不太適用了损晤,就需要配置SNAT尤勋。而當我有個服務需要開放到外網(wǎng)去,外部通過某個指定的域名來訪問我的服務瘦棋,這種場景明顯就需要適用DNAT暖哨。
