编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第PAGE15页共NUMPAGES15页第PAGE\*MERGEFORMAT15页共NUMPAGES\*MERGEFORMAT15页Linux網路安全講義:Netfilter機制與iptables工具一、iptables簡介iptables下載與技術資源總站http://www.netfilter.org/。使用iptables前先確認核心版本(#uname-r)，Kernel必須是2.4以上版本演進歷程介紹:-舊版Linux上使用IP-Masquerade的IP偽裝以便於達成該功能。-kernel2.0.x時代，是使用ipfwadm程式。(這個說法不算是完全正確)-kernel2.1.x/2.2.x時代，則是使用ipchains程式，portforwarding需要搭配ipmasqadm程式來輔助才能夠達成。-kernel2.3.x/2.4.x時代，使用netfilter過濾機制，是使用iptables程式。！注意！(Kernel2.4使用netfilterproject的firewall機制，該環境允許使用者使用舊版ipchains設定firewall，不過要先掛入ipchains模組。若是系統已經掛入ipchains模組，要先執行#ipchains-F;ipchains–X；rmmodipchains即可開始使用iptables了。目前kernel2.4.x配合使用netfilter核心過濾機制，可以達到的功能相當強悍，netfilter可提供的機制如下：傳統ipchains的任何功能(來源與目的封包過濾、導向、偽裝)。提供SourceNAT與DestinationNAT的功能。可以針對特定使用者、群組、PID等限制網路連結的過濾存取。可以設定封包在RoutingTable進出前時先預先處理。可以針對外面自動建立、與現有連線有關這類連線過濾處理。可以針對Mac卡號直接處理。使用iptables前先確認下列核心功能已設定正確：CONFIG_PACKET、CONFIG_NETFILTER、CONFIG_IP_NF_CONNTRACK、CONFIG_IP_NF_FTP、CONFIG_IP_NF_IPTABLES、CONFIG_IP_NF_MATCH_LIMIT、CONFIG_IP_NF_MATCH_MAC、CONFIG_IP_NF_MATCH_MARK、CONFIG_IP_NF_MATCH_MULTIPORT、CONFIG_IP_NF_MATCH_TOS、CONFIG_IP_NF_MATCH_TCPMSS、CONFIG_IP_NF_MATCH_STATE、CONFIG_IP_NF_MATCH_UNCLEAN、CONFIG_IP_NF_MATCH_OWNER、CONFIG_IP_NF_FILTER、CONFIG_IP_NF_TARGET_REJECT、CONFIG_IP_NF_TARGET_MIRROR、CONFIG_IP_NF_NAT、CONFIG_IP_NF_TARGET_MASQUERADE、CONFIG_IP_NF_TARGET_REDIRECT、CONFIG_IP_NF_TARGET_LOG、CONFIG_IP_NF_TARGET_TCPMSS、CONFIG_IP_NF_COMPAT_IPCHAINS、CONFIG_IP_NF_COMPAT_IPFWADM。二、基本原理iptables預設的Table&Chains組合(User可以自訂chains)過濾表(Table)說明filter過濾透通本機的封包(預設)nat轉譯封包位址資訊mangle修改或標註封包ForwardPacketProcessingInputPacketProcessingOutputPacketProcessing各種封包的處理流程(一)各種封包的處理流程(二)規則鏈(chains)執行時機PREROUTING封包進入本機，在判斷路由前INPUT通過路由表後，目的地為本機FORWARD通過路由表後，目的地不是本機OUTPUT由本機主動建立的封包，在通過路由表前POSTROUTING通過路由表後，要發送出去前封包過濾流程(三)PREROUTINGINPUTOUTPUTFORWARDPOSTROUTINGLocalProcessRouteTableIPPacketHeader三、指令介紹iptables指令包含以下四項元件:tableACTION<命令>rulespecification-pattern<比對規則>extension<延伸選項>netfilter處理