added cactus theme files

hugo-content/themes/cactus/exampleSite/content/posts/2016-11-29-iptables-usage.md

@@ -0,0 +1,138 @@
+---
+title: netfilter/iptables 笔记
+date: 2016-11-29 21:08:52
+category: notes
+tags:
+    - Linux
+keywords:
+    - iptables
+    - netfilter
+    - linux网络安全
+    - 运维
+---
+
+## netfilter 与 iptables
+
+`netfilter`是linux默认的防火墙，在2.4之后的版本正式进入内核。`netfilter` 使用四个表(Table)来存放控制信息包过滤处理的规则集。每张表由链(Chain)组成，每条链又包含了多条规则(rule)。
+
+`iptables`是用来编辑操作这些表的一个工具。`iptables`包中也包含了针对IPv6的工具`ip6tables`。
+
+四个表及其包含的链：
+
+<!-- more -->
+
+* filter
+    - INPUT
+    - FORWARD
+    - OUTPUT
+* nat
+    - PREROUTING
+    - POSTROUTING
+    - OUTPUT
+* mangle
+    - PREROUTING
+    - INPUT
+    - FORWARD
+    - OUTPUT
+    - POSTROUTING
+* raw
+    - PREROUTING
+    - OUTPUT
+
+![img](/img/2016-11-29-iptables-usage_1.png)
+
+### filter机制
+
+`filter`是`netfilter`中最重要的机制，其任务是执行数据包的过滤操作。具有三种内建链：
+
+* INPUT - 来自外部的数据包（访问本机）
+* OUTPUT - 发往外部的数据包（本机访问外部）
+* FORWORD - “路过”本机的数据包，转发到其他设备
+
+链中规则的匹配方式遵循`first match`。`filter`会根据数据包特征从相应链中的第一条规则开始逐一进行匹配。只要遇到满足特征的规则后便不再继续。
+每条链在最底端都定义了默认规则。默认规则只会有一种状态：`ACCEPT`或者`DROP`。默认为`ACCEPT`。
+
+## iptables命令参数
+
+格式：
+```
+iptables -操作方式 [链名] [条件匹配] [选项]
+
+iptables -[ACD] chain rule-specification [options]
+iptables -I chain [rulenum] rule-specification [options]
+iptables -R chain rulenum rule-specification [options]
+iptables -D chain rulenum [options]
+iptables -[LS] [chain [rulenum]] [options]
+iptables -[FZ] [chain] [options]
+iptables -[NX] chain
+iptables -E old-chain-name new-chain-name
+iptables -P chain target [options]
+iptables -h (print this help information)
+
+```
+
+常用操作方式：
+
+* `-L(--list)` *[chain]* 列出所有规则或指定链的规则
+* `-A(--append)` *chain* 在指定链中添加新规则
+* `-C(--check)` *chain* 检查规则是否存在
+* `-D(--delete)` *chain rule_num* 删除链中匹配的规则
+* `-F(--flush)` *[chain]* 清除指定链或者全部链中的规则
+* `-P(--policy)` *chain* 设置指定链的默认策略
+* `-R(--replace)` *chain rule_num* 替换指定链中特定行的规则，第一行行数为1
+
+
+常用选项：
+
+* `-p(--protocol)` *proto* 指定协议，如`tcp` `udp` `icmp`
+* `-j(--jump)` *target* 规则的目标（？？），如`ACCEPT` `DROP` `REJECT`
+* `-s(--source)` *address[/mask]* 数据包源IP，可为单IP或CIDR网段或域名
+* `-d(--destination)` *address[/mask]* 数据包目的IP，可为单IP或CIDR网段或域名
+* `--dport` *port* 目的端口，必须指明`-p`
+* `--sport` *port* 来源端口，必须指明`-p`
+* `--line-numbers` 显示行号
+
+>关于`-p`配置的上层协议，可参考`/etc/protocols`
+
+## state模块
+
+`state`模块实现了“连接跟踪”功能，用来解决某些情况下防火墙内主机对外建立链接的问题。
+`state`模块定义了四种数据包链接状态，分别为`ESTABLISHED` `NEW` `RELATED` `INVALID` 四种。在TCP/IP标准的定义中，UDP和ICMP数据包是没有链接状态的，但是在state模块的定义中，任何数据包都有连接状态。
+
+### ESTABLISHED状态
+
+只要数据包能够成功穿过防火墙，则之后的所有数据包（包括响应数据包）都会被标记为是`ESTABLISHED`状态。
+
+当我们设置防火墙INPUT链的默认策略为`DROP`时，防火墙内主机很多服务，如ssh客户端基本上就无法与外面的ssh服务端建立连接了。原因很简单，ssh客户端使用的端口是随机的，防火墙无法预知客户端会使用哪一个端口发起链接。因此即使客户端发出了请求，ssh服务端返回的相应数据包也会被防火墙的默认策略拦截。
+
+ESTABLISHED状态可以很轻易的解决此问题，见[#解决应用程序无法从防火墙主机上对外建立新连接的问题](#解决应用程序无法从防火墙主机上对外建立新连接的问题)
+
+### NEW状态
+
+每一条链接中的地一个数据包的状态定义为`NEW`。
+
+### RELATED状态
+
+`RELATED`状态的数据包其含义是指，被动产成的应答数据包，且此数据包不属于当前任何链接。换一种说法就是，只要应答的数据包是因为本机发起的连接送出vhu一个数据包，导致了另一条连接的产生，那么这个新连接的所有数据包都属于`RELATED`状态。
+
+以ubuntu上上的tracepath工具为例，在检测本机与目的主机间跳数时，tracepath是通过发送TTL值从1递增的`tcp`数据包来检测每一跳。路径中的路由器因TTL减为0而回送了一个`ICMP`数据包(ICMP Type 11)，该数据包就属于RELATED状态。
+
+### INVALID状态
+
+`INVALID`状态指的是状态不明的数据包，即不属于`ESTABLISHED` `NEW` `RELATED`三种类型的数据包。所有的`INVALID`数据包都应该视为恶意数据包。
+
+
+## 实例
+
+### 丢弃icmp协议包（禁止ping）
+
+通过此规则实现禁止ping本机的效果
+```
+iptables -A INPUT -p icmp -j DROP
+```
+
+### 解决应用程序无法从防火墙主机上对外建立新连接的问题
+
+```
+iptables -A INPUT -p tcp -m state ESTABLISHED -j ACCEPT
+```