# `iptables` 基本介紹
> 以下紀錄自己學習 `iptables` 的筆記~
資料透過網路傳輸時,會被切割成一個一個的封包,封包裡面除了含有要傳送的 data,也含有這個封包的資訊,像是 souce address、protocol 等等資訊。
而說到 Linux 的防火牆,就會提到 `iptables`。當封包進到 `iptables` 裡面,`iptables` 就會查看這個封包的資訊,並依據我們設定的防火牆規則對這個封包做處理。
以下簡單介紹 `iptables` 和它的指令~
## Linux Firewall
`netfilter` 是運行在 kernel space 的,所以使用者沒辦法直接對他做操作;而 `iptables` 則是運行在 user space 的工具,使用者可以透過 `iptables` 對 `netfilter` 做設定。
從上面那張圖可以看到 `iptables` 其實是比較舊版的,且 `iptables` 是專門負責 IPv4 的 packet filtering 和 network address translation(NAT);IPv6 的部分則由 `ip6tables` 負責,另外還有 `ebtables` 和 `arptables` 分別負責 ethernet bridge frame table 和 address resolution protocol table。
而 Linux kernel 自 3.13 版開始,就改成使用 `nftables`。一個 `nftables` 的功能就涵蓋了舊版的四個工具的功能。
而 OpenWRT 則是自 22.03 版以後,預設上改成使用 `nftables`。
## `iptables` 組成
### Table、Chain、以及 Rule
上圖是一個很簡單的示意圖,`iptables` 裡面會有一個一個的 tables,每個 table 則會由多個 chains 所組成,而這些 chains 則由多個 rules 所構成。
- 依據對封包做的操作的不同,會有不同的 table,像是負責 network address translation 的 nat table、或負責封包過濾的 filter table
- Chain 則是依據封包處理流程的不同階段所命名,像是在做 routing 之前(`PREROUTING` chain)、或者是處理完 routing 之後(`POSTROUTING` chain)。
- Rule 就是我們所設定的防火牆規則。
- 每個 rule 都會有 target,target 就是要對這個封包做什麼「操作」。
- 當封包進入一個 chain,++就會開始從該 chain 的第一條 rule 開始依序比對++,假如該封包符合了第一個 rule,那就會對這個封包執行第一個 rule 所指定的「操作」,然後可能就會到下一個 chain 或被丟棄。
++假如前面的 rule 都沒有符合,那就會去比對下一條 rule++,依此類推。
- 最後,可以看到 chain 裡面不一定要有 rule,但一定要有 policy。Policy 跟 rule 一樣都會有 taget。前面有提到,封包一旦進入一個 chain,就會開始依序從第一個 rule 做比對,若有符合某個 rule,那就執行該 rule 的 target。但萬一全部的 rule 都比對過了,但都沒符合,或者是該 chain 裡面沒有半條 rule,那該怎麼處理這封包呢?這時候就是看該 chain 的 policy 的 target 為何,就會對封包執行 policy 的 target。
以 NAT table 為例,這個 table 的功能是對封包做 network address translation,那這個 table 有 `PREROUTING` chain 和 `POSTROUTING` chain,所以封包在 `PREROUTING` 和 `POSTROUTING` 階段會進入 NAT table 的 `PREROUTING` chain 和 `POSTROUTING` chain,並且依序比對這些 chain 裡面的 rule,
上圖是個簡單的示意圖說明若一個封包進到 `iptables` 的處理流程。
封包的處理流程主要依據不同的階段劃分,這裡簡單的用 Stage I、Stage II、以及 Stage III 作說明(後面會提到確切的流程)。
前面有提到,chain 的命名是依據封包處理的階段所命名,所以 stage I 會由某些 table 的 chain I 所組成,而 stage II 則由另一些 table 的 chain II 所組成,依此類推。
封包在每個 stage 會依序去執行不同 table 的 chain。一旦符合該 chain 的某個 rule,就執行該 rule 的 target。上圖列出了兩個最常見的 target:`ACCEPT` 和 `DROP`。`ACCEPT` 就是讓這封包通過,`DROP` 則是丟掉這個封包。
所以在上面的示意圖可看到,一旦封包符合了 rule,且該 rule 的 target 是 `ACCEPT`,那這個封包就會到下一個 chain,==**而不會繼續比對同一個 chain 後面的 rule**==。==所以 rule 的順序在 `iptables` 是很重要的一件事==!倘若 target 是 `DROP`,就會丟棄該封包、不再對它做處理。
### Rule 的順序很重要!
前面有提到,封包一旦進入一個 chain,就會依序去比對該 chain 的 rule,倘若符合某個 rule,就會執行該 rule 指定的 target。
所以再提醒一次~rule 的順序在 `iptables` 是很重要的~若順序錯誤,可能就達不到自己想要的效果!
此外,依據封包執行的結果,大致可將 target 分成兩類:terminating target 和 non-terminating target。
- Terminating target:
- 大部分的 target 都屬於這類,像是最常見的 `ACCEPT` 和 `DROP`。執行了這類的 target 後,封包就不會繼續比對同一個 chain 後續的 rule。例如,若是 `ACCEPT`,那封包就會到下一個 chain。
- Non-terminating target:
- 這類型的 target 執行後,還是會繼續比對後面的 rule,像是 `LOG`,顧名思義就是會記錄到 log。
### `iptables` 的 Tables 和 Chains
目前 `iptables` 內有這五個 tables,但可能會因 kernel 的 configuration 不同而有些許差異:
- `filter` table
- 最主要負責防火牆功能的 table,也是預設的 table,負責封包過濾的功能,像是 `ACCEPT`(接受)封包,或 `DROP`(丟掉)封包。
- `nat` table
- 主要負責處理 network address translation(NAT),像是更改封包的 source address(SNAT)、或是更改封包的 destination address(DNAT)。
- `mangle` table
- 此 table 的功能主要是修改封包的 header,像是修改 Time-To-Live(TTL)欄位、Quality of Service(QoS)欄位。此外,也能藉由 `MARK` target 對封包做標記。
- `raw` table
- `raw` table 的主要功能是將不需要做 connection tracking(連線追蹤)的封包做 `NOTRACK`,這樣這些封包就不會被 connection tracking,而可以減少 `netfilter` 的負擔。
- 由於若要將封包設定為 `NOTRACK`,就必須要在封包進到 `iptables` 時盡早對其做處理,所以在封包的 `PREROUTING` 和 `OUTPUT` 階段第一個經過的 table 就是 `raw` table(後面會有張整個流程的示意圖)。
- `security` table
- 此 table 是用在 Mandatory Access Control(MAC)networking rules。通常是 kernel 有啟用 Linux Security Modules(LSM),這個 table 才會有作用。有用到 LSM 的包括 Security Enhanced Linux(SELinux)。
- MAC 會透過對封包標示 Security Label 來控制是否可存取系統資源,所以此 table 主要的 target 就是對封包做 `SECMARK` 或 `CONNSECMARK` 標示,後續再由像是 SELinux 決定是否允許此封包存取系統。
- 當 `filter` table 的 chain 比對完之後,就會馬上比對 `security` table 的 chain。
:::info
如果是使用 OpenWRT 的話,OpenWRT 預設使用的 table 是 filter table、nat table、以及 mangle table。
若想要使用 raw table 的話,記得在編譯 kernel 前就要做好設定~
像是用 `make menuconfig`:
- `Kernel modules`
- `Netfilter Extensions`
- `<*> kmod-ipt-raw`
:::
內建的 chain 總共有五個,分別代表封包處理的五個階段:
- `PREROUTING`
- 封包從 network interface 進入,並且在做 routing decision 之前的階段。
- 做完 routing decision 之後會決定這個封包其目的地是本機、還是只是經過本機。
- 若封包的目的地是本機,那就會進入 `INPUT` chain。
- 若封包只是經過本機、目的地不是本機,那就會進入 `FORWARD` chain。
- `INPUT`
- 當封包通過 `PREROUTING` chain,且路由決策判斷其目的地是本機,就會進入 `INPUT` chain,可以在這裡決定本機是否要接受此封包。
- `FORWARD`
- 只是經過本機的封包、目的地不是本機。
- 通過 `FORWARD` chain 後會進入 `POSTROUTING`。
- `OUTPUT`
- 由本機發出的封包,進入 `iptables` 的第一個階段就是 `OUTPUT` chain。
- 通過 `OUTPUT` chain 後會進入 `POSTROUTING` chain。
- `POSTROUTING`
- 若只是經過本機而目的地非本機的封包、以及由本機發出的封包,在離開 network interface 之前的最後一個階段就是 `POSTROUTING` chain。
- 可以在這個階段修改封包的 source address(`SNAT` 或 `MASQUERADE`)。
每個 table 所內建的 chain。
<!--
依上面幾張 slides 所示,`iptables` 的 table 有 filter table、nat table、mangle table、以及 raw table。
- Filter table
- 最主要負責防火牆功能的 table,也就是負責封包過濾的功能,像是要 `ACCEPT` 某封包,或 `DROP` 某封包。
- 此 table 含有的 chain 的名稱:`INPUT`、`FORWARD`、`OUTPUT`
- Nat table
- 此 table 主要負責處理 network address translation(NAT),像是更改封包的 source address(SNAT)、或是更改封包的 destination address(DNAT)。
- 此 table 含有的 chain 的名稱:`PREROUTING`、`OUTPUT`、`POSTROUTING`
- Mangle table
- 此 table 含有的 chain 的名稱:`PREROUTING`、`INPUT`、`FORWARD`、`OUTPUT`、`POSTROUTING`
- Raw table
- 此 table 含有的 chain 的名稱:`PREROUTING`、`OUTPUT` -->
### 封包處理流程
<!--  -->
上圖是 `iptables` 的封包處理流程的簡單示意圖~
++假如封包從某個 network interface 進來(incoming packet),且目的地是本機(local processing),那這個封包就會經過++:
1. raw table 的 `PREROUTING` chain
- 決定此封包是否要做 connection tracking
2. mangle table 的 `PREROUTING` chain
3. nat table 的 `PREROUTING` chain
- `PREROUTING` 的 nat table 有可能會做 destination NAT、以變更目的地 address
4. 做 routing decision 判斷此封包目的地是本機(送往 `INPUT` chain)、或者是要被轉發到某個 network interface(送往 `FORWARD` chain)
5. mangle table 的 `INPUT` chain
6. filter table 的 `INPUT` chain
- 決定哪些封包可以進入本機
7. security table 的 `INPUT` chain
8. 送到本機(local procession)
++假如某個封包從 network interface 進來(incoming packet),但他的目的地不是本機、只是經過,最終會由某個 interface 出去(outgoing packet),那這個封包就會經過++:
1. raw table 的 `PREROUTING` chain
2. mangle table 的 `PREROUTING` chain
3. nat table 的 `PREROUTING` chain
- `PREROUTING` 的 nat table 有可能會做 destination NAT、以變更目的地 address
4. 做 routing decision 判斷此封包目的地是本機(送往 `INPUT` chain)、或者是要被轉發到某個 network interface(送往 `FORWARD` chain)
6. mangle table 的 `FORWARD` chain
7. filter table 的 `FORWARD` chain
8. security table 的 `FORWARD` chain
9. mangle table 的 `POSTROUTING` chain
10. nat table 的 `POSTROUTING` chain
- 在 `POSTROUTING` chain 的 nat table 可能會做 `SNAT` 或 `MASQUERADE` 以變更封包的 source address
- `SNAT` 是將封包的 source address 修改成固定的 IP address。
- `MASQUERADE` 則是將封包的 source address 修改成他要出去的 network interface 的 IP address。
11. 由 network interface 出去(outgoing packet)
++假如某個封包是由本機產生(locally generated packet),然後經由 network interface 出去(outgoing packet),那這個封包就會經過++:
1. 本機產生的封包會先進行 routing decision,以決定走哪條路由,之後才進入 `OUTPUT` chain
2. raw table 的 `OUTPUT` chain
- 決定本機發出的封包是否要做 connection tracking
3. mangle table 的 `OUTPUT` chain
4. nat table 的 `OUTPUT` chain
- `OUTPUT` chain 的 nat table 有可能會做 destination nat,更改封包的目的地。
5. filter table 的 `OUTPUT` chain
6. security table 的 `OUTPUT` chain
7. 在經過 `OUTPUT` chain,準備進入 `POSTROUTING` chain 之前,會先進行 re-route check,再重新計算一次路由
- 由於 `OUTPUT` chain 的 nat table 有可能會更改 destination address,所以才會需要再重新計算一次路由
:::info
PS. 若封包是由 `FORWARD` chain 到 `POSTROUTING` chain,那就不會做 re-route check。
因為這樣子的封包,其流程是 `PREROUTING` -> routing decision -> `FORWARD` -> `POSTROUTING`。
這樣的封包只有可能在 `PREROUTING` chain 的 nat table 才有可能做 destination nat 更改目的地 address,當他結束 `PREROUTING` chain 後就會做 routing decision,而 `FORWARD` chain 裡面並沒有 nat table,不可能更改目的地 address,所以在進入 `POSTROUTING` chain 前就不用做 re-route check。
:::
8. mangle table 的 `POSTROUTING` chain
9. nat table 的 `POSTROUTING` chain
- 在 `POSTROUTING` chain 的 nat table 可能會做 `SNAT` 或 `MASQUERADE` 以變更封包的 source address
- `SNAT` 是將封包的 source address 修改成固定的 IP address。
- `MASQUERADE` 則是將封包的 source address 修改成他要出去的 network interface 的 IP address。
10. 由 network interface 出去(outgoing packet)
## 一些常用的 `iptables` 指令
接下來簡單介紹一些比較常見的 `iptables` 指令~若要看更詳細的內容可以用 `man iptables` 指令查看。
上圖中第一類的指令是在指定的 table 中指定的 chain 做添加(`A` ppend)、刪除(`D` elete)、插入(`I` nsert)規則的指令。
- `-A`:新添加的規則會放在指定的 table 的指定的 chain 的==最後面==。
- `-D`:刪除某個規則,
- `-I`:將新的規則插入指定的 table 的指定的 chain 的指定的位子,
第二類的指令則可以新增(`-N`)或刪除(`-X`)使用者自訂義的 chain。
第三個指令則是可以設定指定的 table 的指定的 chain 的 policy。
最後一個則是可以列出指定的 table 的規則。
:::info
在設定 `iptables` 的時候都要有 root user 的權限,所以若是一般使用者的話記得指令前面都要加個 `sudo`。
:::
:::info
以上幾個指令,若沒有指定 table 的話,預設都會是對 filter table 做設定喔~
:::
這張 slide 簡單介紹怎麼設定一個規則(後面會介紹幾個我自己有用過的規則~看例子應該會更好懂~)
首先~我們可以指定這條規則的參數,像是:
- `-p [!]protocol_name`:指定某個 protocol 的封包。若有加 `!` 則會變成指定「非」某某 protocol 的封包。
- `-s [!]address[/mask]`:source address 是某某 address 的封包。
- `-d [!]address[/mask]`:destination address 是某某 address 的封包。
- `-j target`:符合這條規則的封包,要對他做的操作。
- `-g chain`:符合這條規則的封包,跳到指定的 chain。
- `-i [!]interface_name`:從某個 interface 進來的封包。
- `-o [!]interface_name`:要從某個 interface 出去的封包。
我們也要設定若某個封包符合規則,那要對這個封包做什麼操作(Target),像是:
- `ACCEPT`:讓這個封包通過
- `DROP`:把這個封包丟掉,不處理它
- `REJECT`:類似 `DROP`,但還會送封包回去說這個封包被拒絕
- `MASQUERADE`:將封包的 source address 改成他要出去的 interface 的 IP address
- `SNAT`:跟 `MASQUERADE` 一樣都會修改封包的 souce address,但 `SNAT` 是設定固定的 IP,`MASQUERADE` 則是依據指定的 network interface 的 IP 做設定。
接下來介紹幾個自己有設定過的 `iptables` 指令~
這個指令的功能是:
- 添加一個規則到 `nat` table 的 `POSTROUTING` chain 的最後一個位子
- 這個規則是說,只要是從 `enp1s0` 這個 network interface 出去的封包,都對他們做 `MASQUERADE`,也就將他們的 source address 改成 `enp1s0` network interface 的 IP address
這個指令的功能是:
- 添加一個規則到 `filter` table 的 `INPUT` chain 的最後一個位子
- PS. 若沒有指定 table 的話~都是對 `filter` table 做操作喔
- 這個規則是說,只要是 ICMP protocol 的封包,都讓他們通過
這個指令的功能是:
- 添加一個規則到 `filter` table 的 `FORWARD` chain 的最後一個位子
- 這個規則是說,只要是從 `enx256e` 這個 network interface 進來、且會從 `enp1s0` 這個 network interface 出去的封包,都讓他們通過
這個指令的功能是:
- 添加一個規則到 `filter` table 的 `FORWARD` chain 的最後一個位子
- 這個規則是說,只要是從 `enp1s0` 這個 network interface 進來、且會從 `enx256e` 這個 network interface 出去的封包,且若這些封包的狀態(`state`)是已建立(`ESTABLISHED`)連線的狀態,就讓這些封包通過
前面用 `iptables` 指令所設定的規則,在每次重開機後都不會存在,若希望能保留每次設定的規則,可以用 `iptables-persistent` 這個工具。
安裝 `iptables-persistent`:
```shell
$ sudo apt install iptables-persistent
```
每次設定完規則後就用以下指令儲存規則:
```shell
$ sudo netfilter-persistent save
```
這樣的話規則就會被儲存在以下檔案,並且在每次開機時都將其載入:
```terminal
/etc/iptables/rules.v4
/etc/iptables/rules.v6
```
此外,順便介紹另一個與 `iptables -L -n` 類似的指令,會將 `iptables` 的規則依序印出來:
```shell
$ sudo iptables-save
```
## 用 `iptables` 設定接受/拒絕 ssh 連線
若想簡單練習 `iptables` 的話,可以練習設定是否要接受/拒絕 ssh 連線~
若是 Ubuntu Desktop,需要先安裝 ssh server 這樣才能讓別人用 ssh 連進來,在 Ubuntu 的話主要都是安裝 `openssh-server`:
```shell
$ sudo apt update
$ sudo apt install openssh-server
```
用以下指令確認確認 `openssh-server` 是 `active (running)`:
```shell
$ systemctl status ssh
```
:::info
如果 Ubuntu 是虛擬機,且是 VirtualBox 虛擬機的話,記得要先對Ubuntu 虛擬機設定 `Bridged Adaptor`,且 `Name` 選擇 MacBook 連到 Wi-Fi 的 interface `en0`,這樣我的 Ubuntu 虛擬機就會跟我的 MacBook 在同一個 LAN 內:
:::
首先,我的 MacBook 透過 Wi-Fi 介面被分配到的 IP 是 192.168.50.180:
Ubuntu 虛擬機被分配到的則是 192.168.50.241:
### 設定 `iptables` 允許/拒絕 ssh 連線
由於 `ssh` 通常都是用 Transmission Control Protocol (TCP),且 ssh server 是監聽 port 22。所以若要允許/拒絕別人用 ssh 連過來,就要對 `iptables` 的 `filter` table 的 `INPUT` chain 設定說,若有封包是用 TCP protocol、且該封包的 destination port 是 22,我們就接受/拒絕。
如果是要接受所有 ssh 連線,就做以下設定:
```iptables
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
```
- `-t filter -A INPUT`:在 filter table 的 `INPUT` chain 添加(`A` ppend)新的規則
- `-p tcp --dport 22 -j ACCEPT`:對於使用 `tcp` protocol 且 destination port 是 22 的封包,允許這樣的封包通過
若要拒絕所有 ssh 連線,可以做以下設定:
```iptables
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
```
或
```iptables
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j REJECT
```
- `DROP` 就是丟掉這封包不理他,發送 ssh 連線請求的 client 端會過一陣子得到 timed out 的訊息
- `REJECT` 則會發送一個拒絕的封包,讓發出 ssh 連線請求的 client 知道被拒絕了
### Test 1 - `DROP` ssh 連線
若用 `iptables` 將 ssh 連線請求的封包設定為 `DROP`,並且用 `tcpdump` 查看是否有封包進來:
可以看到 MacBook 嘗試連過去時,並沒有收到被拒絕的訊息,而是過一段時間後出現 `Operation timed out` 的訊息,因為 Ubuntu 虛擬機的防火牆把這個封包丟掉而不處理它:
### Test 2 - `REJECT` ssh 連線
若用 `iptables` 將 ssh 連線請求的封包設定為 `REJECT`:
可以看到 MacBook 發送 ssh 連線請求後,會收到 `Connection refused` 的訊息:
### Test 3 - 只允許特定 IP 的 ssh 連線
接下來,在 LAN 裡面多加一個新的裝置,也就是我的 Marvell ESPRESSObin v7 開發板~他被分配到的 IP 是 192.168.50.141:
假設要設定只允許我的開發板的 IP 可以 ssh 連到 Ubuntu 虛擬機,不允許其他的 IP 來進來,就需要依序對 Ubuntu 虛擬機做以下設定:
1. 允許 192.168.50.141 的 ssh 連線請求:
```iptables
iptables -t filter -A INPUT -p tcp --dport 22 -s 192.168.50.141 -j ACCEPT
```
2. 其他的 ssh 連線請求全部都拒絕:
```iptables
iptables -t filter -A INPUT -p tcp --dport 22 -j REJECT
```
這時候 rule 的順序就很重要!如果這兩條規則設定的順序反了,那封包一進到 `INPUT` chain 的 filter table 就會先比對到「拒絕所有 ssh 連線請求的規則」,所以會連來自 192.168.50.141 的連線請求都一併拒絕喔~
以下是測試的結果~左上角的視窗是對 Ubuntu 虛擬機做 `iptables` 的設定,右下角的視窗則是開發板可以 ssh 連過去:
我的 MacBook 被拒絕,無法 ssh 連過去~
若將這兩條規則的順序設反了,那就會連開發板都沒辦法連過去喔:
## 其他 `iptables` 相關設定
- [WAN Ping 基本介紹與設定](https://hackmd.io/@cpt/wan_ping)
- [DMZ Host 基本介紹與設定](https://hackmd.io/@cpt/dmz_host)
## References
- https://linux.die.net/man/8/iptables
- https://linux.vbird.org/linux_server/rocky9/0180firewall.php
- https://stuffphilwrites.com/2014/09/iptables-processing-flowchart/
- https://homes.di.unimi.it/sisop/qemu/iptables-tutorial.pdf
- https://lewestech.com/mirrors/www.iptables.info/en/structure-of-iptables.html
- https://gist.github.com/nerdalert/a1687ae4da1cc44a437d
- https://man7.org/linux/man-pages/man8/iptables.8.html
- http://www.faqs.org/docs/iptables/mangletable.html
- https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-iptables#sect-Security_Guide-IPTables
- https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture
- https://en.wikipedia.org/wiki/Secure_Shell
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet