OpenWrt에서 iptables 체인 구성을 이해하는 방법

그것은 어떻게 이해하느냐에 관한 것이다체인iptables이는 OpenWrt(라우터 장치용 씬 Linux)를 실행하는 일반적인 홈 라우터의 기본 구성에서 찾을 수 있지만 해당 특정 시스템에만 국한되지 않을 수도 있습니다.

여기서는 INPUT메인 체인 에 초점을 FORWARD맞추고 ,OUTPUT테이블, 그리고 표의 합계입니다 PREROUTING.POSTROUTINGnat

iptables -L -t filter많은 규칙을 보여주는 것을 만드세요 . 덜 위협적이게 만들고 이해를 방해하는 부분을 파악하려고 아래 출력을 재배열했습니다.

filter테이블에는 출력 상단에 나타나는 세 개의 내장 체인이 있습니다 . (이건 -v제가 발견했기 때문에 특별히 지적합니다.덜 혼란스럽다.)

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1260  133K ACCEPT     all  --  any    any     anywhere             anywhere            ctstate RELATED,ESTABLISHED
    8   544 ACCEPT     all  --  lo     any     anywhere             anywhere
  787 41632 syn_flood  tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
13012 1249K input_rule  all  --  any    any     anywhere             anywhere
13012 1249K input      all  --  any    any     anywhere             anywhere

Chain FORWARD … # not considering this chain here
Chain OUTPUT …  # not considering either

보시다시피 에 집중하기 위해 FORWARD및 참조의 체인을 잘라냈습니다 . (다른 두 개도 비슷한 방식으로 구축되었으므로 둘 중 하나를 선택할 수도 있습니다.)OUTPUTINPUT

INPUTACCEPT5가지 규칙을 지정하는 정책이 있습니다 . 처음 세 가지는 나에게 분명합니다. 첫째, '주어진 것'이나 '관련된 것'을 받아들이십시오. (예를 들어 내가 보내는 HTTP 또는 DNS 요청에 대한 응답을 수락합니다.) 몇 초 후에 루프백 장치( )로 전송된 127.0.0.1모든 것을 수락합니다. (이것은 로컬호스트 자체에서만 올 수 있습니다. 저는 그것이 작동하기를 정말로 원합니다. 그렇지 않으면 아무런 의미가 없습니다.) 셋째, 신플러드 보호가 있습니다. (이렇게 하면 특정 공격을 방지할 수 있습니다.)

Chain syn_flood (1 references)
 pkts bytes target     prot opt in     out     source               destination
  787 41632 RETURN     tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50
    0     0 DROP       all  --  any    any     anywhere             anywhere

input그러나 및 라는 두 개의 체인으로 분기되는 두 가지 규칙이 있습니다 input_rule. 문제는 왜 두 개의 규칙이 있고 어떤 규칙을 무엇에 사용해야 합니까?

이러한 규칙에 대한 점프 스택을 더 자세히 살펴보겠습니다.

Chain input_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination

여기에는 아직 아무것도 없습니다. 이것은 규칙을 추가하는 것입니다. 그런데 어떤 규칙이 있나요?

Chain input (1 references)
 pkts bytes target     prot opt in     out     source               destination
 6315  482K zone_lan   all  --  br-lan any     anywhere             anywhere
 6697  767K zone_wan   all  --  pppoe-wan any     anywhere             anywhere

글쎄요, 여기에는 기능이 있고 LAN 및 WAN으로 더 멀리 이동할 수 있습니다. 이는 홈 라우터에 적합합니다.

Chain zone_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination
 6315  482K input_lan  all  --  any    any     anywhere             anywhere
 6315  482K zone_lan_ACCEPT  all  --  any    any     anywhere             anywhere

Chain zone_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:bootpc
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
 6697  767K input_wan  all  --  any    any     anywhere             anywhere
 6697  767K zone_wan_REJECT  all  --  any    any     anywhere             anywhere

보시다시피, 이러한 각 규칙은 더 많은 사용자 정의 규칙으로 이동합니다.

Chain input_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_lan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    4  1322 ACCEPT     all  --  any    br-lan  anywhere             anywhere
 6315  482K ACCEPT     all  --  br-lan any     anywhere             anywhere

목적은 무엇입니까 input_lan? 또 다른 가능성은 패킷을 수락하는 것입니다. 하지만 그 전략이 INPUT무엇인지 궁금합니다. ACCEPT그런데 ACCEPT여기서 반복하는 이유는 무엇입니까?

이제 WAN에서 들어갑니다. 위로 스크롤하면 일부 UDP 및 ICMP 콘텐츠가 허용되는 것을 볼 수 있습니다. 이것은 DHCP에서 작동하며 기본적으로 ping매우 명확합니다. 덜 분명한 것은 부분적으로 비어 있는 것들은 다음 규칙을 따른다는 것입니다.

Chain input_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

같은 문제가 있습니다 input_lan.

Chain zone_wan_REJECT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 reject     all  --  any    pppoe-wan  anywhere             anywhere
 6697  767K reject     all  --  pppoe-wan any     anywhere             anywhere

좋아요, 이것은 WAN의 입력입니다(설정되지 않았거나 관련되지 않음). 예, 거부하고 싶을 수도 있습니다. 이제 여기에는 두 가지 거부가 있습니다. 하나는 소켓을 닫으려는 TCP 연결 시도( tcp-reset)이고 다른 하나는 icmp-port-unreachableICMP 메시지에 대한 ICMP 응답( ) 입니다. ) (생각하다 ping).

Chain reject (5 references)
 pkts bytes target     prot opt in     out     source               destination
  595 31817 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
 4858  582K REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable

마지막은 모든 것을 포괄하는 것입니다. 따라서 여기서는 아무것도 허용되지 않습니다.

마지막으로, 이는 테이블에 내장된 체인에서 참조되지 않은 테이블에서 발견된 다른 체인의 목록입니다 filter. 완전성을 위해 비슷한 구조를 가지고 있는 것처럼 보입니다.INPUTnet

# other chains, not reached from the INPUT chain, so truncated and moved here
Chain forward (1 references)
Chain forwarding_lan (1 references)
Chain forwarding_rule (1 references)
Chain forwarding_wan (1 references)
Chain nat_reflection_fwd (1 references)
Chain output (1 references)
Chain output_rule (1 references)
Chain reject (5 references)
Chain zone_lan_DROP (0 references)
Chain zone_lan_REJECT (1 references)
Chain zone_lan_forward (1 references)
Chain zone_wan_ACCEPT (2 references)
Chain zone_wan_DROP (0 references)
Chain zone_wan_forward (1 references)

그럼요. 너무 긴 게시물을 올려서 죄송합니다. 그 과정에서 몇 가지 질문이 있었습니다. 어떻게 더 간단하고 짧게 표현해야 할지 모르겠습니다. 이 iptables구성은 곳곳에 불분명한 세부 사항이 있기 때문에 익히기가 쉽지 않습니다. 이를 명확히 하고 근거를 설명할 수 있기를 바랍니다. 관심을 가져주셔서 감사합니다.