一、ebtables 是什么?
ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。
为什么叫配置工具呢?
是因为他们只制定规则,具体的实施者是内核!也就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules。
二、ebtables 的用途?
ebtables就是以太网桥防火墙,以太网桥工作在数据链路层,ebtables主要用来过滤数据链路层数据包。
ebtables 能过滤桥接流量。
三、ebtables 的工作原理
ps : ebtables的主要工作的就是过滤,同iptables,ebtables也有多个过滤节点,通过过滤节点来说明工作原理
1. 过滤时机
数据包从进入到离开系统,要经过PreRoute,Input,Forward,PostRoute,Output这五个阶段。每个阶段中包括了一些节点,每个节点就是一个过滤时机。当数据包行进到某个节点时,系统就是检测对应节点的过滤规则并进行过滤。
- prerouting:数据进来还未查询路由表之前的规则。
- input:由外部发往用户空间内部的规则。(
说直白点就是负责过滤目标地址是本机的数据包) - forward:不进入用户空间,进行路由转发的规则。(负责转发流经主机但不进入本机的数据包)
- postrouting:查询完路由表后,将要转发的规则。
- output:由用户空间内部发往外部的规则。(负责处理本机发出的数据包)
注意:ebtables每个阶段的的过滤时机都比iptables要早。(这个不是绝对的从本机上层下来的报文经过postrouting是先ip再eb)
2、使用方法
ps : 主要讲解过滤原理与配置
ebtables的配置分为表、链和规则三级。
- 表
表是内置且固定的,共有三种: filter, nat, broute,用-t选项指定。最常用的就是filter了,所以不设-t时默认就是这个表。
filter过滤本机流入流出的数据包是默认使用的表,nat用于地址转换-mac地址,broute用于以太网桥-产生一个桥路器。 - 链(chains)
链有内置和自定义两种 。不同的表内置的链不同,这个从数据包的流程图中就可以看出来。所谓自定义的链也是挂接在对应的内置链内的,使用-j让其跳转到新的链中。如果以太网帧没有匹配到当前的规则,就会去检查下一个规则。(实例见使用场景介绍) - 规则也叫目标(targets)
每个链中有一系列规则,每个规则定义了一些过滤选项。每个数据包都会匹配这些项,一但匹配成功就会执行对应的动作。
所谓动作,就是过滤的行为了。有四种,ACCEPT,DROP,RETURN和CONTINUE。
详解一下:
当帧匹配一个规则(rule)时,下一个动作(action)由target指定。
targets由四个:
- ACCEPT:意味着让一个帧通过
- DROP:意味着帧已经被dropped。注意:在BROUTING chain中,1、2有特殊的意思
- CONTINUE:意味着下一个规则(rule)将被检查
- RETURN:意味着停止遍历此链,并在前一个调用链的下一条规则中恢复。其实就是退出,和代码中的
continue差不多,这里就是退出在此链继续遍历,直接进行后续操作 (详见下文使用场景中的ruturn使用)
四、ebtables 的使用场景
ps:这里主要是对linux设备使用ebtables的场景进行分析,以便于能更清晰明了的理解过滤的概念
1. 在后台输入命令:ebtables nat -t 查看nat表
详细分析:
- -p:指明使用的协议类型
- --vlan-encap 0806 带vlan的arp
VLAN Tag中的一个字段,IEEE 802.1q协议规定该字段的取值为0x8100
0806:0806指的是后面的数据是属于arp包的所以上述命令的意思就是:
- 允许带vlan的qrp包通过
- 允许arp包通过
2、自建链讲解
详细分析:
上述指令就是将sat0出的且标记不为0x1的报文转到自建链SENSE_BUS_CHAIN中处理
-o:指明从那片网卡出去
注意:这也就是我们前面提到的自定义的链也是挂接在对应的内置链内,此处自建链“SENSE_BUS_CHAIN”就挂载内置链POSTROUTING中。
3、return的使用
详细分析:
说明:报文从POSTROUTING链转到自建链处理,先阅读一下指令
- IP协议的报文执行return
- 带VLAN的IP协议执行return
- 执行return
分析:3个retrun 一眼看过去,毫无意义。所有报文即使不走前两个也会在第三个return。为什么要这么做呢?这里主要是为了计数区分IP和非IP报文
附:以太网帧结构的TYPE字段为:0x0800, 表示该帧是IP协议
五、ebtables 的常用命令
Ebtables使用规则如下:
ebtables [-t table] -[ADI] chain rule-specification [match-extensions] [watcher-extensions]
-t table :一般为FORWARD链。
-ADI:A添加到现有链的末尾;D删除规则链(必须指明规则链号);I插入新的规则链(必须指明规则链号)。
-P:规则表的默认规则的设置。可以DROP,ACCEPT,RETURN。
-F:对所有的规则表的规则链清空。
-L:指明规则表。可加参数,--Lc,--Ln
-p:指明使用的协议类型,ipv4,arp等可选(使用时必选)详情见/etc/ethertypes
--ip-proto:IP包的类型,1为ICMP包,6为TCP包,17为UDP包,在/etc/protocols下有详细说明
--ip-src:IP包的源地址
--ip-dst:IP包的目的地址
--ip-sport:IP包的源端口
--ip-dport:IP包的目的端口
-i:指明从那片网卡进入
-o:指明从那片网卡出去
Ebtables基本命令
有了上面的简单介绍,再熟悉一些基本命令就可以使用了。
1. 列表:
ebtables -L
ebtables -L –Lc , 查看各rule的匹配次数以及字节数
2. 新建/删除链
ebtables -N <chain_name>
ebtables -X <chain_name>
3. 新建规则
ebtables -A <chain_name> [ rules ]
[rules]有几种
-s 源MAC -d 目标MAC -i 入接口 -o 出接口
命令示例:
ebtables -P FORWARD ACCEPT
ebtables -P INPUT ACCEPT
ebtables -P OUTPUT ACCEPT
ebtables -F
ebtables -A FORWARD -p ipv4 -i eth0/eth1 --ip-proto (6/17) --ip-dst(目的IP) --ip-dport(目的端口) -j DROP
ebtables -A FPRWARD -p ipv4 -i eth0/eth1 --ip-proto (7/17) --ip-src(源IP) --ip-sport(源端口) -j DROP
参考:
https://www.xuebuyuan.com/3242711.html
https://www.cnblogs.com/balance/p/8711264.html
https://www.jianshu.com/p/79bcf09aed25