弄PPTP VPN的時候，接觸了一下openwrt的防火牆工具iptables。後來查了一下資料，發現這個iptables很是有趣，如果詳細地新增各種規則（rule），那將可以構造一個強大的防火牆。這裡簡單記錄一下iptables的一些基礎。

　　netfilter/iptables（簡稱為iptables）組成Linux平臺下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。

　　iptables內建了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網路地址轉換，包重構(修改)和資料跟蹤處理。常處理的是filter表、nat表、mangle表。每個表下都有鏈，鏈其實是資料包傳播的路徑，每一條鏈包含一條或數條規則，資料包進入某一條鏈時會逐一檢查是否滿足，若滿足就會按那一條規則進行處理，否則繼續檢查，檢查完畢後，如果不滿足任何一條規則，則會跳出這一條鏈進行上一層的檢查，最終直到正確匹配或找不到相應規則而使用預設策略（policy）為止。預設的，filter表有INPUT鏈、FORWARD鏈、OUTPUT鏈；nat表有PREROUTING鏈、OUTPUT鏈、POSTROUTING鏈；mangle表有PREROUTING鏈、INPUT鏈、FORWARD鏈、OUTPUT鏈、POSTROUTING鏈。

• PREROUTING鏈處理路由判斷前的包規則匹配
• INPUT鏈處理進入本機的包規則匹配
• FORWARD鏈處理需要轉發的包規則匹配
• OUTPUT鏈處理流出本機的包規則匹配

• POSTROUTING鏈處理路由判斷後的規則匹配

  資料包的流向如下（鳥哥的圖）：
  
  　　黑色的線表示的是以本機為目的地進入本機的資料包的流向，藍色的線表示的是以本機為源頭流出本機的資料包的流向，紅色的線表示的是需要本機幫忙轉發的資料包的流向。它們的過程如下：
  　　一、以本機為目的地進入本機的資料包：
  　　1.資料包到達防火牆，先進入mangle表的PREROUTING鏈，修改包的一些特性，如修改TOS，對包進行mark等
  　　2.進入nat的PREROUTING鏈，用來修改目的地址，即DNAT
  　　3.接著進入路由判斷，判斷是發往本機，還是要本機幫忙轉發的
  　　4.判斷為發往本機後進入mangle表的INPUT鏈，這裡是在路由之後發往本機應用程式之前修改包的一些特性
  　　5.進入filter表的INPUT鏈，用來過濾所有要進入本機的包，可以通過的才會最終進入本機的應用程式。
  　　二、以本機為源頭流出本機的資料包：

  
  　　1.本地應用程式向外傳送資料包，首先先進行路由判斷，決定輸出的路徑
  　　2.然後進入mangle表的OUTPUT鏈，修改資料包的一些特性
  　　3.進入nat表的OUTPUT鏈，這裡對送出去的包進行DNAT操作，修改目的地
  　　4.進入filter的OUTPUT鏈，對發出去的包進行過濾操作
  　　5.進入mangle表的POSTROUTING鏈，在包被髮送出去之前修改包的一些特性
  　　6.進入nat表的POSTROUTING鏈，這裡進行的是SNAT（或MASQUERADE）操作，最後資料包傳送出去。
  　　三、需要本機幫忙轉發的資料包
  　　1.資料包到達防火牆，先進入mangle表的PREROUTING鏈，修改包的一些特性，如修改TOS，對包進行mark等
  　　2.進入nat的PREROUTING鏈，用來修改目的地址，即DNAT
  　　3.接著進入路由判斷，判斷是發往本機，還是要本機幫忙轉發的
  　　4.進入mangle表的FORWARD鏈，修改包的一些特性
  　　5.進入filter表的FORWARD鏈，只有需要轉發的包才會走到這裡，並且針對這些包的所有過濾也在這裡進行。需要注意的是，所有要轉發的包都要經過這裡，不管是外網到內網的還是內網到外網的。
  　　5.進入mangle表的POSTROUTING鏈，在包被髮送出去之前修改包的一些特性
  　　6.進入nat表的POSTROUTING鏈，這裡進行的是SNAT（或MASQUERADE）操作，修改源地址，用路由器共享上網靠的就是這條鏈。最後資料包傳送出去。

  　　iptables的命令比較複雜，這裡就不再贅述，主要記錄自己一下openwrt對防火牆的一些見解。openwrt預設將防火牆劃分為兩個域：wan域和lan域，每個網路介面劃分到特定的域中，如網絡卡eth0接的是寬頻網線，而網絡卡eth1內建交換機晶片可以接4條網線供客戶機連線，那麼eth0就屬於wan域，eth1就屬於lan域，lan域的資料需要由wan域幫忙轉發，才能夠共享上網，而作為熱點的無線網絡卡如wlan0或wlan1自然也屬於lan域了。
  　　在控制檯輸入iptables-save，觀察其輸入後可以發現，openwrt使用了大量自定義的鏈來分層規劃規則。
  　　一、openwrt在啟動防火牆時，讀取了uci config檔案後，一開始就將表的預設鏈的動作交給了代理鏈。例如filter表中，就有如下三條：

-A INPUT -j delegate_input
-A FORWARD -j delegate_forward
-A OUTPUT -j delegate_output

　　也就是說，filter表的三個鏈都只有一個動作，那就是全權丟給代理鏈。
　　二、之後代理鏈會根據介面所在的域不同而分配不同的域代理鏈，例如對於delegate_input代理鏈，則有如下：

-A delegate_input -i lo -j ACCEPT
-A delegate_input -m comment --comment "user chain for input" -j input_rule
-A delegate_input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A delegate_input -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A delegate_input -i br-lan -j zone_lan_input
-A delegate_input -i eth0 -j zone_wan_input
-A delegate_input -i pppoe-pppoe -j zone_wan_input

　　對於delegate_input代理鏈，首先對於進入迴環介面的資料包一定是ACCEPT，接著就進入一個自定義的使用者鏈input_rule，再接著就根據狀態如果是已經建立好的連結或類似於FTP協議那樣有相關的資料包就允許通過，然後就是syn_flood防禦，最後根據各個網路介面所在的域，再次將他們導向各自的域的相應代理鏈，如br-lan介面屬於lan域，而且現在的頂層父鏈是預設的INPUT鏈，所以就將這類包導向zone_lan_input代理鏈來處理。
　　三、到達了域的代理鏈，就開始進行各種的處理，例如zone_wan_input，有如下：

-A zone_wan_input -m comment --comment "user chain for input" -j input_wan_rule
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment Allow-DHCP-Renew -j ACCEPT
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment Allow-Ping -j ACCEPT
-A zone_wan_input -p tcp -m tcp --dport 1723 -m comment --comment "@rule[9]" -j ACCEPT
-A zone_wan_input -p udp -m udp --dport 1723 -m comment --comment "@rule[9]" -j ACCEPT
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "Accept port redirections" -j ACCEPT
-A zone_wan_input -j zone_wan_src_REJECT

　　這裡就算是預設的最終處理了，首先還是先導向一個名為input_wan_rule的自定義鏈，讓使用者新增特殊的處理，然後就是一些服務所需要的一些允許特定資料包通過的規則，因為路由器與外界網路通訊是靠wan域的，wan域不能輕易讓資料包進入路由器，所以wan域的INPUT的預設策略是REJECT，所以這裡新增的都是一些需要通過的包的規則。最後的這個zone_wan_src_REJECT鏈，其實就有一條規則，那就是REJECT（對應預設策略）。
　　openwrt的防火牆大概就是分為以上三個層。我們在手動新增一些自定義規則時可以用config檔案來新增，當然也可以使用iptables命令按需要在以上這些代理鏈中新增，個人認為後者比較好，畢竟config要寫起來沒有iptables命令直觀。