淺析ebtables的概念和一些基本應用

1、淺析ebtables的概念和一些基本應用淺析ebtables的概念和一些基本應用一、ebtables 是什么？?ebtables和iptables類似，都是linux系統(tǒng)下網絡數據包過濾的配置工具。為什么叫配置工具呢？?是由于他們只制定規(guī)章，詳細的實施者是內核！也就是說過濾功能是由內核底層提供支持的，這兩個工具只是負責制定過濾的rules。二、ebtables 的用途？?ebtables就是以太網橋防火墻，以太網橋工作在數據鏈路層，ebtables主要用來過濾數據鏈路層數據包。?ebtables?能過濾橋接流量。三、ebtables 的工作原理ps : ebtables的主要工作的就是過濾，同

2、iptables，ebtables也有多個過濾節(jié)點，通過過濾節(jié)點來解釋工作原理1. 過濾時機數據包從進入到離開系統(tǒng)，要經過preroute，input，forward，postroute，output這五個階段。每個階段中包括了一些節(jié)點，每個節(jié)點就是一個過濾時機。當數據包行進到某個節(jié)點時，系統(tǒng)就是檢測對應節(jié)點的過濾規(guī)章并舉行過濾。prerouting：數據進來還未查詢路由表之前的規(guī)章。input：由外部發(fā)往用戶空間內部的規(guī)章。(說直白點就是負責過濾目標地址是本機的數據包)forward：不進入用戶空間，舉行路由轉發(fā)的規(guī)章。(負責轉發(fā)流經主機但不進入本機的數據包)postrouting：查詢完路

3、由表后，將要轉發(fā)的規(guī)章。output：由用戶空間內部發(fā)往外部的規(guī)章。(負責處理本機發(fā)出的數據包)注重：ebtables每個階段的的過濾時機都比iptables要早。（這個不是肯定的從本機上層下來的報文經過postrouting是先ip再eb）2、用法辦法ps : 主要講解過濾原理與配置ebtables的配置分為表、鏈和規(guī)章三級。表表是內置且固定的，共有三種:?filter,?nat,?broute，用-t選項指定。最常用的就是filter了，所以不設-t時默認就是這個表。filter過濾本機流入流出的數據包是默認用法的表，nat用于地址轉換-mac地址，broute用于以太網橋-產生一個橋路器

4、。鏈（chains）鏈有內置和自定義兩種?。不同的表內置的鏈不同，這個從數據包的流程圖中就可以看出來。所謂自定義的鏈也是掛接在對應的內置鏈內的，用法-j讓其跳轉到新的鏈中。假如以太網幀沒有匹配到當前的規(guī)章，就會去檢查下一個規(guī)章。(實例見用法場景介紹)規(guī)章也叫目標（targets）每個鏈中有一系列規(guī)章，每個規(guī)章定義了一些過濾選項。每個數據包都會匹配這些項，一但匹配勝利就會執(zhí)行對應的動作。所謂動作，就是過濾的行為了。有四種，accept，drop，return和continue。詳解一下：當幀匹配一個規(guī)章(rule)時，下一個動作(action)由target指定。targets由四個：accep

5、t：意味著讓一個幀通過drop：意味著幀已經被dropped。注重：在brouting chain中，1、2有特別的意思continue：意味著下一個規(guī)章(rule)將被檢查return：意味著停止遍歷此鏈，并在前一個調用鏈的下一條規(guī)章中復原。其實就是退出，和代碼中的continue差不多，這里就是退出在此鏈繼續(xù)遍歷，挺直舉行后續(xù)操作 （詳見下文用法場景中的ruturn用法）四、ebtables 的用法場景ps：這里主要是對andi設備用法ebtables的場景舉行分析，以便于能更清楚明白的理解過濾的概念1. 在后臺輸入指令：ebtables nat -t 查看nat表具體分析：-p:指明用法

6、的協議類型-vlan-encap 0806 帶vlan的arpvlan tag中的一個字段,ieee 802.1q協議規(guī)定該字段的取值為0x81000806：0806指的是后面的數據是屬于arp包的所以上述指令的意思就是：允許帶vlan的qrp包通過允許arp包通過2、自建鏈講解具體分析：上述命令就是將sat0出的且標志不為0x1的報文轉到自建鏈sense_bus_chain中處理-o:指明從那片網卡出去注重：這也就是我們前面提到的自定義的鏈也是掛接在對應的內置鏈內，此處自建鏈sense_bus_chain就掛載內置鏈postrouting中。3、return的用法具體分析：解釋：報文從pos

7、trouting鏈轉到自建鏈處理，先閱讀一下命令ip協議的報文執(zhí)行return帶vlan的ip協議執(zhí)行return執(zhí)行return分析：3個retrun 一眼看過去，毫無意義。全部報文即使不走前兩個也會在第三個return。為什么要這么做呢？這里主要是為了計數區(qū)別ip和非ip報文附：以太網幀結構的type字段為:0x0800, 表示該幀是ip協議五、ebtables 的常用指令ebtables用法規(guī)章如下：ebtables?-t?table?-adi?chain?rule-specification?match-extensions?watcher-extensions-t?table?:普通

8、為forward鏈。adi：a添加到現有鏈的末尾；d刪除規(guī)章鏈（必需指明規(guī)章鏈號）；i插入新的規(guī)章鏈（必需指明規(guī)章鏈號）。-p:規(guī)章表的默認規(guī)章的設置?？梢詃rop,accept,return。-f:對全部的規(guī)章表的規(guī)章鏈清空。-l:指明規(guī)章表?？杉訁?，-lc,-ln-p:指明用法的協議類型，ipv4,arp等可選（用法時必選）細節(jié)見/etc/ethertypes-ip-proto:ip包的類型，1為icmp包，6為tcp包，17為udp包，在/etc/protocols下有具體解釋-ip-src:ip包的源地址-ip-dst:ip包的目的地址-ip-sport:ip包的源端口-ip-dpo

9、rt:ip包的目的端口-i:指明從那片網卡進入-o:指明從那片網卡出去ebtables基本指令有了上面的容易介紹，再認識一些基本指令就可以用法了。1.?列表：ebtables?-lebtables?-l?–lc?,?查看各rule的匹配次數以及字節(jié)數2.?新建/刪除鏈ebtables?-n?ebtables?-x?3.?新建規(guī)章ebtables?-a?rules?rules有幾種-s?源mac?-d?目標mac?-i?入接口?-o?出接口指令示例：ebtables?-p?forward?accept?ebtables?-p?input?acceptebtables?-p?output?acceptebtables?-f?ebtables?-a?forward?-p?ipv4?-i?eth0/eth1?-ip-proto?(6/