浅析ebtables的概念和一些基本应用

1、浅析ebtables的概念和一些基本应用浅析ebtables的概念和一些基本应用一、ebtables 是什么？?ebtables和iptables类似，都是linux系统下网络数据包过滤的配置工具。为什么叫配置工具呢？?是由于他们只制定规章，详细的实施者是内核！也就是说过滤功能是由内核底层提供支持的，这两个工具只是负责制定过滤的rules。二、ebtables 的用途？?ebtables就是以太网桥防火墙，以太网桥工作在数据链路层，ebtables主要用来过滤数据链路层数据包。?ebtables?能过滤桥接流量。三、ebtables 的工作原理ps : ebtables的主要工作的就是过滤，同

2、iptables，ebtables也有多个过滤节点，通过过滤节点来解释工作原理1. 过滤时机数据包从进入到离开系统，要经过preroute，input，forward，postroute，output这五个阶段。每个阶段中包括了一些节点，每个节点就是一个过滤时机。当数据包行进到某个节点时，系统就是检测对应节点的过滤规章并举行过滤。prerouting：数据进来还未查询路由表之前的规章。input：由外部发往用户空间内部的规章。(说直白点就是负责过滤目标地址是本机的数据包)forward：不进入用户空间，举行路由转发的规章。(负责转发流经主机但不进入本机的数据包)postrouting：查询完路

3、由表后，将要转发的规章。output：由用户空间内部发往外部的规章。(负责处理本机发出的数据包)注重：ebtables每个阶段的的过滤时机都比iptables要早。（这个不是肯定的从本机上层下来的报文经过postrouting是先ip再eb）2、用法办法ps : 主要讲解过滤原理与配置ebtables的配置分为表、链和规章三级。表表是内置且固定的，共有三种:?filter,?nat,?broute，用-t选项指定。最常用的就是filter了，所以不设-t时默认就是这个表。filter过滤本机流入流出的数据包是默认用法的表，nat用于地址转换-mac地址，broute用于以太网桥-产生一个桥路器

4、。链（chains）链有内置和自定义两种?。不同的表内置的链不同，这个从数据包的流程图中就可以看出来。所谓自定义的链也是挂接在对应的内置链内的，用法-j让其跳转到新的链中。假如以太网帧没有匹配到当前的规章，就会去检查下一个规章。(实例见用法场景介绍)规章也叫目标（targets）每个链中有一系列规章，每个规章定义了一些过滤选项。每个数据包都会匹配这些项，一但匹配胜利就会执行对应的动作。所谓动作，就是过滤的行为了。有四种，accept，drop，return和continue。详解一下：当帧匹配一个规章(rule)时，下一个动作(action)由target指定。targets由四个：accep

5、t：意味着让一个帧通过drop：意味着帧已经被dropped。注重：在brouting chain中，1、2有特别的意思continue：意味着下一个规章(rule)将被检查return：意味着停止遍历此链，并在前一个调用链的下一条规章中复原。其实就是退出，和代码中的continue差不多，这里就是退出在此链继续遍历，挺直举行后续操作 （详见下文用法场景中的ruturn用法）四、ebtables 的用法场景ps：这里主要是对andi设备用法ebtables的场景举行分析，以便于能更清楚明白的理解过滤的概念1. 在后台输入指令：ebtables nat -t 查看nat表具体分析：-p:指明用法

6、的协议类型-vlan-encap 0806 带vlan的arpvlan tag中的一个字段,ieee 802.1q协议规定该字段的取值为0x81000806：0806指的是后面的数据是属于arp包的所以上述指令的意思就是：允许带vlan的qrp包通过允许arp包通过2、自建链讲解具体分析：上述命令就是将sat0出的且标志不为0x1的报文转到自建链sense_bus_chain中处理-o:指明从那片网卡出去注重：这也就是我们前面提到的自定义的链也是挂接在对应的内置链内，此处自建链sense_bus_chain就挂载内置链postrouting中。3、return的用法具体分析：解释：报文从pos

7、trouting链转到自建链处理，先阅读一下命令ip协议的报文执行return带vlan的ip协议执行return执行return分析：3个retrun 一眼看过去，毫无意义。全部报文即使不走前两个也会在第三个return。为什么要这么做呢？这里主要是为了计数区别ip和非ip报文附：以太网帧结构的type字段为:0x0800, 表示该帧是ip协议五、ebtables 的常用指令ebtables用法规章如下：ebtables?-t?table?-adi?chain?rule-specification?match-extensions?watcher-extensions-t?table?:普通

8、为forward链。adi：a添加到现有链的末尾；d删除规章链（必需指明规章链号）；i插入新的规章链（必需指明规章链号）。-p:规章表的默认规章的设置。可以drop,accept,return。-f:对全部的规章表的规章链清空。-l:指明规章表。可加参数，-lc,-ln-p:指明用法的协议类型，ipv4,arp等可选（用法时必选）细节见/etc/ethertypes-ip-proto:ip包的类型，1为icmp包，6为tcp包，17为udp包，在/etc/protocols下有具体解释-ip-src:ip包的源地址-ip-dst:ip包的目的地址-ip-sport:ip包的源端口-ip-dpo

9、rt:ip包的目的端口-i:指明从那片网卡进入-o:指明从那片网卡出去ebtables基本指令有了上面的容易介绍，再认识一些基本指令就可以用法了。1.?列表：ebtables?-lebtables?-l?–lc?,?查看各rule的匹配次数以及字节数2.?新建/删除链ebtables?-n?ebtables?-x?3.?新建规章ebtables?-a?rules?rules有几种-s?源mac?-d?目标mac?-i?入接口?-o?出接口指令示例：ebtables?-p?forward?accept?ebtables?-p?input?acceptebtables?-p?output?acceptebtables?-f?ebtables?-a?forward?-p?ipv4?-i?eth0/eth1?-ip-proto?(6/