Iptables的规则语法
分类: 防火墙2012-04-19 17:09 1228人阅读 评论(0) 收藏 举报
(一)
基本语法
iptables-t filter -A INPUT -p icmp -j DROP
高级语法
iptables-t filter -A INPUT -m mac –mac-source 00:1C:23:3B:2E:B1 -j DROP
区别高级语法与基本语法的不同:首先filter的机制是由iptables_filter.ko模块所提供的功能,而这个模块本身就已提供了一些简单的匹配的过滤方式,而所谓的基本语法是指只使用iptable_filter.ko模块自身所提供的功能。高级语法必须调用其它模块的功能。以高级语法的范例为例,“-mmac”就是告知iptables工具,我们要动用xt_mac.ko模块的功能,由于是调用其它的模块,因此,语法的部分将会随着不同的模块而有所改变,而且每一个模块的语法也不一样,这就是所谓的“高级语法”。
举例1:将222.24.21.195送到本机的ICMP封包丢弃
语法:iptables-A INPUT -p icmp -s 222.24.21.195 -j DROP
语法解释:
-AINPUT
|
保护对象 |
因为本范例所使用的是INPUTChain,故其保护的对象为本机 |
-picmp
|
原文 |
-pProtocol(协议) |
|
目的 |
匹配某个特定协议封包,本范例是匹配icmp的封包 |
|
语法 |
-p icmp、-ptcp、 -pudp -p all等 |
-s222.24.21.195
|
原文 |
-s Source |
|
对应的参数 |
-dDestination |
|
目的 |
匹配封包中“来源”或“目的”端的IP |
|
语法 |
-s222.24.21.195 -s www.baidu.com等,由例子可知,IP位置的表示方法可以用单一IP或标准的CID网段,至于QDN的部分,实际上iptables是把FQDN送至DNS去执行解析,最后加入到规则之中的还是IP |
-j
|
目的 |
JUMP |
|
语法 |
将符合以上两项条件的封包以特定的方式来“处理” |
较常见的处理方式:
|
ACCEPT |
允许通过 |
|
DROP |
将封包丢弃调,这种处理方式将导致来源端误以为封包丢失,而不断重新发送封包,这个动作将持续到连接Timeout为止 |
|
REJECT |
将封包丢弃掉,并回送一个DestinationUnreachable的ICMP封包给发送端,发送端的应用程序收到这个错误信息封包之后,会终止连接的动作 |
举例2:不允许222.24.21.195主机通过本机DNS服务来执行名称解析
语法:iptables-A INPUT -p udp -s 222.24.21.195 --dport 53 -j REJECT
语法解释:
--dport53
|
原文 |
--dportDestination Port |
|
对应的参数 |
--sportSource Port |
|
目的 |
匹配TCP、UDP包头中的“来源端Port”或“目的端Port”,这样即可判断连接所要访问的服务,例如:-pudp –dport 53 代表客户端要访问UDP的53port,而UDP的53port就是DNS服务 |
|
语法 |
--dport 80、--sport80,但请注意,当时用--dport或--sport参数时,一定要指明是tcp还是udp协议。注意一点:只要规则语法中用到“Port参数”时,一定要加上“-pudp或-ptcp”的参数。 |
举例3:允许192.168.1.0/24网段的主机对192.168.0.1提出任何的服务请求
语法:iptables-A INPUT -p all -s 192.168.1.0/24 -d 192.168.0.1 -j ACCEPT
语法解释:
-pall
|
目的 |
匹配所有的协议包 |
-s192.168.1.0/24
|
目的 |
匹配来源端IP为192.168.1.0/24网段的封包 |
-jACCEPT
|
目的 |
开放符合以上3项条件的封包进入 |
举例4:只允许用户端主机从eth1访问的本机SSH服务
语法: iptables-A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
语法解释:
-ieth1
|
原文 |
-iin-interface |
|
对应的参数 |
-oout-interface |
|
目的 |
匹配封包的出入接口 |
|
语法 |
-i eth1 -oeth2 |
举例5:不允许本机的应用程序从eth0接口送出封包去访问www.baidu.com网站
语法:iptables-A OUTPUT -o eth0 -p tcp -d www.baidu.com --dport 80 -j REJECT
语法解释:
-AOUTPUT
|
限制的对象 |
因为该例子使用的OUTPUChain,所以目的是限制本机对外的连接 |
(二)
有上面几个例子了解了iptables的基本语法,下面对参数进行整理总结。
(1)接口的匹配参数
|
参数名称 |
-i 、-o |
|
参数值 |
参数值会因为防火墙主机所使用的物理接口不同而有所改变,下面列出常见的网络接口名称: * eth0 :以太网络的接口名称。 * ppp0:PPP接口的名称。 * lo :LocalLoopback接口。 * fddi0:光线接口 |
|
使用范例 |
-i eth0:匹配从eth0接口送入的封包 |
|
意义 |
匹配封包的进出接口 |
|
补充 |
可搭配“!”来代表反向,例如,“-i!eth0”即表示匹配不是从eth0接口进入的封包 |
(2)上层协议(UpperLayer Protocal)的匹配参数
|
参数名称 |
-p |
|
参数值 |
这些参数会因为匹配的上层协议的不同而有所差异,一般常见的参数如下: * tcp :匹配的上层协议为TCP协议。 * udp :匹配的上层协议为UDP协议。 * icmp :匹配的上层协议为ICMP协议。 * all :匹配所有的上层协议。 关于其它的上层协议可以参考/etc/protocols文档,现在取出一部分内容: ip 0 IP hopopt 0 HOPOPT icmp 1 ICMP igmp 2 IGMP ggp 3 GGP ipencap 4 IP-ENCAP tcp 6 TCP 注:其中第一和第二字段是给系统来使用的,比如说我们写-ptcp还可以写为-p6。因为tcp的代码就是6,第三个字段用于管理员来识别用。 |
(3)匹配来源/目的的IP地址
|
参数名称 |
-s -d |
|
参数值 |
来源及目的IP地址匹配,其可接受的IP地址格式如下: *192.168.0.1 :匹配单一IP。 *172.10.0.0/16 :匹配一个Class B的网段。 *192.168.0.0/24 :匹配一个ClassC的网段。 *192.168.0.0/28 :也可以是任何标准CIDR的网段。 * www.qq.com : 也可以是网址,但最后存放到Chain里的值还是IP |
|
使用范例 |
-s192.168.0.1 :匹配从192.168.0.1主机送来的封包 -s192.168.0.0/24 :匹配从192.168.0.0/24网段所送来的封包 -d192.168.0.10 :匹配要送往192.168.0.10主机的封包 |
|
意义 |
匹配封包来源或目的IP地址 |
|
补充 |
可搭配“!”来代表反向,例如:“-s!192.168.0.0/24”即代表匹配来源端IP不是192.168.0.0/24网段的封包 |
(4)匹配来源/目的的Port位置
|
参数名称 |
--sport–dport |
|
参数值 |
我们可以用—sport或—dport来匹配所要访问的服务,例如我们可以用--dport80参数匹配访问WebServer的封包,另外,也可以使用 --sport80参数匹配有WebServer回应给客户端的封包 |
|
使用范例 |
--dport 80 :匹配访问的WebServer的封包。 --sport 110:匹配由POP3 Server 回应给客户端的封包。 |
|
意义 |
匹配封包来源或目的的Port |
|
补充 |
可以搭配”!“来代表反向,如”--sport! 80“代表匹配不是从WebServer送来的封包 |
(5)处理方式
|
参数名称 |
-j |
|
参数值 |
较为常见的3种处理方式,分别如下: * ACCEPT:允许 * DROP :将封包丢弃 * REJECT :将封包丢弃,并回应发送端一个ICMP封包 |
|
使用范例 |
-j ACCEPT 允许 -j DROP 将封包丢弃 |
|
意义 |
以特定的方式来处理符合条件的封包 |