iptables使用语法简述

规则文件（配置文件）:/etc/sysconfig/iptables

保存启用中的规则于配置文件中：

1、#iptables -save > /etc/sysconfig/iptables

2、#service iptables save

生效规则文件（配置文件）中的规则

1、#iptables-restore < /etc/sysconfig/iptables

2、#service iptables restart

执行的操作，清空现有规则，读取并生效规则文件中的规则

iptables [ -t TABLES ] COMMAND CHAIN CRETIRIA -j TARGET

表            规则            链         匹配条件       动作

-t TABLES:

nat,mangle,raw,filter

COMMAND:（CHAIN）

链:(链中的规则):

-F：flush,清空规则连：

-N：new，自建一条链

-X:delete,删除一条自定义链

-P:policy，设置默认策略，对filter表来讲，默认规则为ACCEPT或DROP：

-E：重命名自定义链

-A：链尾部增加一条规则

-D：删除一条规则            iptables [ -t table ] -D chain rulenum

-R：替换一条规则            iptables [ -t table ] -R chain rulenum rule-specification

-I：插入一条规则              iptables [ -t table ] -I chain rulenum rule-specification

查询：

-L:list

-n：数字格式显示主机地址和端口

-v：详细格式，-vv，-vvv

--line-number：显示规则编号

-x:exactly，精确显示数值

pkts     bytes    target   prot      opt       in             out                   source             destination

包数    字节数    目标       协议                流入借口     流出借口               原地址            目标地址

CRETIRIA（匹配条件）：

匹配条件：

通用匹配：

-s  地址:指定报文源IP地址匹配的范围：（可以是IP也可以是网络地址：可以使用！取反）

--src，   --source

-d  地址:指定报文目标IP地址匹配的范围：

--dis,--destination

-p  协议:指定匹配报文的协议类型，一般有三种tcp，udp和icmp

-i    interface:数据报文流入的接口：入方向（prerouter，input，forward）

-o   interface：数据报文流出的接口：出方向（output，forward，postrouter）

扩展匹配：调用netfilter额外模块实现特殊检查机制，（使用到相关功能，要使用iptables命令 -m

来调用相关模块）

隐式扩展：当使用 -p {tcp|udp|icmp}中的一种时，可以直接使用扩展专用选项

-p tcp [ -m tcp ]

--sport PORT[-PORT]

--dport

--tcp-flag 要检查标志位列表（用逗号分隔） 必须为1的标志位列表（逗号分隔）

例如：  --tcp-flags syn,ack,rst,fin syn

检查 syn,ack,rst,fin 标志位，syn必须为1。其他为0

--syn

all 为所有位，none 为没有

iptables -I INPUT -p -tcp --tcp-flags all all -j drop      （标志位全1 drop）

iptables -I INPUT -p -tcp --tcp-flags all none -j drop  （标志位全0 drop）

-p udp [ -m udp ]

--sport

--dport

显示扩展：必须明确说明使用那个模块进行扩展

-m 扩展模块名称

模块：iptables，netfilter各拥有一部分代码，必须都拥有对应模块，才能使用。

multiport：多端口匹配

可用于匹配非连续或连续端口

专用选项：

--source-ports,--sports port[,port,port:port]

--destination-ports,--dports

--ports

iprange：匹配指定范围内的地址：

匹配一段连续的地址而非整个网络时有用

专用选项： ！取反

[!]--src-ragne IP [IP]

--dst-range

string：字符串匹配。能够检查报文应用层中的字符串。

字符匹配检查高效算法

kmp,bm

专用选项：

--algo {kmp|bm}

--string "STRING"   检查（匹配）字串

--htx-string "HEX_STRING： HEX_STRING为编码为16进制的字串

time：基于时间做访问控制

专用选项：

--datestart YYYY[-MM][-DD[Thh][:mm][:ss]]

--datestop

--timestart hh:mm[:ss]

--timestop hh:mm[:ss]

--weekdays day[,day]

mon,tue

connlimit：连接数限制，对每个IP所能够发起并发连接数做限制：

专用选项：

[!]--connlimit-above [n]  ：连接数限定  ！可取反

limit:速率限制

专用选项：

--limit n[/second|/minute/hour/day]

--limit-burst n

state：状态检查。（内核中划一段空间存储条目，来识别报文是否来访问过）

（并发大的不建议开启此功能，会导致条目空间满载从而拒绝访问）

专用选项：--state [new| ESTABLISHED|RELATED| INVALID}

链接追踪中的状态：

NEW：新建立一个回话

ESTABLISHED：已建立的连接

RELATED：有关联关系的连接

INVALID：无法识别的连接

调整链接追踪功能所能容纳的连接的最大数目

/proc/sys/net/nf_conntrack_max

当前追踪的所有链接

/proc/net/nf_conntrack

不通协议或链接类型追踪时的属性：

/proc/sys/net/netfilter/     （都在此目录下）

放行被动模式下的FTP

1、装载模块（/lib/modules/KERNEL_VERSION/kernel/net/netfilter/)

模块：nf_conntrack_ftp

2、放行请求报文

（1）放行new状态对21端口请求的报文

（2）放行ESTABLISHED以及RALATED状态的报文

3、放行响应报文

(1)放行ESTABLISHED以及RALATED状态的报文

-j TARGET

ACCEPT:允许通过

DROP：拒绝通过

REJEDT：拒绝通过，并给予回应

自定义链使用方法：

建立一个定义链，在主链中使用一条匹配规则跳转到自定义链，自定义链开始生效，按顺序匹配自定义链，如果自定义链中有RETURN就会返回主链继续匹配下去。

创建自定义链：

iptables [-t table ] -N chain

删除自定义链（零引用）：

iptables [ -t table ] -X chain

重命名自定义链(零引用）：

iptables  [-t table ] -E old_name new_name

主链指向自定义链：

iptables [ -t TABLES ] COMMAND CHAIN CRETIRIA -j TARGET

-j chain（自定义链）

TARGET填写自定义链名

自定义链返回主链： -j RETURN

iptables [ -t TABLES ] COMMAND CHAIN CRETIRIA -j TARGET

列子：iptables -A httpd_in -j RETURN

自定义链中插入规则  -j RETURN，返回主链，继续匹配

优化规则：

1、尽量减少规则条目

2、访问量大的规则尽量放前面

3、统一服务的规则，规格更加严格的放在前面，尽早剔除。

列子：

1、设定默认规则

iptables -t filter -P INPUT DROP

1、通过ssh的tcp三次握手的第一次

iptables -I INPUT 3 -d xx.xx.xx.xx -p tcp --dport 22 --tcp-flags sys, ack,rst,fin sync -j ACCEPT

2、允许本机器dns解析 172.16.100.7

iptables -A OUTPUT -s 172.16.100.7 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -d 172.16.100.7 -p udp --sport 53 -j ACCEPT

3、本机可ping其他主机，不允许其他主机ping本机

iptables -A OUTPUT -s 172.16.100.7 -p icmp --icmp-type 8 -j ACCEPT

iptables -A INPUT -d 172.16.100.74 -p icmp --icmp-type 0  -j ACCEPT

4、写一条规则允许22，80端口访问

iptables -I INPUT -d 172.16.100.7 -p -tcp -m multiport --dports 22,80 -j ACCEPT

iptables -I OUPUT -s 172.16.100.7 -p tcp -m multiport --sports 22,80 -j ACCEPT

5、允许172.16.100.1-172.16.100.100 的地址访问本机23端口

iptables -A INPUT -d 172.16.100.7 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT

iptables -A OUTPUT -s 172.16.100.7 -p tcp --sport23 -m iptange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

6、禁止含有sex字符串流出。

iptables -I OUTPUT -m string -- algo kmp --string "sex" -j DROP

7、周一、二、四、五,上午8点20分到下午6点40拒绝访问web服务。

iptables -I INPUT -d 172.16.100.7 -p tcp --dport  80 -m time --timestart 08:20 --timestop 18:40 --weekdays Mon,Tue,Thu,Fri -j REJECT

8、本机的ssh服务，仅限制每个IP发起两个链接请求。

iptables -A INPUT -d 172.16.100.7 -p tcp --dport 22  -m connlimit --connlimit-ablove 2 -j DROP

此规则匹配发现超过两个ssh链接后就拒绝，一般此规则后续规则里面放行ssh服务。

9、设置ping的速率

iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 5 -j ACCEPT

iptables -A OUTPUT -d 172.16.100.7 -p icmp --icmp-type 8  -j ACCEPT

10、通过22,80端口且状态为NEW或者ESTABLISHED。

iptables -I INPUT -d 172.16.100.7 -p tcp -m multiport --dport 22,80 -m state NEW，ESTABLISHED -j ACCEPT

iptables -I OUTPUT -m state --state ESTABLISHED -j ACCEPT

结合下面这一条规则使用，可以极大的提升防火墙匹配性能。

iptables -I INPUT -d 172.16.100.7  -m multiport  -m state ESTABLISHED -j ACCEPT （放在第一条）

iptables -I OUTPUT -s 172.16.100.7  -m multiport  -m state ESTABLISHED -j ACCEPT

11、给FTP放行。

iptables -A INPUT -d 172.16.100.7 -p tcp -m state --state RELATED -j ACCEPT

iptables -R OUTPUT 1 -s 172.16.100.7 -m state ESTABLISHED,RELATED -j ACCEPT  (output第一行）

12、自定义链