iptables基础知识说明:
一.规则链:规则链是防火墙规则/策略的集合
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包
PREROUTING链:在进行路由选择前处理数据包
二.规则表:规则表是规则链的集合(优先顺序:raw、mangle、nat、filter)
raw表:确定是否对该数据包进行状态跟踪(OUTPUT、PREROUTING)
mangle表:为数据包设置标记(PREROUNTING、POSTROUTING、INPUT、OUPUT、FORWARD)
nat表:修改数据包中的源、目标IP地址或端口(PREROUTING、POSTROUTIN、OUTPUT)
filter表:确定是否放行该数据包(过滤)(INPUT FOREARD、OUTPUT)
规则链间的匹配顺序
入站数据:PREROUTING、INPUT
出站数据:OUTPUT、POSTROUTING
转发数据:PREROUTING、FORWARD、POSTROUTING
三.iptables命令的语法格式
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
注意:不指定表名时,默认表示filter表
不指定链名时,默认表示该表内所有链
除非设置规则链的缺省策略,否则需要指定匹配条件
四.命令选项
-A:在指定链的末尾添加(–apped)一条新的规则(注意与-I的插入位置区别)
-D:删除(–delete)指定链中的某一条规则,按规则序号或内容确定要删除的规则
-I:在指定链中插入(–insert)一条新的规则,若未指定插入位置,则默认在链的开头插入
-R:修改、替换(–replace)指定链的某一条规则,按规则序号或内容确定要替换的规则
-L:列出(–list)指定链中所有的规则进行查看,若未指定链名,则列出表中所有链的内容
-F:清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链的内容
-N:新建(–new-chain)一条用户自己定义的规则链
-X:删除指定表中用户自定义的规则链
-P:设置指定链的默认策略(–policy)
-n:使用数字形式(–numeric)显示输出结果
-v:查看规则列表时显示详细(–verbose)的信息
-Z: 清空防火墙包的数量和字节数
-V:查看iptables命令工具的版本(–version)信息
-h:查看命令帮助信息(–help)
–line-numbers:查看规则表时,同时显示规则在链中的顺序号
其中-A -I的区别在于,-A添加到链末尾,-I插入到链最前边。 防火墙规则是越前边的越先生效,存在生效次序的差别
五.通用(general)条件匹配
可直接使用,不依赖于其他的条件或扩展模块
包括网络协议、IP地址、网络接口等匹配方式
1.协议匹配
使用“-p 协议名”的形式
协议名可使用在“/etc/protocols”文件中定义的名称
常用的协议包括tcp、udp、icmp等
例:拒绝进入防火墙的所有icmp协议的数据包
iptables -I INPUT -p icmp -j REJECT
2.地址匹配
使用“-s源地址(–source)”、“-d 目标地址(–destination)”的形式
地址可以是单个IP地址、网络地址(带掩码长度)
例:拒绝转发来自192.168.1.11主机的数据
itables -A FORWARD -s 192.168.1.11 -j REJECT
3.网络端口匹配
使用“-i 网络接口名 (–in-interface)”、 “-o 网络接口名(–out-interface)”形式,分别对应接收、发送数据包的网络接口
例:丢弃10.20.30.0/24网段,并在2小时后解封
iptables -I INPUT -s 10.20.30.0/24 -j REJECT
iptables -I FORWARD -s 10.20.30.0/24 -j DROP
at now +2 hours
at > iptables -D INPUT 1
at > iptables -D FORWARD 1
(crtl + D 结束)
六.隐含(implicit)条件匹配
1.端口匹配
使用“–sport 源端口”、“–dport 目标端口”的形式
采用“端口1:端口2”的形式可以指定一个范围的端口
例:仅允许管理员从202.13.0.0/16使用ssh
iptables -A INPUT 118.114.245.37 -p tcp 22000 -s -j ACCEPT
iptables -A INPUT -p tcp 22000 -j DROP
2.TCP标记匹配
使用“–tcp-flags 检查范围 被设置的标记”的形式
如“–tcp-flags SYN,RST,ACK SYN”表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件
例:拒绝从外网接口(eth1)直接访问防火墙备机的数据包,但是允许响应防火墙TCP请
求的数据包进入
iptables -P INPUT DROP
iptables -I INPUT -i eth1 -p tcp –tcp-flags SYN, RST, ACK SYN -j REJECT
iptables -I INPUT -i eth1 -p tcp –tcp-flags !–syn -j ACCEPT
(–syn的用法为兼容旧版本iptables的形式,此处等于–tcp-flags SYN, RST, ACK SYN)
3.ICMP类型匹配
使用“–icmp-type ICMP类型”的形式
ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Request、Echo-Reply
例:禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机(允许接收ICMP
回应数据)
iptables -A INPUT -p icmp –icmp-type Echo-Request -j DROP
iptables -A INPUT -p icmp –icmp-type Echo-Reply -j ACCEPT
iptables -A INPUT -p icmp –icmp-type destination-Unreachable -j ACCEPT
七.显示条件匹配
1.MAC地址匹配
使用“-m mac”结合“–mac-source MAC地址”的形式
例:禁止转发来自MAC地址为00:0C:29:27:55:3F的主机的数据包
iptables -A FORWARD -m mac –mac-source 00:0C:29:27:55:3F -j DROP
2.多端口匹配
使用“-m multiport”结合“–sports 源端口列表”或者“–dports 目标端口列表”的形式
多个端口之间使用逗号“,”分隔,连续的端口也可以使用冒号“:”分隔
例:允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport –dport 20,21,25,110,1250:1280 -j ACCEPT
3.IP地址范围匹配
使用“-m iprange”结合“–src-range 源IP范围”或者“–dst-range 目标IP范围” 的形式
以“-”符号连接起始IP地址、结束IP地址
例:禁止转发源IP地址为192.168.1.20~192.168.1.99的TCP数据包
iptables -A FORWARD -p tcp -m iprange –src-range 192.168.1.20-192.168.1.99 -j DROP
4.数据包状态匹配
使用“-m state”结合“–state 状态类型”的形式
同时表示多种状态时以逗号“,”分隔
常见的数据包状态包括:NEW、ESTABLISHED、RELATED
例:拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包
iptables -A INPUT -p tcp -m state –state NEW -j DROP
iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
八.数据包控制
常见的数据包处理方式
ACCEPT:放行数据包
DROP:丢弃数据包,不给出任何回应信息
REJECT:拒绝数据包,必要时会给数据发送端一个响应信息
LOG:记录日志信息,并传递给下一条规则处理
用户自定义链名:传递给自定义链内的规则进行处理
SNAT:修改数据包的源地址信息
DNAT:修改数据包的目标地址信息
九.导入、导出防火墙规则
导出规则
iptables-save
结合重定向输出“>”符号保存规则信息
导入规则
iptables-restore
结合重定向输入“<”符号恢复规则信息
十.SNAT策略
SNAT策略的典型应用环境
局域网主机共享单个公网IP地址接入Internet
SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包的源IP地址
前提条件
局域网各主机正确设置IP地址/子网掩码
局域网各主机正确设置默认网关地址
推荐实现步骤
1. 开启网关主机的路由转发功能
2. 添加使用SNAT策略的防火墙规则
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0-j SNAT –to-source 218.29.30.31
在路由选择之后进行处理,-s 特定局域网,-o需要从接口eth0外出的数据包–to-source 218.29.30.31网关主机外网口ip地址
十一.MASQUERADE(地址伪装)策略
只需将 “-j SNAT –to-source 218.29.30.31”的形式改为“-j MASQUERADE”即可
如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为 ppp0、ppp1等
MASQUERADE策略应用示例
iptables -t nat -A POSTROUTING -s 192.168.1.0/24-o ppp0 -j MASQUERADE
十二.DNAT策略
DNAT策略的典型应用环境
在Internet中发布位于企业局域网内的服务器
DNAT策略的原理
目标地址转换,Destination Network Address Translation
修改数据包的目标IP地址
前提条件
局域网的Web服务器正确设置了IP地址/子网掩码
局域网的Web服务器正确设置了默认网关地址
推荐实现步骤
1. 确认已开启网关的路由转发功能
2. 添加使用DNAT策略的防火墙规则
规则示例:
iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp –dport 80 -j DNAT–to-destination192.168.1.6
(在路由选择之前进行处理,-i 外网接口进入的数据包,-d访问网关的公网ip地址的数据包,-dport访问标准Web服务端口的数据包,–to-destination内网中Web服务器的实际IP地址)
通过DNAT策略同时修改目标端口号
使用形式
只需要在“–to-destination”后的目标IP地址后面增加“:端口号”即可,即:
-j DNAT –to-destination 目标IP:目标端口
通过DNAT策略修改目标端口号的应用示例
从Internet中访问网关主机(218.29.30.31)的 2222 端口时,实际由运行在局域网主机(192.168.1.5)的 22 端口的应用程序提供服务
iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.5:22
十三.iptables的开启和关闭
1. Linux防火墙(Iptables)重启系统生效
- 开启: chkconfig iptables on
- 关闭: chkconfig iptables off
2.Linux防火墙(Iptables) 即时生效,重启后失效
- 开启: service iptables start
- 关闭: service iptables stop