iptables必知必会用法

防火墙

iptables 包过滤型防火墙

防火墙的类别：

代理服务器（proxy）：代理client访问internet，分割内部与外部网络

IP Filter：进入本机的tcp/ip封装协议进行过滤

软件防火墙(逻辑上实现)
       硬件防火墙(硬件配合软件实现)

iptables功能：拒绝internet数据包进入linux主机的端口port

拒绝IP的数据包进入
                      拒绝带有特殊旗标flag的封装协议
                      分析硬件地址mac提供的服务
             限制：无法抵御木马病毒；
                       内部LAN抵御力差；

iptables四张表：

raw 处于所有表的最前端，在此处可控制nat表的connectiontrack 链接追踪的生效与否
filter与本机有关

INPUT:进入本机
                              OUTPUT:从本机发出
                              FORWORD:从本机转发，与本机关系不大

nat：来源与目的IP或port转换

PREROUTING:路由判断之前进行的规则（DNAT/REDICRECT)
                               POSTROUTING:路由判断之后（SNAT/MASQUERADE)
                               OUTPUT：本机发出

mangle：带有特殊路由器旗标有关

PREROUTING:
                                INPUT:
                                FORWORD:
                                OUTPUT
                                POSTROUTING:

4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter

请求与响应过程:

数据包>>mangle-PREROUTING>>nat-PREROUTING>>mangle-INPUT>>filter-INPUT>>本机资源>>mangle-OUTPUT>>nat-OUTPUT>>filter-OUTPUT>>mangle-POSTROUTING>>nat-POSTROUTING>>数据包发出

网络防火墙路由过程:

数据包>>mangle-PREROUTING>>nat-PREROUTING>>mangle-FORWARD>>filter-FROWARD>>mangle-POSTROUTING>>nat-POSTROUTING>>数据包发出

iptables用法： -t   表明   -L列出规则表 -n不进行IP的反解析

                    -v：列出更多的信息，数据包的总数、网络接口
                    -F：清楚所有已定的规则
                    -X：杀掉所有的自定义的table
                    -Z:将所有的chain的计数与流量清零

-P：定义policy

          ACCEPT:允许
          DROP：数据包丢弃
     一般的policy:          
             iptables  -P  INPUT DROP
          iptables -P OUTPUT  DROP
          iptables -P FORWORD DROP

iptables规则设置：

iptables -A 链 -io 网络接口 -p 协议 -s 来源ip/mask -d 目标IP/mask -j ACCEPT|DROP

         -A ：新增规则在原规则之后；
         -I  ：默认插入第一条，也可数字
     链：INPUT,OUTPUT,FORWORD
         -i：数据包的入口设备 与INPUT结合
         -o：数据包出口设备 与OUTPUT结合
         -p：协议：tcp，udp，icmp，all
         -s：规定为不允许则其前加！+IP
         -d：目标IP/MASK
         -j：动作ACCEPT、DROP、记录（LOG）

隐式扩展模块: 一般的不用-m 指定,而是 -p tcp/udp 时隐式自动添加-m tcp 模块

TCP,UDP 规则：

    --sport 源端口
    如果其前加上 ! 表示除了该指定项
    ! --sport 80 除了80端口都被匹配
    --dport目的端口
    多个连续端口:137:138

特殊旗标：

 --syn

显式扩展模块：MAC;RELATED

-m：调用模块：state状态模块，mac网卡硬件模块

           --state           INVALID:无效的数据包或损坏的
                        ESTABLISHED:已连接的
                        NEW: 欲新建连接的
                        RELATED：常用，本机发出的数据包有关,并非是已经建立的,但与已经建立的某个链接有关
                             mac 网络硬件地址模块：--mac-source  xx：xx：xx：xx

iprange地址范围模块,指定一个地址范围

           -m iprange  --src-range  x.x.x.x-x.x.x.x

layer7模块:可用于应用层协议的过滤

           -m layer7 --proto  qq

multiport模块:以离散或者连续的端口作定义

           -m multiport  --dports 80,53

time模块:指定时间匹配条件

           -m time --timestart hh:mm:ss
           --timestop hh:mmss
           --weekdays 1,2,3
           --monthdays 10,11,12
           --kerneltz  默认使用的是格林威治时间,该选可使用内核配置时区

string模块:基于字符串匹配

           --algo bm|kmp 指定算法
           --string 指定字符串的匹配模式
           --hex-string 以16进制指定
           --from offset 指定偏移量
           --to offset

connlimit模块:限制客户端的连接数

           --connlimit-upto n 指定连接数不超过nge
           --connlimit-above

limit模块:限制速率,按照包的个数而不是带宽

           --limit rate/second
           --limit-burst N  限制令牌池
           限制接受新请求的速率 --syn,-m limit

ICMP数据包的限定：

    请求报文: --icmp-type 8
    响应报文: --icmp-type 0
    -p icmp --icmp-type 8(icmp_request)

-j 处理动作

一般动作:ACCEPT ,DROP
     扩展动作:

REJECT

    --reject--with TYPE 可指定拒绝类型

LOG

    --log-prefix
    --log-level
    一般日志保存于/varlog/message

RETURN:_

    用于自定义链接,返回调用者
  自定义连作为处理动作

将现有的iptables设置存储：iptables-save > filename
 根据文件恢复iptables规则：iptables-restore < filename
规则优化的思路：

使用自定义链管理特定应用的相关规则，模块化管理规则；

1. 优先放行双方向状态为ESTABLISHED的报文；
2. 服务于不同类别的功能的规则，匹配到报文可能性更大的放前面；
3. 服务于同一类别的功能的规则，匹配条件较严格的放在前面；

1.本机向外
                             2.私网向本机
                             3.公网向本机

SNAT：用于做客户端的代理,将内网的客户机ip统一替换为紫荆指定的ip地址

iptables -t nat POSTROUTING -s 192.168.1.0/24 -o eno16777736 -j SANT --to-source 111.111.111.111

DNAT:用于服务器端的请求代理,从而达到隐藏服务器的目的

iptables -t nat -I PREROUTING -i eno16777736 -j DNAT --to--destination  192.168.1.1

连接网关时常变动ip需要外网自动探查技术：动态伪装；

iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -j MASQUERADE

防火墙的某些功能需要修改的内核参数,以及需要加载的模块

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

删除某条规则:

iptables -vnL --line-numbers
 iptables -D INTPUT 7
实例：一个普通的 web 服务器的配置

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
保存iptbales配置:

配置文件是在/etc/iptables
命令是/etc/rc.d/init.d/iptables save
   也可 service   iptables save

查看是什么时候保存的！

cat /etc/sysconfig/iptables

放行yum的主要是80端口及state NEW

  iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A OUTPUT -p tcp -m tcp -m state --state NEW --dport 80 -j ACCEPT

放行samba服务普通方式:

  iptables -A INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT 
  iptables -A INPUT -p udp -m multiport --dports 137,138 -j ACCEPT
  iptables -A OUTPUT -p tcp -m multiport --sports 139,445 -j ACCEPT
  iptables -A OUTPUT -p udp -m multiport --sports 137,138 -j ACCEPT

防火墙iptables优化:

  iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
  iptables -A INPUT -i eth2 -j REJECT
  iptables -A OUTPUT -m state
  iptables -A OUTPUT -o eth2 -j REJECT

iptables nat表的转发:

  iptables -t nat  -A POSTROUTING -s 192.168.0.0/24 -j SNAT   --to-source 172.16.254.226
  iptables -t nat -I PREROUTING -d 172.16.251.65 -p tcp --dport  80 -j DNAT --to-destination  172.16.254.226

NAT表的转发可指向多个ip地址以实现流量负载均衡轮流发给每个ip处理请求.