iptables

iptables簡介

netfilter/iptables（簡稱為iptables）組成Linux平臺下的包過濾防火墻，與大多數的Linux軟件一樣，這個包過濾防火墻是免費的，它可以代替昂貴的商業防火墻解決方案，完成封包過濾、封包重定向和網絡地址轉換（NAT）等功能。

iptables基礎

規則（rules）其實就是網絡管理員預定義的條件，規則一般的定義為“如果數據包頭符合這樣的條件，就這樣處理這個數據包”。規則存儲在內核空間的信息包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當數據包與規則匹配時，iptables就根據規則所定義的方法來處理這些數據包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規則。

iptables和netfilter的關系：

這是第一個要說的地方，Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多知道iptables卻不知道 netfilter。其實iptables只是Linux防火墻的管理工具而已，位于/sbin/iptables。真正實現防火墻功能的是 netfilter，它是Linux內核中實現包過濾的內部結構。

iptables傳輸數據包的過程

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。

② 如果數據包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數據包到了INPUT鏈后，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然后到達POSTROUTING鏈輸出。

③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然后到達POSTROUTING鏈輸出。

iptables的規則表和鏈：

表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用于實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理。

鏈（chains）是數據包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定義的默認策略來處理數據包。

iptables采用“表”和“鏈”的分層結構。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關系及作用。

規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT

作用：過濾數據包；內核模塊：iptables_filter.

2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT

作用：用于網絡地址轉換（IP、端口）；內核模塊：iptable_nat

3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

作用：修改數據包的服務類型、TTL、并且可以配置路由實現QO；內核模塊：iptable_mangle(別看這個表這么麻煩，咱們設置策略時幾乎都不會用到它)

4.Raw表——兩個鏈：OUTPUT、PREROUTING

作用：決定數據包是否被狀態跟蹤機制處理；內核模塊：iptable_raw

規則鏈：

1.INPUT——進來的數據包應用此規則鏈中的策略

2.OUTPUT——外出的數據包應用此規則鏈中的策略

3.FORWARD——轉發數據包時應用此規則鏈中的策略

4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則

（所有的數據包到達本機的時侯都先由這個鏈處理）

5.POSTROUTING——對數據包作路由選擇后應用此鏈中的規則

（所有的數據包離開本機的時侯都先由這個鏈處理）

規則表之間的優先順序：

Raw——mangle——nat——filter

規則鏈之間的優先順序（分三種情況）：

第一種情況：入站數據流向

從外界到達防火墻的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），之后會進行路由選擇（判斷該數據包應該發往何處），如果數據包的目標主機是防火墻本機（比如說Internet用戶訪問防火墻主機中的web服務器的數據包），那么內核將其傳給INPUT鏈進行處理（決定是否允許通過等），通過以后再交給系統上層的應用程序（比如Apache服務器）進行響應。

第二沖情況：轉發數據流向

來自外界的數據包到達防火墻后，首先被PREROUTING規則鏈處理，之后會進行路由選擇，如果數據包的目標地址是其它外部地址（比如局域網用戶通過網關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然后再交給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

第三種情況：出站數據流向

防火墻本機向外部地址發送的數據包（比如在防火墻主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，之后進行路由選擇，然后傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

iptables的基本語法格式

iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］

說明：

表名、鏈名用于指定 iptables命令所操作的表和鏈，

命令選項用于指定管理iptables規則的方式（比如：插入、增加、刪除、查看等）；

條件匹配用于指定對符合什么樣條件的數據包進行處理；

目標動作或跳轉用于指定數據包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

管理和設置iptables規則

iptables命令的管理控制選項

-A 在指定鏈的末尾添加（append）一條新的規則

-D 刪除（delete）指定鏈中的某一條規則，可以按規則序號和內容刪除

-I 在指定鏈中插入（insert）一條新的規則，默認在第一行添加

-R 修改、替換（replace）指定鏈中的某一條規則，可以按規則序號和內容替換

-L 列出（list）指定鏈中所有的規則進行查看

-E 重命名用戶自定義的引用計數為0的鏈，不改變鏈本身

-F 清空（flush）

-N 新建（new-chain）一條用戶自己定義的規則鏈

-X 刪除指定表中用戶自定義的引用計數為0的規則鏈（delete-chain）

-P 設置指定鏈的默認策略（policy）；一般有兩種選擇，ACCEPT和DROP；

-Z 將所有表的所有鏈的字節和數據包計數器清零

-n 使用數字形式（numeric）顯示輸出結果

-v 查看規則表詳細信息（verbose）的信息

-V 查看版本(version)

-h 獲取幫助（help）

–line-numbers 顯示規則的編號

防火墻處理數據包的四種方式

①、ACCEPT 允許數據包通過

②、DROP 直接丟棄數據包，不給任何回應信息

③、REJECT 拒絕數據包通過，必要時會給數據發送端一個響應的信息。

④、LOG在/var/log/messages文件中記錄日志信息，然后將數據包傳遞給下一條規則

規則的保存和重載

保存規則：

方法1：# iptables-save > /etc/iptables_rules #將規則保存至/etc/iptables_rules文件中，如果可以指定為其他的路徑也沒有問題；

方法2：# service iptables save #此命令自動保存至/etc/sysconfig/iptables文件中，如果此文件中有規則，則會覆蓋。

重載規則：

方法1：# iptabales-restore < /etc/iptables_rules #此路徑為保存時的路徑，表示從此路徑中重載規則。

方法2：# Service iptables restore #從/etc/sysconfig/iptables文件中重載規則。

iptables防火墻常用的策略：

1.拒絕所有ICMP數據包進入防火墻

# iptables -A INPUT -p icmp -j REJECT

2.允許防火墻轉發除ICMP協議外的所有數據包

# iptables -I INPUT 1 -p ！ icmp -j ACCEPT

3.拒絕轉發來自192.168.10.2主機的數據，允許轉發來自192.168.10.0/24網段的數據

# iptables -A FORWARD -s 192.168.10.2 -j DROP

# iptables -I FORWARD 1 -s 192.168.10.0/24 -j ACCETP

4.丟棄從外網接口（eth1）進入本機源地址為私網地址的數據包

# iptables -I INPUT -i eth1 -s 192.168.10.0/24 -j DROP

# iptables -I INPUT -i eth1 -s 172.16.0.0/16 -j DROP

# iptables -I INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.封堵網段（192.168.1.0/24）兩小時后解除

# iptables -I INPUT -s 192.168.1.0/24 -j DROP

# iptables -I FORWARD -s 192.168.1.0/24 -j DROP

# at now +2 hours

at>iptables -D INPUT 1

at>iptables -D FORWARD 1

6.只允許管理員從110.119.120.0/24網段使用SSH登錄防火墻主機

# iptables -I INPUT -s 110.119.120.0/24 -p tcp –dport 22 -j ACCEPT

# iptables -A INPUT -p tcp –dport 22 -j DROP

7.只開放本機的SSH、TELNET、WEB、SAMBA、FTP服務

# iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# iptables -I INPUT -d 192.168.10.2 -p tcp -m multiport 21:23,80,443,139,445 -m state –state NEW -j ACCEPT

# modprobe nf_conntrack_ftp

8.允許轉發來自192.168.10.0/24網段的DNS解析請求

# iptables -A FORWARD -s 192.168.10.0/24 -p udp –dport 53 -j ACCEPT

# iptables -A FORWARD -d 192.168.10.0/24 -p udp –sport 53 -j ACCEPT

9.禁止其他主機ping防火墻主機，但允許從防火墻上ping其他主機

# iptables -I INPUT -p icmp –icmp-type 8 -j DROP

# iptables -I INPUT -p icmp –icmp-type 0 -j DROP

# iptables -I INPUT -p icmp destination-Unreachable -j ACCEPT

10.禁止轉發來自MAC地址為00:0C:29:27:24:2B的數據包

# iptables -I INPUT -m mac –mac-source 00:0C:29:27:24:2B -j DROP

11.禁止轉發與正常TCP連接無關的非—syn請求數據包

# iptables -I FORWARD -p tcp -M state –state NEW ! –syn -j DROP

12.拒絕訪問防火墻的新數據包，但允許響應連接與已有連接相關的數據包

# iptables -I INPUT -p tcp -m state –state NEW -j DORP

# iptables -I INPUT -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT

—————————–轉載自互聯網并加以修改，如果侵權請聯系我QQ：532424396—————————————–