iotables 軟體防火牆基礎命令講解（一）

標籤：防火牆   軟體   filter   

 iptables 基本命令

           

背景：

        工作中需要常常使用防火牆的配置  、總結下常用到的命令。我們都知道iptables有四表五鏈，這裡就不講解了。後期更新。

一、鏈的基本操作

1、清除所有的規則。

1）清除預設表filter中所有規則鏈中的規則。

# iptables -F

   清除鏈中的所有規則，

註：如果在之前運行了iptables -P INPUT -j DROP/ACCEPT 則無法清除此預設。

2）清除預設表filter中使用者自定鏈中的規則。

#iptables -X　[chain-name] 如果鏈中有正在應用的規則，則無法清除。

#iptables -Z

2、設定鏈的預設策略。一般有兩種方法。

1）首先允許所有的安裝包，然後再禁止公認危險的安裝包通過放火牆。這裡需要注意的是，仔細查閱您的安裝包，免誤操作。

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止所有的安裝包，然後根據需要的服務允許特定的安裝包通過防火牆。

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWARD DROP

3、列出表/鏈中的所有規則。預設只列出filter表。

#iptables -L

4、向鏈中添加規則。下面的語句用於開放網路介面：

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A INPUT -i eth0 -j ACEPT

#iptables -A OUTPUT -o eth1 -j ACCEPT

#iptables -A FORWARD -i eth1 -j ACCEPT

#iptables -A FORWARD -0 eth1 -j ACCEPT

注意:由於本地進程不會經過FORWARD鏈，因此迴環介面lo只在INPUT和OUTPUT兩個鏈上作用。

5、使用者自訂鏈。

#iptables -N custom

#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

#iptables -A INPUT -s 0/0 -d 0/0 -j DROP

二、設定基本的規則匹配

1、指定協議匹配。

1）匹配指定協議。

#iptables -A INPUT -p tcp

2）匹配指定協議之外的所有協議。

#iptables -A INPUT -p !tcp

2、指定地址匹配。

1）指定匹配的主機。

#iptables -A INPUT -s 192.168.0.18

2）指定匹配的網路。

#iptables -A INPUT -s 192.168.2.0/24

3）匹配指定主機之外的地址。

#iptables -A FORWARD -s !192.168.0.19

4）匹配指定網路之外的網路。

#iptables -A FORWARD -s ! 192.168.3.0/24

3、指定網路介面匹配。

1）指定單一的網路介面匹配。

#iptables -A INPUT -i eth0

#iptables -A FORWARD -o eth0

2）指定同類型的網路介面匹配。

#iptables -A FORWARD -o ppp+

4、指定連接埠匹配。

1）指定單一連接埠匹配。

#iptables -A INPUT -p tcp --sport www

#iptables -A INPUT -p udp –dport 53

2）匹配指定連接埠之外的連接埠。

#iptables -A INPUT -p tcp –dport !22

3）匹配連接埠範圍。

#iptables -A INPUT -p tcp –sport 22:80

4）匹配ICMP連接埠和ICMP類型。

#iptables -A INOUT -p icmp –icimp-type 8

5）指定ip片段。

每個網路介面都有一個MTU（傳輸單元最大值），這個參數定義了可以通過的資料包的最大尺寸。如果一個資料包大於這個參數值時，系統會將其劃分成更小的資料包（稱為ip片段）來傳輸，而接受方則對這些ip片段再進行重組以還原整個包。這樣會導致一個問題：當系統將大資料包劃分成ip片段傳輸時，第一個片段含有完整的包頭資訊（IP+TCP、UDP和ICMP），但是後續的片段只有包頭的部分資訊（如源地址、目的地址）。因此，檢查後面的ip片段的頭部（象有TCP、UDP和ICMP一樣）是不可能的。假如有這樣的一條規則：

#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT

並且這時的FORWARD的policy為DROP時，系統只會讓第一個ip片段通過，而餘下的片段因為包頭資訊不完整而無法通過。可以通過—fragment/-f 選項來指定第二個及以後的ip片段解決上述問題。

#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT

注意現在有許多進行ip片段攻擊的執行個體，如DoS攻擊，因此允許ip片段通過是有安全隱患的，對於這一點可以採用iptables的匹配擴充來進行限制。

三、設定擴充的規則匹配（舉例已忽略目標動作）

1、多連接埠匹配。

1）匹配多個源連接埠。

#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110

2）匹配多個目的連接埠。

#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80

3）匹配多連接埠(無論是源連接埠還是目的連接埠）

#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110

2、指定TCP匹配擴充

使用 –tcp-flags 選項可以根據tcp包的標誌位進行過濾。

#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN

#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK

上執行個體中第一個表示SYN、ACK、FIN的標誌都檢查，但是只有SYN匹配。第二個表示ALL（SYN，ACK，FIN，RST，URG，PSH）的標誌都檢查，但是只有設定了SYN和ACK的匹配。

#iptables -A FORWARD -p tcp --syn

選項—syn相當於”--tcp-flags SYN,RST,ACK SYN”的簡寫。

3、limit速率匹配擴充。

1）指定單位時間內允許通過的資料包個數，單位時間可以是/second、/minute、/hour、/day或使用第一個子母。

#iptables -A INPUT -m limit --limit 300/hour

2 )指定觸發事件的閥值。

#iptables -A INPUT -m limit –limit-burst 10 

用來比對一次同時湧入的封包是否超過10個，超過此上限的包將直接丟棄。

3）同時指定速率限制和觸發閥值。

#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3

表示每分鐘允許的最大包數量為限制速率（本例為3）加上當前的觸發閥值burst數。任何情況下，都可保證3個資料包通過，觸發閥值burst相當於允許額外的包數量。 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

對連接埠限速的例子

# vim control_flow.sh 

#!/bin/bash

iptables -F

iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 8080 -m limit --limit 800/s  -j ACCEPT

iptables -A INPUT -p tcp -s 192.168.2.0/24 --dport 8080 -j DROP

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

4）基於狀態的匹配擴充（串連跟蹤）

每個網路連接包括以下資訊：源地址、目標地址、源連接埠、目的連接埠，稱為通訊端對（socket pairs）；協議類型、串連狀態（TCP協議）

和逾時時間等。防火牆把這些資訊稱為狀態（stateful）。狀態包過濾防火牆能在記憶體中維護一個跟蹤狀態的表，比簡單包過濾防火牆具有更大的安全性，命令格式如下： 

iptables -m state –-state [!]state [,state,state,state]

其中，state表是一個逗號分割的列表，用來指定串連狀態，4種：

>NEW: 該包想要開始一個新的串連（重新串連或串連重新導向）

>RELATED:該包是屬於某個已經建立的串連所建立的新串連。舉例：

FTP的資料轉送串連和控制串連之間就是RELATED關係。

>ESTABLISHED：該包屬於某個已經建立的串連。

>INVALID:該包不匹配於任何串連，通常這些包被DROP。

例如：

（1）在INPUT鏈添加一條規則，匹配已經建立的串連或由已經建立的串連所建立的新串連。即匹配所有的TCP回應包。

#iptables -A INPUT -m state –state RELATED,ESTABLISHED

（2）在INPUT鏈鏈添加一條規則，匹配所有從非eth0介面來的串連請求包。

#iptables -A INPUT -m state -–state NEW -i !eth0

又如，對於ftp串連可以使用下面的串連跟蹤：

（1）被動（Passive）ftp串連模式。

#iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT

#iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m 

state -–state ESTABLISHED,RELATED -j ACCEPT

（2）主動（Active）ftp串連模式

#iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT 

5）TOS匹配擴充。

四、設定目標擴充

目標擴充由核心模組組成，而且iptables的一個可選擴充提供了新的命令列選項。

========================================================

#!/bin/bash

#Flush all policy and add default policy

iptables -F

iptables -t filter -P INPUT DROP

#Open port 80 and limit rate from 80

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 80 -m limit --limit 800/s  -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --dport 80 -j DROP

#Open port 22 only for 192.168.2.45

iptables -t filter -A INPUT -s 192.168.2.45 -p tcp --dport 22 -j ACCEPT

# iptables -t filter -A INPUT -s ! 192.168.2.45 -p tcp --dport 22 -j DROP

#Open the protocal icmp for all users

iptables -t filter -A INPUT -p icmp -j ACCEPT

#Make sure this host can connect any hosts

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

=======================================================

有時連入互連網的時候網關是動態不確定的.如adsl上網

iptables -t nat -A OUTPUT -s 192.168.0.0.1/24 -j MARSUERADE

   未完待續。

本文出自 “·`米笵6” 部落格，請務必保留此出處http://mifan6.blog.51cto.com/9954601/1713064

iotables 軟體防火牆基礎命令講解（一）