iptables詳解，iptables

iptables詳解，iptables

iptables簡介

       netfilter/iptables（簡稱為iptables）組成Linux平台下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重新導向和網路位址轉譯（NAT）等功能。

 

iptables基礎

       規則（rules）其實就是網路系統管理員預定義的條件，規則一般的定義為“如果資料包頭符合這樣的條件，就這樣處理這個資料包”。規則儲存在核心空間的資訊 包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協議（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當資料包與規 則匹配時，iptables就根據規則所定義的方法來處理這些資料包，如允許存取（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的 主要工作就是添加、修改和刪除這些規則。

 

iptables和netfilter的關係：

       這是第一個要說的地方，Iptables和netfilter的關係是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是 netfilter，它是Linux核心中實現包過濾的內部結構。

 

iptables傳輸資料包的過程

① 當一個資料包進入網卡時，它首先進入PREROUTING鏈，核心根據資料包目的IP判斷是否需要轉送出去。 
② 如果資料包就是進入原生，它就會沿著圖向下移動，到達INPUT鏈。資料包到了INPUT鏈後，任何進程都會收到它。本機上啟動並執行程式可以發送資料包，這些資料包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。 
③ 如果資料包是要轉寄出去的，且核心允許轉寄，資料包就會向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

 

iptables的規則表和鏈：

      表（tables）提供特定的功能，iptables內建了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網路位址轉譯、包重構(修改)和資料跟蹤處理。

     鏈（chains）是資料包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一 條或數條規則。當一個資料包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該資料包是否滿足規則所定義的條件。如果滿足，系統就會根據 該條規則所定義的方法處理該資料包；否則iptables將繼續檢查下一條規則，如果該資料包不符合鏈中任一條規則，iptables就會根據該鏈預先定 義的預設策略來處理資料包。

       Iptables採用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈。現在REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關係及作用。

規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾資料包  核心模組：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用於網路位址轉譯（IP、連接埠） 核心模組：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改資料包的服務類型、TTL、並且可以配置路由實現QOS核心模組：iptable_mangle(別看這個表這麼麻煩，咱們設定策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定資料包是否被狀態跟蹤機制處理  核心模組：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)

 

規則鏈：

1.INPUT——進來的資料包應用此規則鏈中的策略
2.OUTPUT——外出的資料包應用此規則鏈中的策略
3.FORWARD——轉寄資料包時應用此規則鏈中的策略
4.PREROUTING——對資料包作路由選擇前應用此鏈中的規則
（記住！所有的資料包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對資料包作路由選擇後應用此鏈中的規則
（所有的資料包出來的時侯都先由這個鏈處理）

規則表之間的優先順序：

Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種情況）：

第一種情況：入站資料流向

       從外界到達防火牆的資料包，先被PREROUTING規則鏈處理（是否修改資料包地址等），之後會進行路由選擇（判斷該資料包應該發往何處），如果資料包 的目標主機是防火牆本機（比如說Internet使用者訪問防火牆主機中的web伺服器的資料包），那麼核心將其傳給INPUT鏈進行處理（決定是否允許通 過等），通過以後再交給系統上層的應用程式（比如Apache伺服器）進行響應。

第二沖情況：轉寄資料流向

       來自外界的資料包到達防火牆後，首先被PREROUTING規則鏈處理，之後會進行路由選擇，如果資料包的目標地址是其它外部地址（比如區域網路使用者通過網 關訪問QQ網站的資料包），則核心將其傳遞給FORWARD鏈進行處理（是否轉寄或攔截），然後再交給POSTROUTING規則鏈（是否修改資料包的地 址等）進行處理。

第三種情況：出站資料流向
       防火牆本機向外部地址發送的資料包（比如在防火牆主機中測試公網DNS伺服器時），首先被OUTPUT規則鏈處理，之後進行路由選擇，然後傳遞給POSTROUTING規則鏈（是否修改資料包的地址等）進行處理。

管理和設定iptables規則

 

 

iptables的基本文法格式

iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］
說明：表名、鏈名用於指定 iptables命令所操作的表和鏈，命令選項用於指定管理iptables規則的方式（比如：插入、增加、刪除、查看等；條件匹配用於指定對符合什麼樣 條件的資料包進行處理；目標動作或跳轉用於指定資料包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

 

iptables命令的管理控制選項

-A 在指定鏈的末尾添加（append）一條新的規則
-D 刪除（delete）指定鏈中的某一條規則，可以按規則序號和內容刪除
-I 在指定鏈中插入（insert）一條新的規則，預設在第一行添加
-R 修改、替換（replace）指定鏈中的某一條規則，可以按規則序號和內容替換
-L 列出（list）指定鏈中所有的規則進行查看
-E 重新命名使用者定義的鏈，不改變鏈本身
-F 清空（flush）
-N 建立（new-chain）一條使用者自己定義的規則鏈
-X 刪除指定表中使用者自訂的規則鏈（delete-chain）
-P 設定指定鏈的預設策略（policy）
-Z 將所有表的所有鏈的位元組和資料包計數器清零
-n 使用數字形式（numeric）顯示輸出結果
-v 查看規則表詳細資料（verbose）的資訊
-V 查看版本(version)
-h 擷取協助（help）

防火牆處理資料包的四種方式

ACCEPT 允許資料包通過
DROP 直接丟棄資料包，不給任何回應資訊
REJECT 拒絕資料包通過，必要時會給資料發送端一個響應的資訊。
LOG在/var/log/messages檔案中記錄日誌資訊，然後將資料包傳遞給下一條規則

 

iptables防火牆規則的儲存與恢複

iptables-save把規則儲存到檔案中，再由目錄rc.d下的指令碼（/etc/rc.d/init.d/iptables）自動裝載

使用命令iptables-save來儲存規則。一般用

iptables-save > /etc/sysconfig/iptables

產生儲存規則的檔案 /etc/sysconfig/iptables，

也可以用

service iptables save

它能把規則自動儲存在/etc/sysconfig/iptables中。

當電腦啟動時，rc.d下的指令碼將用命令iptables-restore調用這個檔案，從而就自動回復了規則。

 

刪除INPUT鏈的第一條規則

iptables -D INPUT 1

iptables防火牆常用的策略

1.拒絕進入防火牆的所有ICMP協議資料包

iptables -I INPUT -p icmp -j REJECT

 

2.允許防火牆轉寄除ICMP協議以外的所有資料包

iptables -A FORWARD -p ! icmp -j ACCEPT

說明：使用“！”可以將條件取反。

 

3.拒絕轉寄來自192.168.1.10主機的資料，允許轉寄來自192.168.0.0/24網段的資料

iptables -A FORWARD -s 192.168.1.11 -j REJECT 
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

說明：注意要把拒絕的放在前面不然就不起作用了啊。

 

4.丟棄從外網介面（eth1）進入防火牆原生源地址為私網地址的資料包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP 
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

 

5.封堵網段（192.168.1.0/24），兩小時後解鎖。

# iptables -I INPUT -s 10.20.30.0/24 -j DROP 
# iptables -I FORWARD -s 10.20.30.0/24 -j DROP 
# at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

說明：這個策略咱們藉助crond計劃任務來完成，就再好不過了。
[1]   Stopped     at now 2 hours

 

6.只允許管理員從202.13.0.0/16網段使用SSH遠程登入防火牆主機。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT 
iptables -A INPUT -p tcp --dport 22 -j DROP

說明：這個用法比較適合對裝置進行遠端管理時使用，比如位於分公司中的SQL伺服器需要被總公司的管理員管理時。

 

7.允許本機開放從TCP連接埠20-1024提供的應用服務。

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

 

8.允許轉寄來自192.168.0.0/24區域網路段的DNS解析請求資料包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT 
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

 

9.禁止其他主機ping防火牆主機，但是允許從防火牆上ping其他主機

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP 
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT 
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

 

10.禁止轉寄來自MAC地址為00：0C：29：27：55：3F的和主機的資料包

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

說明：iptables中使用“-m 模組關鍵字”的形式調用顯示匹配。咱們這裡用“-m mac –mac-source”來表示資料包的源MAC地址。

 

11.允許防火牆本機對外開放TCP連接埠20、21、25、110以及被動模式FTP連接埠1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

說明：這裡用“-m multiport –dport”來指定目的連接埠及範圍

 

12.禁止轉寄源IP地址為192.168.1.20-192.168.1.99的TCP資料包。

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

說明：此處用“-m –iprange –src-range”指定IP範圍。

 

13.禁止轉寄與正常TCP串連無關的非—syn請求資料包。

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

說明：“-m state”表示資料包的串連狀態，“NEW”表示與任何串連無關的，新的嘛！

 

14.拒絕訪問防火牆的新資料包，但允許響應串連或與已有串連相關的資料包

iptables -A INPUT -p tcp -m state --state NEW -j DROP 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

說明：“ESTABLISHED”表示已經響應請求或者已經建立串連的資料包，“RELATED”表示與已建立的串連有相關性的，比如FTP資料連線等。

 

15.只開放原生web服務（80）、FTP(20、21、20450-20480)，允許存取外部主機發住伺服器其它連接埠的應答資料包，將其他入站資料包均予以丟棄處理。

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT 
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT 
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT 
iptables -P INPUT DROP


文章參考

　　http://netfilter.org/ iptables官方網站
　　http://www.linux.gov.cn/netweb/iptables.htm iptables配置手冊
　　http://man.chinaunix.net/
　　http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html iptables配置手冊
　　http://blog.csdn.net/thmono/archive/2010/04/08/5462043.aspx
　　http://netsecurity.51cto.com/art/200512/14457.htm
　　http://blog.sina.com.cn/s/blog_40ba724c0100jz12.html
　　http://qiliuping.blog.163.com/blog/static/1023829320105245337799/