原創做品,容許轉載,轉載時請務必以超連接形式標明文章 原始出處 、做者信息和本聲明。不然將追究法律責任。http://powermichael.blog.51cto.com/12450987/1952049
iptables從入門到應用
1、簡介
1.一、是什麼?
iptables是隔離主機以及網絡的工具,經過本身設定的規則以及處理動做對數據報文進行檢測以及處理。
1.二、發展史
防火牆的發展史就是從牆到鏈再到表的過程,也便是從簡單到複雜的過程。爲何規則愈來愈多,由於互聯網愈來愈不安全了,全部防火牆的的規則也愈來愈複雜。防火的工具變化以下:
ipfirewall(牆)-->ipchains(鏈條)--iptables(表)
2.0版內核中,包過濾機制是ipfw,管理工具是ipfwadm;
2.2 版內核中,包過濾機制ipchain,管理工具是ipchains;
2.4版及之後的內核中,包過濾機制是netfilter,管理工具iptables。
2、原理
2.一、組成
linux的防火牆由netfilter和iptables組成。用戶空間的iptables制定防火牆規則,內核空間的netfilter實現防火牆功能。
netfilter(內核空間)位於Linux內核中的包過濾防火牆功能體系,稱爲Linux防火牆的「內核態」。
iptables(用戶空間)位於/sbin/iptables,是用來管理防火牆的命令的工具,爲防火牆體系提供過濾規則/策略,決定如何過濾或處理到達防火牆主機的數據包,稱爲Linux防火牆的「用戶態」。
2.二、實現方式
Linux系統的防火牆功能是由內核實現的,包過濾防火牆工做在TCP/IP的網絡層。
用戶空間的iptables制定相應的規則策略控制內核空間的netfilter處理相應的數據訪問控制。
iptables有四表五鏈(其實有五表,是後來加進來的),四表分別是下圖的的raw,mangle,nat,filter表。五鏈分別是PREROUTING,INPUT,OUTPUT,FORWARD,POSTROUTING鏈。表有什麼用?鏈又有什麼用呢?其實表決定了數據報文處理的方式,而鏈則決定了數據報文的流經哪些位置。
你能夠從圖中看出規則表的優先級:raw-->mangle-->nat-->filter。
四表的介紹如圖(ps:因爲如今有五表了,因此我把另外一個表也加了進來)。
五鏈的介紹如圖。
製做防火牆規則一般有兩種基本策略。一是黑名單策略;二是白名單策略。
黑名單策略指沒有被拒絕的流量均可以經過,這種策略下管理員必須針對每一種新出現的攻擊,制定新的規則,所以不推薦。
白名單策略指沒有被容許的流量都要拒絕,這種策略比較保守,根據須要,逐漸開放,目前通常都採用白名單策略,推薦。
2.三、數據包過濾匹配流程
如圖,咱們能夠分析數據報文進入本機後應用了哪些表規則以及鏈規則,根據表規則和鏈規則咱們分析數據包的過濾匹配流程。
好比咱們制定一個filter表的規則,filter表決定是否放行數據包經過,那若是經過,則必須經由INPUT鏈流入數據包,INPUT鏈是處理入站數據的,若是沒問題,繼續放行到用戶空間,再經由OUTPUT鏈將數據包流出。
那若是是nat表的規則,nat表主要實現轉發功能,數據包先經由PREROUTING鏈進行路由選擇,選擇好路線後再經由FORWARD鏈轉發數據,而後再進行一個路由選擇,最後由POSTROUTING鏈流出數據。
其餘表規則的數據包流程不作介紹,圖中介紹的十分詳盡。
3、iptables命令
3.一、制定iptables表規則思路
(1)選擇一張表(此表決定了數據報文處理的方式)
(2)選擇一條鏈(此鏈決定了數據報文的流經哪些位置)
(3)選擇合適的條件(此條件決定了對數據報文作何種條件匹配)
(4)選擇處理數據報文的動做,制定相應的防火牆規則。
3.二、基本語法結構
結構:
iptables [ -t 表名 ] 管理選項 [ 鏈名 ] [num(鏈的第幾條規則)] [ 條件匹配 ] [ -j 目標動做或跳轉 ]
幾個注意事項:
不指定表名時,默認表示filter表,不指定鏈名時,默認表示該表內全部鏈,除非設置規則鏈的缺省策略,不然須要指定匹配條件。
3.三、詳細語法
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
iptables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]
|
3.四、語法結構解析
語法結構解析以下。
注意:本導圖是按照iptables語法結構的使用的前後順序製做的,若是按照此種方式可以很快地幫助咱們記憶以及掌握iptables規則的制定。
3.4.一、表
其實表的介紹,在上面已經介紹了。這裏咱們能夠再來回顧如下五張表的功能。
3.4.二、管理選項
管理選項分爲三大類,分別爲:規則的顯示,規則鏈管理以及規則管理。咱們能夠經過man幫助查看iptables的用法,大多選項用法都見名知意。
鏈管理
|
1
2
3
4
5
6
7
8
9
|
-N, --new-chain chain:新建一個自定義的規則鏈;
-X, --delete-chain [chain]:刪除用戶自定義的引用計數爲0的空鏈;
-F, --flush [chain]:清空指定的規則鏈上的規則;
-E, --rename-chain old-chain new-chain:重命名鏈;
-Z, --zero [chain [rulenum]]:置零計數器;
注意:每一個規則都有兩個計數器
packets:被本規則所匹配到的全部報文的個數;
bytes:被本規則所匹配到的全部報文的大小之和;
-P, --policy chain target 制定鏈表的策略(ACCEPT|DROP|REJECT)
|
規則管理
|
1
2
3
4
5
|
-A, --append chain rule-specification:追加新規則於指定鏈的尾部;
-I, --insert chain [rulenum] rule-specification:插入新規則於指定鏈的指定位置,默認爲首部;
-R, --replace chain rulenum rule-specification:替換指定的規則爲新的規則;
-D, --delete chain rulenum:根據規則編號刪除規則;
-D, --delete chain rule-specification:根據規則自己刪除規則;
|
規則顯示
|
1
2
3
4
5
6
7
|
-L, --list [chain]:列出規則;
-
v
, --verbose:詳細信息;
-vv 更詳細的信息
-n, --numeric:數字格式顯示主機地址和端口號;
-x, --exact:顯示計數器的精確值,而非圓整後的數據;
--line-numbers:列出規則時,顯示其在鏈上的相應的編號;
-S, --list-rules [chain]:顯示指定鏈的全部規則;
|
3.4.三、鏈
五鏈的功能如圖所示。
3.4.四、條件匹配
條件匹配分爲基本匹配和擴展匹配,擴展匹配又分爲顯示匹配和隱式匹配。
基本匹配的特色是:無需加載擴展模塊,匹配規則生效;擴展匹配的特色是:須要加載擴展模塊,匹配規則方可生效。
隱式匹配的特色:使用-p選項指明協議時,無需再同時使用-m選項指明擴展模塊以及不須要手動加載擴展模塊;
顯示匹配的特色:必須使用-m選項指明要調用的擴展模塊的擴展機制以及須要手動加載擴展模塊。
基本匹配的使用選項及功能
|
1
2
3
4
5
6
|
-p 指定規則協議,tcp udp icmp all
-s 指定數據包的源地址,ip
hostname
-d 指定目的地址
-i 指定數據報文流入的接口(通常用在PRETOUTING,INPUT,FORWARD)
-o 指定數據報文流出的接口(通常用在OUTPUT,FORWARD,POSTROUTING)
! 取反
|
隱式匹配的使用選項及功能
|
1
2
3
4
5
6
7
8
9
10
|
-p tcp
--sport 匹配報文源端口;能夠給出多個端口,但只能是連續的端口範圍
--dport 匹配報文目標端口;能夠給出多個端口,但只能是連續的端口範圍
--tcp-flags mask comp 匹配報文中的tcp協議的標誌位
只檢查mask列表裏面的標誌位,comp此列表出現的mask必須爲1,comp中沒出現的,而mask中出現的,必須爲0 --tcp-flags mask comp 只檢查mask制定的標誌位,是逗號分隔的標誌位列表 -p udp
--sport 匹配報文源端口;能夠給出多個端口,但只能是連續的端口範圍
--dport 匹配報文目標端口;能夠給出多個端口,但只能是連續的端口範圍
-p icmp
--icmp-
type
0
/0
:
echo
reply 容許其餘主機
ping 0表示響應報文
8
/0
:
echo
request 容許
ping
其餘主機 8請求報文
|
顯式匹配的使用選項及功能
顯式匹配的選項特別多,因此使用思惟導圖的方式梳理一下。咱們可使用命令:man iptables-extensions查看具體用法。
1.multiport(多端口)
開放多個端口。
-
-
-
--ports
123例子:iptables -I INPUT -d 172.16.100.7 -p tcp -m multiport --dports 22,80 -j ACCEPTiptables -I OUTPUT -s 172.16.100.7 -p tcp -m multiport --sports 22,80 -j ACCEPT
-
-
2.iprange(ip範圍)
以連續地址塊的方式來指明多IP地址匹配條件。
-m iprange
--src-range 指定一段的地址
--dst-range
-
123
例子:iptables -A INPUT -d 172.16.100.7 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPTiptables -A OUTPUT -s 172.16.100.7 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT
3.time(時間範圍)
指定時間範圍。
-
123
例子:iptables -A INPUT -d 172.16.100.7 -p tcp --dport 901 -mtime--weekdays Mon,Tus,Wed,Thu,Fri --timestart 08:00:00 --time-stop 18:00:00 -j ACCEPTiptables -A OUTPUT -s 172.16.100.7 -p tcp --sport 901 -j ACCEPT
4.string(字符串)
對報文中的應用層數據作字符串模式匹配檢測(經過算法實現)。
-
123
--algo {bm|kmp}:字符匹配查找時使用算法--string"STRING": 要查找的字符串--hex-string 「HEX-STRING」: 要查找的字符,先編碼成16進制格式
注意報文通過那個鏈出去:
iptables -t filter -I OUTPUT -s 192.168.132.171 -p tcp --sport 22 -m string --algo kmp --string "h7n9" -j REJECT
指定協議 指定限定的內容
5.connlimit(鏈接限制)
-m connlimit
! --connlimit-above n 同一個服務最多幾個鏈接請求,記住必定加!,不然就是超過幾個才匹配
根據每一個客戶端IP做併發鏈接數量限制。
|
1
2
|
--connlimit-upto n 鏈接數小於等於n時匹配
--connlimit-above n 鏈接數大於n時匹配
|
6.limit(速率限制)
-m limit
--limit RATE 單位時間內放行的數目
--limit-burst 第一次一會兒能放行幾個
iptables -t filter -R INPUT 5 -d 192.168.132.171 -s 192.168.132.172 -p icmp --icmp-type 8 -m limit --limit 5/minute -j ACCEPT
報文速率控制。
7.state(狀態)狀態擴展
結合ip_conntrack追蹤回話狀態 ,配置文件在/proc/net/ip_conntrack,能夠調節大小。如今沒有了之前的時候有
lsmod | grep "ip" 查看內核模塊ip_conntrack
追蹤本機上的請求和響應之間的數據報文的狀態。狀態有五種:INVALID, ESTABLISHED, NEW, RELATED, UNTRACKED.
-
法則:
-
一、對於進入的狀態爲ESTABLISHED都應該放行;
-
二、對於出去的狀態爲ESTABLISHED都應該放行;
-
三、嚴格檢查進入的狀態爲NEW的鏈接;
-
四、全部狀態爲INVALIED都應該拒絕;
-m state --state NEW,ESTABLISHED -j ACCEPT 後面能夠跟多個狀態,逗號隔開
3.4.五、處理動做
處理動做有內置的處理動做和自定義的處理動做。自定義的處理動做用的比較少,所以只介紹內置的處理動做。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
ACCEPT:容許數據包經過
DROP:直接丟棄數據包,不給出任何迴應信息
REJECT:拒絕數據包經過,必要時會給數據發送端一個響應信息
LOG:在日誌文件中記錄日誌信息,而後將數據包傳遞給下一條規則
QUEUE: 防火牆將數據包移交到用戶空間
RETURN:防火牆中止執行當前鏈中的後續Rules,並返回到調用鏈
REDIRECT:端口重定向
MARK:作防火牆標記
DNAT:目標地址轉換
SNAT:源地址轉換
-MASQUERADE:地址假裝
|
-j TARGET
LOG 注意這個地方必定要顯示速率,多久記錄一次,要不會佔用太多空間,影響服務器效率
--log--prefix "本身想寫的標記"
iptables -I INPUT 4 -d 192.168.132.171 -p icmp --icmp-type 8 -j LOG --log-prefix "-----firewall log for icmp ------lliubi"
3.五、保存和載入規則
CentOS6和CentOS7保存和載入的規則稍有差別。
3.5.一、CentOS 7
|
1
2
3
4
|
手動保存,而且本身制定文件,重啓以後還能生效
保存:iptables-save >
/PATH/TO/SOME_RULE_FILE
重載:iptabls-restore <
/PATH/FROM/SOME_RULE_FILE
-n, --noflush:不清除原有規則
-t, --
test
:僅分析生成規則集,但不提交
|
3.5.二、CentOS 6
|
1
2
3
|
保存規則:service iptables save
#保存規則於/etc/sysconfig/iptables文件,覆蓋保存;
重載規則:service iptables restart
#默認重載/etc/sysconfig/iptables文件中的規則
配置文件:
/etc/sysconfig/iptables-config
|
4、iptables的實踐應用
iptables十分重要與網絡的安全息息相關,咱們理所應當掌握。不過咱們大可沒必要死記硬背,必定結合實際項目,多多練習,效果纔會更好。
若是轉態同樣的話,出去的規則能夠用缺省的方法寫
[root@vh01 ~]# iptables -t filter -I OUTPUT -s 192.168.132.171 -m state --state ESTABLISHED -j ACCEPT
[root@vh01 ~]# iptables -L -n -v --line-number
放行sshd服務
235 iptables -t filter -A INPUT -d 192.168.132.171 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
236 iptables -t filter -A OUTPUT -s 192.168.132.171 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
放行httpd服務
240 iptables -t filter -A INPUT -d 192.168.132.171 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
241 iptables -t filter -A OUTPUT -s 192.168.132.171 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
放行icmp
iptables -t filter -A INPUT -d 192.168.132.171 -p icmp --icmp-type 8 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.132.171 -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT
打開本身的還回扣:
272 iptables -A INPUT -i lo -j ACCEPT
273 iptables -A OUTPUT -o lo -j ACCEPT
相同規則的合併成一條,儘量簡化規則加快速遞
iptables -t filter -I OUTPUT -s 192.168.132.171 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -I INPUT 2 -d 192.168.132.171 -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j ACCEPT
利用iptables的recent模塊必定限度抵制DOS工具
iptables -t filter -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
iptables -t filter -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
記錄訪問22的新鏈接,記錄名爲SSH,--set 記錄數據包的來源IP,若是IP已經存在將更新已經存在的條目
iptables -t filter -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
SSH裏面記錄的ip地址,300秒內發起超過3此鏈接則拒絕此IP地址,而且在300秒以內若是再創建新鏈接
--update 是指每次創建鏈接都更新列表
--seconds 必須與 --rcheck 或者 --update同時使用
--hitcount 必須與 --rcheck 或者 --update同時使用
1.利用connlimit模塊將單IP的併發設置爲3,會誤殺使用NAT上網的用戶,能夠根據實際狀況增大
2.利用recent和state模塊顯示單IP在300秒內只能創建三個新鏈接,被限制五分鐘後便可恢復正常
4.一、iptables經常使用規則
1.放行sshd服務
|
1
2
|
iptables -t filter -A INPUT -s 192.168.0.0
/24
-d 192.168.0.1 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.0.1 -p tcp --sport 22 -j ACCEPT
|
-
2.放行httpd/nginx服務
|
1
2
|
iptables -I OUTPUT -s 192.168.0.1 -p tcp --sport 80 -j ACCEPT
iptables -I INPUT -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
|
-
-
3.放行本機端的流入流出
|
1
2
3
|
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -o lo -j ACCEPT
#不放行本機的流入與流出,訪問本機的httpd服務,網頁會出現Error establishing a database connection。
|
-
4.限制ping 192.168.0.1主機的數據包數,平均2/s個,最多不能超過3個
|
1
|
iptables -A INPUT -i ens33 -d 192.168.0.1 -p icmp --icmp-
type
8 -m limit --limit 2
/second
--limit-burst 3 -j ACCEPT
|
4.二、如何配置iptables
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
a) 1. 刪除現有規則
iptables -F
b) 2. 配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
c) 3. 容許遠程主機進行SSH鏈接
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
d) 4. 容許本地主機進行SSH鏈接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
e) 5. 容許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
|
4.三、iptables初始化腳本
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
|
#!/bin/bash
echo
"Setting firewall . . . . start"
#--------RULESET INIT----------#
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#------------------------------#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#------------------------------#
#zabbix
iptables -A INPUT -p tcp --destination-port 10050 -j ACCEPT
iptables -A INPUT -p udp --destination-port 10051 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 10050 -j ACCEPT
iptables -A OUTPUT -p udp --destination-port 10051 -j ACCEPT
#for web
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
#for mysql
iptables -A INPUT -p tcp --destination-port 3306 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 3306 -j ACCEPT
#for mail
iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 110 -j ACCEPT
#for ssh
iptables -A INPUT -p tcp -s any
/0
--destination-port 22 -j ACCEPT
iptables -N icmp_allowed
iptables -A icmp_allowed -p ICMP --icmp-
type
11 -j ACCEPT
iptables -A icmp_allowed -p ICMP --icmp-
type
8 -j ACCEPT
iptables -A icmp_allowed -p ICMP -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1
/s
-j ACCEPT
iptables -A FORWARD -p icmp --icmp-
type
echo
-request -m limit --limit 1
/s
-j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1
/s
-j ACCEPT
/etc/init
.d
/iptables
save
|
SNAT,DNAT
NAT:地址轉換
httpd,vsftpd
環境說明 192.168.0.10 192.168.0.1AND172.168.0.1 172.168.0.10
DNAT:目標地址轉換
SNAT:源地址轉換(POSTROUTING,OUTPUT只會在這兩條鏈作)
-j SANT
--to-source
-j MASQUERAED 自動獲取轉換的ip地址,只有是動態獲取的時候才能用,由於這個比SNAT效率低不少,由於自動指定,因此不用後面再加--to-source
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source 172.168.0.1
如何用撥號網卡上網
ADSL:123.2.3.2 ppp0表明撥號上網的網卡,第一張 也能夠指定一個範圍
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j SNAT --to-source 123.2.3.2-123.2.3.5
只放行httpd服務,跟icmp協議
iptables -P FORWARD DROP
iptables -L -n
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -p tcp --dport 80 -m state --state NEW -j ACCEPT
打開icmp
iptables -A FORWARD -s 192.168.0.0/16 -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT
打開ftp服務,必須加載這兩個模塊
vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_nat_ftp"
IPTABLES_MODULES="ip_conntrack_ftp"
iptables -A FORWARD -s 192.168.0.0/16 -p tcp --dport 21 -m state --state NEW -j ACCEPT
RELATED,附屬已存在的連接
iptables -R FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
httpd
環境說明 192.168.0.10 192.168.0.1AND172.168.0.1 172.168.0.10
-j DNAT 目標地址轉換
--to-destination ip[:port]
iptables -t nat -A PREROUTING -d 172.168.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10
端口轉換
iptables -t nat -R PREROUTING 1 -d 172.168.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10:8080
拒絕全部含有「h7n9」的頁面訪問
iptables -A FORWARD -m string --algo kmp --string "h7n9" -j DROP
一:防火牆是用於實現Linux下訪問控制的功能的,它分爲硬件的或者軟件的防火牆兩種。不管是在哪一個網絡中,防火牆工做的地方必定是在網絡的邊緣。而咱們的任務就是須要去定義到底防火牆如何工做,這就是防火牆的策略、規則,以達到讓它對出入網絡的IP、數據進行檢測。
目前市面上比較常見的有三、4層的防火牆,叫網絡層的防火牆,還有7層的防火牆,實際上是代理層的網關。
對於TCP/IP的七層模型來說,咱們知道第三層是網絡層,三層的防火牆會在這層對源地址和目標地址進行檢測。可是對於七層的防火牆,無論你源端口或者目標端口,源地址或者目標地址是什麼,都將對你全部的東西進行檢查。因此,對於設計原理來說,七層防火牆更加安全,可是這卻帶來了效率更低。因此市面上一般的防火牆方案,都是二者結合的。而又因爲咱們都須要從防火牆所控制的這個口來訪問,因此防火牆的工做效率就成了用戶可以訪問數據多少的一個最重要的控制,配置的很差甚至有可能成爲流量的瓶頸。
二:iptables 的歷史以及工做原理
1.iptables的發展:
iptables的前身叫ipfirewall (內核1.x時代),這是一個做者從freeBSD上移植過來的,可以工做在內核當中的,對數據包進行檢測的一款簡易訪問控制工具。可是ipfirewall工做功能極其有限(它須要將全部的規則都放進內核當中,這樣規則纔可以運行起來,而放進內核,這個作法通常是極其困難的)。當內核發展到2.x系列的時候,軟件改名爲ipchains,它能夠定義多條規則,將他們串起來,共同發揮做用,而如今,它叫作iptables,能夠將規則組成一個列表,實現絕對詳細的訪問控制功能。
他們都是工做在用戶空間中,定義規則的工具,自己並不算是防火牆。它們定義的規則,可讓在內核空間當中的netfilter來讀取,而且實現讓防火牆工做。而放入內核的地方必需要是特定的位置,必須是tcp/ip的協議棧通過的地方。而這個tcp/ip協議棧必須通過的地方,能夠實現讀取規則的地方就叫作 netfilter.(網絡過濾器)
做者一共在內核空間中選擇了5個位置,
1.內核空間中:從一個網絡接口進來,到另外一個網絡接口去的
2.數據包從內核流入用戶空間的
3.數據包從用戶空間流出的
4.進入/離開本機的外網接口
5.進入/離開本機的內網接口
2.iptables的工做機制
從上面的發展咱們知道了做者選擇了5個位置,來做爲控制的地方,可是你有沒有發現,其實前三個位置已經基本上能將路徑完全封鎖了,可是爲何已經在進出的口設置了關卡以後還要在內部卡呢? 因爲數據包還沒有進行路由決策,還不知道數據要走向哪裏,因此在進出口是沒辦法實現數據過濾的。因此要在內核空間裏設置轉發的關卡,進入用戶空間的關卡,從用戶空間出去的關卡。那麼,既然他們沒什麼用,那咱們爲何還要放置他們呢?由於咱們在作NAT和DNAT的時候,目標地址轉換必須在路由以前轉換。因此咱們必須在外網然後內網的接口處進行設置關卡。
這五個位置也被稱爲五個鉤子函數(hook functions),也叫五個規則鏈。
1.PREROUTING (路由前)
2.INPUT (數據包流入口)
3.FORWARD (轉發管卡)
4.OUTPUT(數據包出口)
5.POSTROUTING(路由後)
這是NetFilter規定的五個規則鏈,任何一個數據包,只要通過本機,必將通過這五個鏈中的其中一個鏈。
3.防火牆的策略
防火牆策略通常分爲兩種,一種叫「通」策略,一種叫「堵」策略,通策略,默認門是關着的,必需要定義誰能進。堵策略則是,大門是洞開的,可是你必須有身份認證,不然不能進。因此咱們要定義,讓進來的進來,讓出去的出去,因此通,是要全通,而堵,則是要選擇。當咱們定義的策略的時候,要分別定義多條功能,其中:定義數據包中容許或者不容許的策略,filter過濾的功能,而定義地址轉換的功能的則是nat選項。爲了讓這些功能交替工做,咱們制定出了「表」這個定義,來定義、區分各類不一樣的工做功能和處理方式。
咱們如今用的比較多個功能有3個:
1.filter 定義容許或者不容許的
2.nat 定義地址轉換的
3.mangle功能:修改報文原數據
咱們修改報文原數據就是來修改TTL的。可以實現將數據包的元數據拆開,在裏面作標記/修改內容的。而防火牆標記,其實就是靠mangle來實現的。
小擴展:
對於filter來說通常只能作在3個鏈上:INPUT ,FORWARD ,OUTPUT
對於nat來說通常也只能作在3個鏈上:PREROUTING ,OUTPUT ,POSTROUTING
而mangle則是5個鏈均可以作:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
iptables/netfilter(這款軟件)是工做在用戶空間的,它可讓規則進行生效的,自己不是一種服務,並且規則是當即生效的。而咱們iptables如今被作成了一個服務,能夠進行啓動,中止的。啓動,則將規則直接生效,中止,則將規則撤銷。
iptables還支持本身定義鏈。可是本身定義的鏈,必須是跟某種特定的鏈關聯起來的。在一個關卡設定,指定當有數據的時候專門去找某個特定的鏈來處理,當那個鏈處理完以後,再返回。接着在特定的鏈中繼續檢查。
注意:規則的次序很是關鍵,誰的規則越嚴格,應該放的越靠前,而檢查規則的時候,是按照從上往下的方式進行檢查的。
三.規則的寫法:
iptables定義規則的方式比較複雜:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3個filter nat mangle
COMMAND:定義如何對規則進行管理
chain:指定你接下來的規則究竟是在哪一個鏈上操做的,當定義策略的時候,是能夠省略的
CRETIRIA:指定匹配標準
-j ACTION :指定如何進行處理
好比:不容許172.16.0.0/24的進行訪問。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
固然你若是想拒絕的更完全:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT
iptables -L -n -v #查看定義規則的詳細信息
四:詳解COMMAND:
1.鏈管理命令(這都是當即生效的)
-P :設置默認策略的(設定默認門是關着的仍是開着的)
默認策略通常只有兩種
iptables -P INPUT (DROP|ACCEPT) 默認是關的/默認是開的
好比:
iptables -P INPUT DROP 這就把默認規則給拒絕了。而且沒有定義哪一個動做,因此關於外界鏈接的全部規則包括Xshell鏈接之類的,遠程鏈接都被拒絕了。
-F: FLASH,清空規則鏈的(注意每一個鏈的管理權限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的全部鏈
-N:NEW 支持用戶新建一個鏈
iptables -N inbound_tcp_web 表示附在tcp表上用於檢查web的。
-X: 用於刪除用戶自定義的空鏈
使用方法跟-N相同,可是在刪除以前必需要將裏面的鏈給清空昂了
-E:用來Rename chain主要是用來給用戶自定義的鏈重命名
-E oldname newname
-Z:清空鏈,及鏈中默認規則的計數器的(有兩個計數器,被匹配到多少個數據包,多少個字節)
iptables -Z :清空
2.規則管理命令
-A:追加,在當前鏈的最後新增一個規則
-I num : 插入,把當前規則插入爲第幾條。
-I 3 :插入爲第三條
-R num:Replays替換/修改第幾條規則
格式:iptables -R 3 …………
-D num:刪除,明確指定刪除第幾條規則
3.查看管理命令 「-L」
附加子命令
-n:以數字的方式顯示ip,它會將ip直接顯示出來,若是不加-n,則會將ip反向解析成主機名。
-v:顯示詳細信息
-vv
-vvv :越多越詳細
-x:在計數器上顯示精確值,不作單位換算
--line-numbers : 顯示規則的行號
-t nat:顯示全部的關卡的信息
五:詳解匹配標準
1.通用匹配:源地址目標地址的匹配
-s:指定做爲源地址匹配,這裏不能指定主機名稱,必須是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
並且地址能夠取反,加一個「!」表示除了哪一個IP以外
-d:表示匹配目標地址
-p:用於匹配協議的(這裏的協議一般有3種,TCP/UDP/ICMP)
-i eth0:從這塊網卡流入的數據
流入通常用在INPUT和PREROUTING上
-o eth0:從這塊網卡流出的數據
流出通常在OUTPUT和POSTROUTING上
2.擴展匹配
2.1隱含擴展:對協議的擴展
-p tcp :TCP協議的擴展。通常有三種擴展
--dport XX-XX:指定目標端口,不能指定多個非連續端口,只能指定單個端口,好比
--dport 21 或者 --dport 21-23 (此時表示21,22,23)
--sport:指定源端口
--tcp-fiags:TCP的標誌位(SYN,ACK,FIN,PSH,RST,URG)
對於它,通常要跟兩個參數:
1.檢查的標誌位
2.必須爲1的標誌位
--tcpflags syn,ack,fin,rst syn = --syn
表示檢查這4個位,這4個位中syn必須爲1,其餘的必須爲0。因此這個意思就是用於檢測三次握手的第一次包的。對於這種專門匹配第一包的SYN爲1的包,還有一種簡寫方式,叫作--syn
-p udp:UDP協議的擴展
--dport
--sport
-p icmp:icmp數據報文的擴展
--icmp-type:
echo-request(請求回顯),通常用8 來表示
因此 --icmp-type 8 匹配請求回顯數據包
echo-reply (響應的數據包)通常用0來表示
2.2顯式擴展(-m)
擴展各類模塊
-m multiport:表示啓用多端口擴展
以後咱們就能夠啓用好比 --dports 21,23,80
六:詳解-j ACTION
經常使用的ACTION:
DROP:悄悄丟棄
通常咱們多用DROP來隱藏咱們的身份,以及隱藏咱們的鏈表
REJECT:明示拒絕
ACCEPT:接受
custom_chain:轉向一個自定義的鏈
DNAT
SNAT
MASQUERADE:源地址假裝
REDIRECT:重定向:主要用於實現端口重定向
MARK:打防火牆標記的
RETURN:返回
在自定義鏈執行完畢後使用返回,來返回原規則鏈。
練習題1:
只要是來自於172.16.0.0/16網段的都容許訪問我本機的172.16.100.1的SSHD服務
分析:首先確定是在容許表中定義的。由於不須要作NAT地址轉換之類的,而後查看咱們SSHD服務,在22號端口上,處理機制是接受,對於這個表,須要有一來一回兩個規則,若是咱們容許也好,拒絕也好,對於訪問本機服務,咱們最好是定義在INPUT鏈上,而OUTPUT再予以定義就好。(會話的初始端先定義),因此加規則就是:
定義進來的: iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT
定義出去的: iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT
將默認策略改爲DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
七:狀態檢測:
是一種顯式擴展,用於檢測會話之間的鏈接關係的,有了檢測咱們能夠實現會話間功能的擴展
什麼是狀態檢測?對於整個TCP協議來說,它是一個有鏈接的協議,三次握手中,第一次握手,咱們就叫NEW鏈接,而從第二次握手之後的,ack都爲1,這是正常的數據傳輸,和tcp的第二次第三次握手,叫作已創建的鏈接(ESTABLISHED),還有一種狀態,比較詭異的,好比:SYN=1 ACK=1 RST=1,對於這種咱們沒法識別的,咱們都稱之爲INVALID沒法識別的。還有第四種,FTP這種古老的擁有的特徵,每一個端口都是獨立的,21號和20號端口都是一去一回,他們之間是有關係的,這種關係咱們稱之爲RELATED。
因此咱們的狀態一共有四種:
NEW
ESTABLISHED
RELATED
INVALID
因此咱們對於剛纔的練習題,能夠增長狀態檢測。好比進來的只容許狀態爲NEW和ESTABLISHED的進來,出去只容許ESTABLISHED的狀態出去,這就能夠將比較常見的反彈式木馬有很好的控制機制。
對於練習題的擴展:
進來的拒絕出去的容許,進來的只容許ESTABLISHED進來,出去只容許ESTABLISHED出去。默認規則都使用拒絕
iptables -L -n --line-number :查看以前的規則位於第幾行
改寫INPUT
iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT
此時若是想再放行一個80端口如何放行呢?
iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT
練習題2:
假如咱們容許本身ping別人,可是別人ping本身ping不通如何實現呢?
分析:對於ping這個協議,進來的爲8(ping),出去的爲0(響應).咱們爲了達到目的,須要8出去,容許0進來
在出去的端口上:iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
在進來的端口上:iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
小擴展:對於127.0.0.1比較特殊,咱們須要明肯定義它
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
八:SNAT和DNAT的實現
因爲咱們如今IP地址十分緊俏,已經分配完了,這就致使咱們必需要進行地址轉換,來節約咱們僅剩的一點IP資源。那麼經過iptables如何實現NAT的地址轉換呢?
1.SNAT基於原地址的轉換
基於原地址的轉換通常用在咱們的許多內網用戶經過一個外網的口上網的時候,這時咱們將咱們內網的地址轉換爲一個外網的IP,咱們就能夠實現鏈接其餘外網IP的功能。
因此咱們在iptables中就要定義到底如何轉換:
定義的樣式:
好比咱們如今要將全部192.168.10.0網段的IP在通過的時候全都轉換成172.16.100.1這個假設出來的外網地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1
這樣,只要是來自本地網絡的試圖經過網卡訪問網絡的,都會被通通轉換成172.16.100.1這個IP.
那麼,若是172.16.100.1不是固定的怎麼辦?
咱們都知道當咱們使用聯通或者電信上網的時候,通常它都會在每次你開機的時候隨機生成一個外網的IP,意思就是外網地址是動態變換的。這時咱們就要將外網地址換成 MASQUERADE(動態假裝):它能夠實現自動尋找到外網地址,而自動將其改成正確的外網地址。因此,咱們就須要這樣設置:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
這裏要注意:地址假裝並不適用於全部的地方。
2.DNAT目標地址轉換
對於目標地址轉換,數據流向是從外向內的,外面的是客戶端,裏面的是服務器端經過目標地址轉換,咱們可讓外面的ip經過咱們對外的外網ip來訪問咱們服務器不一樣的服務器,而咱們的服務卻放在內網服務器的不一樣的服務器上。
如何作目標地址轉換呢?:
iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2
目標地址轉換要作在到達網卡以前進行轉換,因此要作在PREROUTING這個位置上
九:控制規則的存放以及開啓
注意:你所定義的全部內容,當你重啓的時候都會失效,要想咱們可以生效,須要使用一個命令將它保存起來
1.service iptables save 命令
它會保存在/etc/sysconfig/iptables這個文件中
2.iptables-save 命令
iptables-save > /etc/sysconfig/iptables
3.iptables-restore 命令
開機的時候,它會自動加載/etc/sysconfig/iptabels
若是開機不能加載或者沒有加載,而你想讓一個本身寫的配置文件(假設爲iptables.2)手動生效的話:
iptables-restore <>
則完成了將iptables中定義的規則手動生效
十:總結
Iptables是一個很是重要的工具,它是每個防火牆上幾乎必備的設置,也是咱們在作大型網絡的時候,爲了不少緣由而必需要設置的。學好Iptables,可讓咱們對整個網絡的結構有一個比較深入的瞭解,同時,咱們還可以將內核空間中數據的走向以及linux的安全給掌握的很是透徹。咱們在學習的時候,儘可能能結合着各類各樣的項目,實驗來完成,這樣對你加深iptables的配置,以及各類技巧有很是大的幫助。