iptables之二基本應用

iptables概述

iptables是一個規則管理工具，它能實現規則的：

    添加、修改、刪除、顯示等相關功能；固然也能完成默認規則的定義等等。

    另外iptables還有一個好處在於在實現規則添加時它能自動完成規則的語法檢查。

    其實iptables全部規則編寫好後都是送往內核的netfilter上去的，而netfilter的功能輸出是經過一個系統調用來輸出的。因此咱們也能夠本身編寫規則並調用系統調用將規則送進去，不過，對於咱們來說，像這種咱們編寫的規則即使送進去後萬一出現語法錯誤的話將會形成netfilter工做異常，因此就開發了一個專門的能幫咱們去檢查語法編寫規則並將規則直接經過系統調用送往netfilter的一個工具即iptables。

　　對於iptables來說，添加到內核的稱爲規則，規則要添加到鏈上，而爲了統計每一條規則被放置到鏈上後它匹配到了多少個報文。因此：規則和鏈是有計數器的；它能顯示本身從啓用開始到此刻爲止一共匹配到多少個數據包等等。而每個規則和每個鏈本身默認都有兩個計數器：

    pkts：由規則或鏈所匹配到的報文的個數；

    bytes：（字節數）由規則或鏈匹配到的全部報文大小之和；

  

iptables命令

基本語法：

　　iptables [-t table]（table省略的話默認是filter） SUBCOMMAND（子命令） CHINA（指定對於表的哪個鏈進行管理） CRETERIA（匹配標準） -j TARGET（指明處理動做）

　　iptables [-t table] {-A|-C|-D} chain rule-specification
　　ip6tables [-t table] {-A|-C|-D} chain rule-specification
　　iptables [-t table] -I chain [rulenum] rule-specification
　　iptables [-t table] -R chain rulenum rule-specification
　　iptables [-t table] -D chain rulenum
　　iptables [-t table] -S [chain [rulenum]]
　　iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
　　iptables [-t table] -N chain
　　iptables [-t table] -X [chain]
　　iptables [-t table] -P chain target
　　iptables [-t table] -E old-chain-name new-chain-name

 注意：

• 　　iptables在編寫的時候一般指定一個子命令，指明這個子命令做用在哪一個鏈上而且在這個鏈上匹配規則時有什麼樣的匹配標準，一旦匹配到之後咱們作出什麼樣的處理。不過不一樣的命令和用法是不同的。
•     -t table：table一共只有四個：filter、nat、mangle、raw，省略爲filter；

   

這些子命令大體能夠分爲兩類：

　　一類是對鏈管理的（鏈管理命令）：

　　-F：flush，清空規則鏈；省略鏈，表示清空指定表上的全部的鏈；
　　-N：new，建立新的自定義規則鏈（不能重名）；
　　-X：drop，刪除用戶自定義的空的規則鏈（若是有規則須要使用-F清空）；
　　-Z：zero，清零，置零規則計數器的；
　　-P：Policy，爲指定鏈設置默認策略；對於filter表中的鏈而言，默認策略一般有ACCEPT（放行報文）、DROP（丟棄報文，相似於對方ping時不存在主機）、REJECT（拒絕報文）；
　　-E：rEname，重命名自定義鏈；引用（使用-j把一個鏈放在target的時候就叫引用）計數不爲0的自定義鏈沒法更名，也沒法刪除；

　　一類是對規則管理的（規則管理命令）：

　　-A：append，將新的規則追加於指定鏈的尾部；
　　-I：insert，將新規則插入指定鏈的指定位置；（按規則編號進行指定），省略時表示鏈的第一條。
　　-D：delete，刪除指定鏈上的指定規則：
　　-R：replace，替換指定鏈上的指定規則；

　　　規則有兩種指定方式：

• （1）  指定匹配條件；
• （2）  指定規則標號

          

查看：

　　-L ：list，列出指定鏈上的全部規則；（-L在應用時，它與此前的route或netstat命令同樣，因爲能顯示出IP地址和端口來因此它老是會反解，那反解帶來的結果是速度會很慢）
　　-n：numberic，以數字格式顯示地址和端口號；即不反解
　　-v：verbose，顯示詳細信息；（能夠顯示出規則計數器）
　　-vv，-vvv（v越多顯示的格式越詳細）
　　--line-numbers：顯示規則編號；（在一個鏈上若是有多條規則出現的話，對這個鏈上的規則編號後顯示）
　　-x：exactly，顯示計數器計數結果的精確值，每個鏈即每個鏈上都有計數器，當這個計數器的數量很大時，它會自動作單位換算，並且單位換算後可能會自動取整，
　　　　獲得的值就不是精確結果了，因此若是不指望其自動單位換算就使用此選項。

 

舉例：

　　刪除全部用戶自定義的空鏈：

　　重命名：

　　重啓查看：

　　　　port：協議，通常只有TCP、UDP、ICMP三種；

　　　　opt：選項；

　　　　source：表示指明匹配源地址的範圍；

　　　　destination：指明匹配目標地址；

　　　　ctstate：鏈接追蹤機制；

　　使用-v時每條規則前多了兩個計數器：

　　修改鏈的默認策略：

　　重啓服務：

　　顯示規則對應的編號：

　　刪除其第七條規則：

　　顯示更詳細的信息：

　　不作單位換算：

 

規則的匹配條件：

　(1).基本匹配（通用匹配）

• [!]（中括號表示可省，!爲取反） -s、-src、--source IP|Netaddr（不加!表示正向匹配，加!表示反向匹配即不被所指定地址所包含的反而是符合條件的）：檢查報文中的源IP地址是否符合或是否屬於此處指定的地址範圍；
• [!] –d、--dest、--destination IP|Netaddr：檢查報文中的目標IP地址是否符合此處指定的地址範圍（INPUT和OUTPUT的源地址和目標地址是不同的，通常是相反的）
• [!] –p、--protocol {tcp|udp|icmp}（此處協議爲傳輸層協議）：檢查報文中的協議，即IP首部中的protocols所標識的協議；
• [!] –i、--in-interface INTERFACE：數據報文的流入接口（從哪一個接口進入本機的，假若有三塊網卡，只對第一塊網卡作數據流入檢查）；僅能用於PREROUTING、INPUT、FORWARD鏈上；
• [!] –o、--out-interface INTERFACE：檢查數據報文的流出接口；僅能用於FORWARD、OUTPUT、POSTROUTING鏈上；

　(2).擴展匹配：（支持添加額外的模塊實現動態擴展功能）

　　查看擴展可以使用：

　　擴展實現的功能分爲兩類，一類爲對檢查的匹配條件作擴展,二爲對目標作擴展，像SNAT、REJECT、LOG…就是經過模塊來完成的。大寫的都是TARGET，小寫的都是能夠作匹配條件的。而對於協議來說，協議自己還能夠作一些擴展，因此當使用擴展匹配時須要使用-m MATCH_NAME指明咱們要使用擴展匹配了，而後每個擴展都有本身的專用選項，使用--spec_options，例如想檢查TCP端口號：-m tcp –dport 22表示使用TCP擴展，而這個擴展有一個專用選項叫作dport，而咱們匹配到的22號端口。

       隱式擴展：對-p protocol指明的協議進行的擴展，可省略-m選項；

       隱式擴展指的是，如：已經使用-p指明TCP了，上述例子的-m tcp就能夠不用寫了。對tcp、upd、ICMP等協議進行擴展時，若是使用-p已經指明是哪一種協議了，而-m再指明加載這個協議不用再寫，這就是隱式擴展。

•        -p tcp

           有三個擴展：

• • • 　　--dport PORT[-PORT]：目標端口匹配，能夠是單個端口，也能夠是連續多個的端口；
    • 　　--sport PORT[-PORT]：匹配源端口，能夠是單個端口，也能夠是連續多個的端口；
    • 　　--tcp-flags LIST1 LIST2：用來指明檢查者六個標識位中的哪些個而且哪些個必須爲1哪些個必須爲0。檢查LIST1所指明的全部標識位，且這其中LIST2所表示出的全部標識位必須爲1，而餘下的必須爲0；沒在LIST1中指明的，不作檢查；

　　　　　　　　標識位以下：

　　                SYN（請求同步）、ACK（確認號有效）、FIN（斷開請求）、RST（重置鏈接）、PSH（Push，推送，表示收到一個報文後，不要在緩存隊列中緩存而是當即送給應用程序）、URG（緊急指定有效）

                例：--tcp-flags SYN,ACK,FIN,RST SYN    #表示只檢查SYN、ACK、FIN、RST這四個位，PSH和URG是什麼都行，單這四個位中要求SYN必須爲1，其它必須爲0；至關於TCP三次握手的第一次。還有一個簡寫方式叫—syn（檢查是否爲新建TCP鏈接的第一次請求）

•        -p udp
  • 　　--dport
  • 　　--sport
•        -p icmp

         　　 --icmp-type：ICMP報文類型很是多，能夠去搜索ICMP Type。

         可用數字表示其類型：0（echo-reply回顯應答）、8（echo-request）（ping別人發送的報文類型爲8，別人給的響應報文類型爲0），在匹配時，一般只須要限制0和8。請求和應答不同這帶給咱們的直接結果就是可讓主機ping別人，別人不能ping咱們，僅容許出去的是8，進來的是0，那麼若是進來的是8那就別人進不來了。

      顯示擴展：必須使用-m選項指定使用的擴展；（到後面在進行詳細介紹）

 

目標（TARGET）（即匹配到條件後的執行動做）：

    -j TARGET：jump，跳轉到指定TARGET處理

    TAEGET有：

•        ACCEPT（接受）
•        DROP（丟棄）
•        REJECT（拒絕）
•        RETURN（返回至調用鏈）
•        REDIRECT（端口重定向，如：原本訪問的80改成8080）
•        LOG（記錄日誌，將訪問記錄至日誌文件中）
•        MARK（作防火牆標記）
•        DNAT（目標地址轉換）
•        SNAT（源地址轉換）
•        MASQUERADE（地址假裝）
• 　　　 …
•        自定義鏈（由自定義鏈上的規則進行匹配檢查；使用自定義鏈是由於當一個鏈上的規則過多時能夠把功能相近的放在一個鏈上未來作單獨管理）

 

編寫規則示例：

　　凡是訪問本機的報文屬於TCP協議的通通都放行：

　　凡是由本機發送出去的TCP報文跟任何主機通訊都容許出去：

　　將filter表的全部鏈的默認策略都改成DROP：

    所以，此時只要不是TCP協議的通通DROP，將訪問不成，而ssh協議是TCP協議，所以遠程鏈接不會斷開。所以先寫的那兩個規則是讓遠程鏈接不斷開的相當重要的前提。

 

　　此時非TCP協議的就沒法訪問了：

　　修改ICMP容許INPUT：

　　可是此時爲何仍是不行呢？

　　由於響應報文沒法發送出去，所以仍是不能通訊。

　　添加一條規則便可：

　　未來要拒絕某我的訪問，可在INPUT與OUTPUT實現，固然最好是在INPUT上拒絕，防患於未然。

　　注意：爲了防止寫規則時一不當心拒絕了SSH遠程鏈接命令，尤爲是測試新規則時，可作以下處理：

　　　　或者：將iptables後的-F改爲-P，INPUT與OUTPUT爲ACCEPT

　　　　或者：也能夠定義一個近期任務計劃10分鐘後執行，寫一個腳本，將全部策略通通置爲ACCEPT，把全部規則通通清空，讓其5分鐘後再執行。先提醒一個任務計劃測這個腳本，一測連不上去，等5分鐘便可。

 

　　下面咱們來作流入報文接口限制：

　　那麼放行ssh服務時怎麼只單獨放行一個而非是全部TCP協議的端口呢？咱們來試試：

　　　　測試一下：

　　　　　　使用Web服務做比較：

　　　　　　刪除其它規則後：

　　　　　　測試：

　　　　　　　　此時沒法訪問；

　　　　　　　　要想Web服務能夠被訪問，須要開啓80端口，本身動手實現便可。

 

　　實現容許ping別人，不容許別人ping本身，演示：