linux防火牆iptables詳細教程
2.1 框架圖
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle | mangle ^ mangle
nat | filter | nat
| |
| |
v |
INPUT OUTPUT
| mangle ^ mangle
| filter | nat
v ------>local------->| filter
2.2 鏈和表
表
filter: 顧名思義,用於過濾的時候
nat: 顧名思義,用於作 NAT 的時候
NAT:Network Address Translator
鏈
INPUT: 位於 filter 表,匹配目的 IP 是本機的數據包
FORWARD: 位於 filter 表,匹配穿過本機的數據包,
PREROUTING: 位於 nat 表,用於修改目的地址(DNAT)
POSTROUTING:位於 nat 表,用於修改源地址 (SNAT)
3.1 iptables 語法概述
iptables [-t 要操做 的表]
<操做 命令>
[要操做 的鏈]
[規則號碼]
[匹配條件]
[-j 匹配到之後的動做]
3.2 命令概述
操做 命令(-A、-I、-D、-R、-P、-F)
查看命令(-[vnx]L)
3.2.1 -A
-A <鏈名>
APPEND,追加一條規則(放到最後)
例如:
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 鏈裏追加一條規則(做爲最後一條規則)
匹配全部訪問本機 IP 的數據包,匹配到的丟棄
3.2.2 -I
-I <鏈名> [規則號碼]
INSERT,插入一條規則
例如:
iptables -I INPUT -j DROP
在 filter 表的 INPUT 鏈裏插入一條規則(插入成第 1 條)
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 鏈裏插入一條規則(插入成第 3 條)
注意: 一、-t filter 可不寫,不寫則自動默認是 filter 表
二、-I 鏈名 [規則號碼],若是不寫規則號碼,則默認是 1
三、確保規則號碼 ≤ (已有規則數 + 1),不然報錯
3.2.3 -D
-D <鏈名> <規則號碼 | 具體規則內容>
DELETE,刪除一條規則
例如:
iptables -D INPUT 3(按號碼匹配)
刪除 filter 表 INPUT 鏈中的第三條規則(無論它的內容是什麼)
iptables -D INPUT -s 192.168.0.1 -j DROP(按內容匹配)
刪除 filter 表 INPUT 鏈中內容爲「-s 192.168.0.1 -j DROP」的規則
(無論其位置在哪裏)
注意:
一、若規則列表中有多條相同的規則時,按內容匹配只刪除序號最小的一條
二、按號碼匹配刪除時,確保規則號碼 ≤ 已有規則數,不然報錯
三、按內容匹配刪除時,確保規則存在,不然報錯
3.2.3 -R
-R <鏈名> <規則號碼> <具體規則內容>
REPLACE,替換一條規則
例如:
iptables -R INPUT 3 -j ACCEPT
將原來編號爲 3 的規則內容替換爲「-j ACCEPT」
注意:
確保規則號碼 ≤ 已有規則數,不然報錯
3.2.4 -P
-P <鏈名> <動做>
POLICY,設置 某個鏈的默認規則
例如:
iptables -P INPUT DROP
設置 filter 表 INPUT 鏈的默認規則是 DROP
注意:
當數據包沒有被規則列表裏的任何規則匹配到時,按此默認規則處理
3.2.5 -F
-F [鏈名]
FLUSH,清空規則
例如:
iptables -F INPUT
清空 filter 表 INPUT 鏈中的全部規則
iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 鏈中的全部規則
注意:
一、-F 僅僅是清空鏈中規則,並不影響 -P 設置 的默認規則
二、-P 設置 了 DROP 後,使用 -F 必定要當心!!!
三、若是不寫鏈名,默認清空某表裏全部鏈裏的全部規則
3.2.6 -[vxn]L
-L [鏈名]
LIST,列出規則
v:顯示詳細信息,包括每條規則的匹配包數量和匹配字節數
x:在 v 的基礎上,禁止自動單位換算(K、M)
n:只顯示 IP 地址和端口號碼,不顯示域名和服務 名稱
例如:
iptables -L
粗略列出 filter 表全部鏈及全部規則
iptables -t nat -vnL
用詳細方式列出 nat 表全部鏈的全部規則,只顯示 IP 地址和端口號
iptables -t nat -vxnL PREROUTING
用詳細方式列出 nat 表 PREROUTING 鏈的全部規則以及詳細數字,不反解
3.3 匹配條件
流入、流出接口(-i、-o)
來源、目的地址(-s、-d)
協議類型 (-p)
來源、目的端口(--sport、--dport)
3.3.1 按網絡 接口匹配
-i <匹配數據進入的網絡 接口>
例如:
-i eth0
匹配是否從網絡 接口 eth0 進來
-i ppp0
匹配是否從網絡 接口 ppp0 進來
-o 匹配數據流出的網絡 接口
例如:
-o eth0
-o ppp0
3.3.2 按來源目的地址匹配
-s <匹配來源地址>
能夠是 IP、NET、DOMAIN,也可空(任何地址)
例如:
-s 192.168.0.1 匹配來自 192.168.0.1 的數據包
-s 192.168.1.0/24 匹配來自 192.168.1.0/24 網絡 的數據包
-s 192.168.0.0/16 匹配來自 192.168.0.0/16 網絡 的數據包
-d <匹配目的地址>
能夠是 IP、NET、DOMAIN,也能夠空
例如:
-d 202.106.0.20 匹配去往 202.106.0.20 的數據包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 網絡 的數據包
-d www.abc.com 匹配去往域名 www.abc.com 的數據包
3.3.3 按協議類型匹配
-p <匹配協議類型>
能夠是 TCP、UDP、ICMP 等,也可爲空
例如:
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8 pong: type 0
3.3.4 按來源目的端口匹配
--sport <匹配源端口>
能夠是個別端口,能夠是端口範圍
例如:
--sport 1000 匹配源端口是 1000 的數據包
--sport 1000:3000 匹配源端口是 1000-3000 的數據包(含1000、3000)
--sport :3000 匹配源端口是 3000 如下的數據包(含 3000)
--sport 1000: 匹配源端口是 1000 以上的數據包(含 1000)
--dport <匹配目的端口>
能夠是個別端口,能夠是端口範圍
例如:
--dport 80 匹配源端口是 80 的數據包
--dport 6000:8000 匹配源端口是 6000-8000 的數據包(含6000、8000)
--dport :3000 匹配源端口是 3000 如下的數據包(含 3000)
--dport 1000: 匹配源端口是 1000 以上的數據包(含 1000)
注意:--sport 和 --dport 必須配合 -p 參數使用
3.3.5 匹配應用舉例
一、端口匹配
-p udp --dport 53
匹配網絡 中目的地址是 53 的 UDP 協議數據包
二、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的全部數據包
三、端口和地址聯合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 協議數據包
注意:
一、--sport、--dport 必須聯合 -p 使用,必須指明協議類型是什麼
二、條件寫的越多,匹配越細緻,匹配範圍越小
3.4 動做(處理方式)
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
3.4.1 -j ACCEPT
-j ACCEPT
經過,容許數據包經過本鏈而不攔截它
相似 Cisco 中 ACL 裏面的 permit
例如:
iptables -A INPUT -j ACCEPT
容許全部訪問本機 IP 的數據包經過
3.4.2 -j DROP
-j DROP
丟棄,阻止數據包經過本鏈而丟棄它
相似 Cisco 中 ACL 裏的 deny
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止來源地址爲 192.168.80.39 的數據包經過本機
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 鏈)
源地址轉換,SNAT 支持轉換爲單 IP,也支持轉換到 IP 地址池
(一組連續的 IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
將內網 192.168.0.0/24 的原地址修改成 1.1.1.1,用於 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上,只不過修改爲一個地址池裏的 IP
3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 鏈)
目的地址轉換,DNAT 支持轉換爲單 IP,也支持轉換到 IP 地址池
(一組連續的 IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把從 ppp0 進來的要訪問 TCP/80 的數據包目的地址改成 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10
3.4.5 -j MASQUERADE
-j MASQUERADE
動態源地址轉換(動態 IP 的狀況下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是 192.168.0.0/24 的數據包進行地址假裝
3.5 附加模塊
按包狀態匹配 (state)
按來源 MAC 匹配(mac)
按包速率匹配 (limit)
多端口匹配 (multiport)
3.5.1 state
-m state --state 狀態
狀態:NEW、RELATED、ESTABLISHED、INVALID
NEW:有別於 tcp 的 syn
ESTABLISHED:鏈接態
RELATED:衍生態,與 conntrack 關聯(FTP)
INVALID:不能被識別屬於哪一個鏈接或沒有任何狀態
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT
3.5.2 mac
-m mac --mac-source MAC
匹配某個 MAC 地址
例如:
iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \
-j DROP
阻斷來自某 MAC 地址的數據包,經過本機
注意:
MAC 地址不過路由,不要試圖去匹配路由後面的某個 MAC 地址
3.5.3 limit
-m limit --limit 匹配速率 [--burst 緩衝數量]
用必定速率去匹配數據包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
-j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 僅僅是用必定的速率去匹配數據包,並不是 「限制」
3.5.4 multiport
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個端口,能夠區分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiports --ports \
21,22,25,80,110 -j ACCEPT
注意:
必須與 -p 參數一塊兒使用
4. 實例分析
單服務 器的防禦
如何作網關
如何限制內網用戶
內網如何作對外服務 器
鏈接追蹤模塊
4.1 單服務 器的防禦
弄清對外服務 對象
書寫規則
網絡 接口 lo 的處理
狀態監測的處理
協議 + 端口的處理
實例:一個普通的 web 服務 器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意:確保規則循序正確,弄清邏輯關係,學會時刻使用 -vnL
4.2 如何作網關
弄清網絡 拓撲
本機上網
設置 nat
啓用路由轉發
地址假裝 SNAT/MASQUERADE
實例:ADSL 撥號上網的拓撲
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE
4.3 如何限制內網用戶
過濾位置 filer 表 FORWARD 鏈
匹配條件 -s -d -p --s/dport
處理動做 ACCEPT DROP
實例:
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 內網如何作對外服務 器
服務 協議(TCP/UDP)
對外服務 端口
內部服務 器私網 IP
內部真正服務 端口
實例:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80
4.5 鏈接追蹤模塊
爲何要使用鏈接追蹤模塊
FTP 協議的傳輸原理
傳統防火牆的作法
如何使用
4.5.1 FTP 協議傳輸原理
使用端口
command port
data port
傳輸模式
主動模式(ACTIVE)
被動模式(PASSIVE)
4.5.1 FTP 協議傳輸原理
主動模式
client server
xxxx |---|----------|-->| 21
yyyy |<--|----------|---| 20
FW1 FW2
被動模式
client server
xxxx |---|----------|--->| 21
yyyy |---|----------|--->| zzzz
FW1 FW2
4.5.2 傳統防火牆的作法
只使用主動模式,打開 TCP/20
防火牆打開高範圍端口
配置 FTP 服務 ,減少被動模式端口範圍
4.5.3 如何使用鏈接追蹤模塊
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 網管策略
怕什麼
能作什麼
讓什麼 vs 不讓什麼
三大「紀律」五項「注意」
其餘注意事項
5.1 必加項
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可選方案
堵:
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \
-j ACCEPT
iptables -P FORWARD DROP
5.3 三大「紀律」五項「注意」
三大「紀律」——專表專用
filter
nat
mangle
五項「注意」——注意數據包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
5.4 其餘注意事項
養成好的習慣
iptables -vnL
iptables -t nat -vnL
iptables-save
注意邏輯順序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT
學會寫簡單的腳本
6. FAQ.1
Q:我設置 了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
爲什麼內網用戶仍是能夠訪問那個地址?
A:filter 表的 OUTPUT 鏈是本機訪問外面的必經之路,內網數據不通過該鏈
Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
爲什麼內網用戶仍是能夠訪問那個地址?
A:檢查整個規則是否存在邏輯錯誤,看是否在 DROP 前有 ACCEPT
Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
這條語句爲什麼報錯?
A:POSTROUTING 鏈不支持「流入接口」 -i 參數
同理,PREROUTING 鏈不支持「流出接口」 -o 參數
6. FAQ.2
Q:我應該怎麼查看某個模塊具體該如何使用?
A:ipitables -m 模塊名 -h
Q:執行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中,
缺乏與 xxx 模塊有關的文件,或缺乏與 yyy 動做有關的文件
名字爲 ipt_xxx.o(2.4內核) 或 ipt_yyy.ko(2.6內核)
Q:腳本寫好了,內網上網沒問題,FTP 訪問不正常,沒法列出目錄,爲何?
A:缺乏 ip_nat_ftp 這個模塊,modprobe ip_nat_ftp
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle | mangle ^ mangle
nat | filter | nat
| |
| |
v |
INPUT OUTPUT
| mangle ^ mangle
| filter | nat
v ------>local------->| filter
2.2 鏈和表
表
filter: 顧名思義,用於過濾的時候
nat: 顧名思義,用於作 NAT 的時候
NAT:Network Address Translator
鏈
INPUT: 位於 filter 表,匹配目的 IP 是本機的數據包
FORWARD: 位於 filter 表,匹配穿過本機的數據包,
PREROUTING: 位於 nat 表,用於修改目的地址(DNAT)
POSTROUTING:位於 nat 表,用於修改源地址 (SNAT)
3.1 iptables 語法概述
iptables [-t 要操做 的表]
<操做 命令>
[要操做 的鏈]
[規則號碼]
[匹配條件]
[-j 匹配到之後的動做]
3.2 命令概述
操做 命令(-A、-I、-D、-R、-P、-F)
查看命令(-[vnx]L)
3.2.1 -A
-A <鏈名>
APPEND,追加一條規則(放到最後)
例如:
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 鏈裏追加一條規則(做爲最後一條規則)
匹配全部訪問本機 IP 的數據包,匹配到的丟棄
3.2.2 -I
-I <鏈名> [規則號碼]
INSERT,插入一條規則
例如:
iptables -I INPUT -j DROP
在 filter 表的 INPUT 鏈裏插入一條規則(插入成第 1 條)
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 鏈裏插入一條規則(插入成第 3 條)
注意: 一、-t filter 可不寫,不寫則自動默認是 filter 表
二、-I 鏈名 [規則號碼],若是不寫規則號碼,則默認是 1
三、確保規則號碼 ≤ (已有規則數 + 1),不然報錯
3.2.3 -D
-D <鏈名> <規則號碼 | 具體規則內容>
DELETE,刪除一條規則
例如:
iptables -D INPUT 3(按號碼匹配)
刪除 filter 表 INPUT 鏈中的第三條規則(無論它的內容是什麼)
iptables -D INPUT -s 192.168.0.1 -j DROP(按內容匹配)
刪除 filter 表 INPUT 鏈中內容爲「-s 192.168.0.1 -j DROP」的規則
(無論其位置在哪裏)
注意:
一、若規則列表中有多條相同的規則時,按內容匹配只刪除序號最小的一條
二、按號碼匹配刪除時,確保規則號碼 ≤ 已有規則數,不然報錯
三、按內容匹配刪除時,確保規則存在,不然報錯
3.2.3 -R
-R <鏈名> <規則號碼> <具體規則內容>
REPLACE,替換一條規則
例如:
iptables -R INPUT 3 -j ACCEPT
將原來編號爲 3 的規則內容替換爲「-j ACCEPT」
注意:
確保規則號碼 ≤ 已有規則數,不然報錯
3.2.4 -P
-P <鏈名> <動做>
POLICY,設置 某個鏈的默認規則
例如:
iptables -P INPUT DROP
設置 filter 表 INPUT 鏈的默認規則是 DROP
注意:
當數據包沒有被規則列表裏的任何規則匹配到時,按此默認規則處理
3.2.5 -F
-F [鏈名]
FLUSH,清空規則
例如:
iptables -F INPUT
清空 filter 表 INPUT 鏈中的全部規則
iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 鏈中的全部規則
注意:
一、-F 僅僅是清空鏈中規則,並不影響 -P 設置 的默認規則
二、-P 設置 了 DROP 後,使用 -F 必定要當心!!!
三、若是不寫鏈名,默認清空某表裏全部鏈裏的全部規則
3.2.6 -[vxn]L
-L [鏈名]
LIST,列出規則
v:顯示詳細信息,包括每條規則的匹配包數量和匹配字節數
x:在 v 的基礎上,禁止自動單位換算(K、M)
n:只顯示 IP 地址和端口號碼,不顯示域名和服務 名稱
例如:
iptables -L
粗略列出 filter 表全部鏈及全部規則
iptables -t nat -vnL
用詳細方式列出 nat 表全部鏈的全部規則,只顯示 IP 地址和端口號
iptables -t nat -vxnL PREROUTING
用詳細方式列出 nat 表 PREROUTING 鏈的全部規則以及詳細數字,不反解
3.3 匹配條件
流入、流出接口(-i、-o)
來源、目的地址(-s、-d)
協議類型 (-p)
來源、目的端口(--sport、--dport)
3.3.1 按網絡 接口匹配
-i <匹配數據進入的網絡 接口>
例如:
-i eth0
匹配是否從網絡 接口 eth0 進來
-i ppp0
匹配是否從網絡 接口 ppp0 進來
-o 匹配數據流出的網絡 接口
例如:
-o eth0
-o ppp0
3.3.2 按來源目的地址匹配
-s <匹配來源地址>
能夠是 IP、NET、DOMAIN,也可空(任何地址)
例如:
-s 192.168.0.1 匹配來自 192.168.0.1 的數據包
-s 192.168.1.0/24 匹配來自 192.168.1.0/24 網絡 的數據包
-s 192.168.0.0/16 匹配來自 192.168.0.0/16 網絡 的數據包
-d <匹配目的地址>
能夠是 IP、NET、DOMAIN,也能夠空
例如:
-d 202.106.0.20 匹配去往 202.106.0.20 的數據包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 網絡 的數據包
-d www.abc.com 匹配去往域名 www.abc.com 的數據包
3.3.3 按協議類型匹配
-p <匹配協議類型>
能夠是 TCP、UDP、ICMP 等,也可爲空
例如:
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8 pong: type 0
3.3.4 按來源目的端口匹配
--sport <匹配源端口>
能夠是個別端口,能夠是端口範圍
例如:
--sport 1000 匹配源端口是 1000 的數據包
--sport 1000:3000 匹配源端口是 1000-3000 的數據包(含1000、3000)
--sport :3000 匹配源端口是 3000 如下的數據包(含 3000)
--sport 1000: 匹配源端口是 1000 以上的數據包(含 1000)
--dport <匹配目的端口>
能夠是個別端口,能夠是端口範圍
例如:
--dport 80 匹配源端口是 80 的數據包
--dport 6000:8000 匹配源端口是 6000-8000 的數據包(含6000、8000)
--dport :3000 匹配源端口是 3000 如下的數據包(含 3000)
--dport 1000: 匹配源端口是 1000 以上的數據包(含 1000)
注意:--sport 和 --dport 必須配合 -p 參數使用
3.3.5 匹配應用舉例
一、端口匹配
-p udp --dport 53
匹配網絡 中目的地址是 53 的 UDP 協議數據包
二、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的全部數據包
三、端口和地址聯合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 協議數據包
注意:
一、--sport、--dport 必須聯合 -p 使用,必須指明協議類型是什麼
二、條件寫的越多,匹配越細緻,匹配範圍越小
3.4 動做(處理方式)
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
3.4.1 -j ACCEPT
-j ACCEPT
經過,容許數據包經過本鏈而不攔截它
相似 Cisco 中 ACL 裏面的 permit
例如:
iptables -A INPUT -j ACCEPT
容許全部訪問本機 IP 的數據包經過
3.4.2 -j DROP
-j DROP
丟棄,阻止數據包經過本鏈而丟棄它
相似 Cisco 中 ACL 裏的 deny
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止來源地址爲 192.168.80.39 的數據包經過本機
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 鏈)
源地址轉換,SNAT 支持轉換爲單 IP,也支持轉換到 IP 地址池
(一組連續的 IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
將內網 192.168.0.0/24 的原地址修改成 1.1.1.1,用於 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上,只不過修改爲一個地址池裏的 IP
3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 鏈)
目的地址轉換,DNAT 支持轉換爲單 IP,也支持轉換到 IP 地址池
(一組連續的 IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把從 ppp0 進來的要訪問 TCP/80 的數據包目的地址改成 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10
3.4.5 -j MASQUERADE
-j MASQUERADE
動態源地址轉換(動態 IP 的狀況下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是 192.168.0.0/24 的數據包進行地址假裝
3.5 附加模塊
按包狀態匹配 (state)
按來源 MAC 匹配(mac)
按包速率匹配 (limit)
多端口匹配 (multiport)
3.5.1 state
-m state --state 狀態
狀態:NEW、RELATED、ESTABLISHED、INVALID
NEW:有別於 tcp 的 syn
ESTABLISHED:鏈接態
RELATED:衍生態,與 conntrack 關聯(FTP)
INVALID:不能被識別屬於哪一個鏈接或沒有任何狀態
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT
3.5.2 mac
-m mac --mac-source MAC
匹配某個 MAC 地址
例如:
iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \
-j DROP
阻斷來自某 MAC 地址的數據包,經過本機
注意:
MAC 地址不過路由,不要試圖去匹配路由後面的某個 MAC 地址
3.5.3 limit
-m limit --limit 匹配速率 [--burst 緩衝數量]
用必定速率去匹配數據包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
-j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 僅僅是用必定的速率去匹配數據包,並不是 「限制」
3.5.4 multiport
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個端口,能夠區分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiports --ports \
21,22,25,80,110 -j ACCEPT
注意:
必須與 -p 參數一塊兒使用
4. 實例分析
單服務 器的防禦
如何作網關
如何限制內網用戶
內網如何作對外服務 器
鏈接追蹤模塊
4.1 單服務 器的防禦
弄清對外服務 對象
書寫規則
網絡 接口 lo 的處理
狀態監測的處理
協議 + 端口的處理
實例:一個普通的 web 服務 器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意:確保規則循序正確,弄清邏輯關係,學會時刻使用 -vnL
4.2 如何作網關
弄清網絡 拓撲
本機上網
設置 nat
啓用路由轉發
地址假裝 SNAT/MASQUERADE
實例:ADSL 撥號上網的拓撲
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE
4.3 如何限制內網用戶
過濾位置 filer 表 FORWARD 鏈
匹配條件 -s -d -p --s/dport
處理動做 ACCEPT DROP
實例:
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 內網如何作對外服務 器
服務 協議(TCP/UDP)
對外服務 端口
內部服務 器私網 IP
內部真正服務 端口
實例:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80
4.5 鏈接追蹤模塊
爲何要使用鏈接追蹤模塊
FTP 協議的傳輸原理
傳統防火牆的作法
如何使用
4.5.1 FTP 協議傳輸原理
使用端口
command port
data port
傳輸模式
主動模式(ACTIVE)
被動模式(PASSIVE)
4.5.1 FTP 協議傳輸原理
主動模式
client server
xxxx |---|----------|-->| 21
yyyy |<--|----------|---| 20
FW1 FW2
被動模式
client server
xxxx |---|----------|--->| 21
yyyy |---|----------|--->| zzzz
FW1 FW2
4.5.2 傳統防火牆的作法
只使用主動模式,打開 TCP/20
防火牆打開高範圍端口
配置 FTP 服務 ,減少被動模式端口範圍
4.5.3 如何使用鏈接追蹤模塊
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 網管策略
怕什麼
能作什麼
讓什麼 vs 不讓什麼
三大「紀律」五項「注意」
其餘注意事項
5.1 必加項
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可選方案
堵:
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \
-j ACCEPT
iptables -P FORWARD DROP
5.3 三大「紀律」五項「注意」
三大「紀律」——專表專用
filter
nat
mangle
五項「注意」——注意數據包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
5.4 其餘注意事項
養成好的習慣
iptables -vnL
iptables -t nat -vnL
iptables-save
注意邏輯順序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT
學會寫簡單的腳本
6. FAQ.1
Q:我設置 了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
爲什麼內網用戶仍是能夠訪問那個地址?
A:filter 表的 OUTPUT 鏈是本機訪問外面的必經之路,內網數據不通過該鏈
Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
爲什麼內網用戶仍是能夠訪問那個地址?
A:檢查整個規則是否存在邏輯錯誤,看是否在 DROP 前有 ACCEPT
Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
這條語句爲什麼報錯?
A:POSTROUTING 鏈不支持「流入接口」 -i 參數
同理,PREROUTING 鏈不支持「流出接口」 -o 參數
6. FAQ.2
Q:我應該怎麼查看某個模塊具體該如何使用?
A:ipitables -m 模塊名 -h
Q:執行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中,
缺乏與 xxx 模塊有關的文件,或缺乏與 yyy 動做有關的文件
名字爲 ipt_xxx.o(2.4內核) 或 ipt_yyy.ko(2.6內核)
Q:腳本寫好了,內網上網沒問題,FTP 訪問不正常,沒法列出目錄,爲何?
A:缺乏 ip_nat_ftp 這個模塊,modprobe ip_nat_ftp
相關文章
- 1. linux防火牆iptables詳細教程
- 2. linux防火牆iptables詳解
- 3. Linux iptables 防火牆詳解
- 4. iptables防火牆 --Linux詳解
- 5. Linux防火牆iptables詳解
- 6. linux 防火牆 iptables
- 7. linux-防火牆iptables
- 8. linux防火牆(iptables)
- 9. Linux防火牆Iptables
- 10. linux iptables 防火牆
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • Spring整合Redis詳細步驟 - Redis教程
- • Java 8 Stream 教程
- • YAML 入門教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
