Linux系列-Red Hat5平臺下的Iptables防火牆應用（一）翻出老家底——我們來學Iptables

Iptables並非一個簡單的東西，這段時間一直在想怎麼才能把本身已常握的iptables分享給你們，若是像前面同樣。上來就是一張拓撲圖，再呼呼啦啦一條條策略，我想那樣確定是沒有什麼效果的。一條條策略若是沒有強大的理論作支撐，是站不住腳的。正在苦惱之際。忽然看到了本身之前學習iptables時的記的筆記。以爲記得還挺到位的，若是本身再整合一下，應該是很容易理解的。就這樣，翻出老家底——我們來學Iptables就誕生了，呵呵！來看看吧！

Iptables 和 netfilter 的關係：

這是第一個要說的地方，Iptables和netfilter的關係是一個很容易讓人搞不清的問題。不少的知道iptables殊不知道netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是netfilter，它是Linux內核中實現包過濾的內部結構。

Iptables 的規則表和鏈：

Iptables採用「表」和「鏈」的分層結構。在REHL4中是三張表五個鏈。如今REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，因此基本仍是和之前同樣。下面羅列一下這四張表和五個鏈。注意必定要明白這些表和鏈的關係及做用，由於不少的人就是在這一塊不清楚。萬一不行就把它背下來在慢慢地去體會。

規則表：

1.       filter表——三個鏈：INPUT、FORWARD、OUTPUT

做用：過濾數據包  內核模塊：iptables_filter.

2.       Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT

做用：用於網絡地址轉換（IP、端口） 內核模塊：iptable_nat

3.       Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

做用：修改數據包的服務類型、TTL、而且能夠配置路由實現QOS

內核模塊：iptable_mangle

(別看這個表這麼麻煩，我們設置策略時幾乎都不會用到它)

4.       Raw表——兩個鏈：OUTPUT、PREROUTING

做用：決定數據包是否被狀態跟蹤機制處理  內核模塊：iptable_raw

(這個是REHL4沒有的，不過不用怕，用的很少)

規則鏈：

1.       INPUT——進來的數據包應用此規則鏈中的策略

2.       OUTPUT——外出的數據包應用此規則鏈中的策略

3.       FORWARD——轉發數據包時應用此規則鏈中的策略

4.       PREROUTING——對數據包做路由選擇前應用此鏈中的規則

（記住！全部的數據包進來的時侯都先由這個鏈處理）

5.       POSTROUTING——對數據包做路由選擇後應用此鏈中的規則

規則表之間的優先順序：

Raw——mangle——nat——filter

規則鏈之間的優先順序（分三種狀況）：

第一種狀況：入站數據流向

從外界到達防火牆的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），以後會進行路由選擇（判斷該數據包應該發往何處），若是數據包的目標主機是防火牆本機（好比說Internet用戶訪問防火牆主機中的web服務器的數據包），那麼內核將其傳給INPUT鏈進行處理（決定是否容許經過等），經過之後再交給系統上層的應用程序（好比Apache服務器）進行響應。

第二衝狀況：轉發數據流向

來自外界的數據包到達防火牆後，首先被PREROUTING規則鏈處理，以後會進行路由選擇，若是數據包的目標地址是其它外部地址（好比局域網用戶經過網關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），而後再交給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

第三種狀況：出站數據流向

防火牆本機向外部地址發送的數據包（好比在防火牆主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，以後進行路由選擇，而後傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

管理和設置iptables規則

Iptables 的基本語法格式：

Iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動做或跳轉］

說明：表名、鏈名用於指定iptables命令所操做的表和鏈，命令選項用於指定管理iptables規則的方式（好比：插入、增長、刪除、查看等；條件匹配用於指定對符合什麼樣條件的數據包進行處理；目標動做或跳轉用於指定數據包的處理方式（好比容許經過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

Iptables 命令的管理控制選項：

-A 在指定鏈的末尾添加（append）一條新的規則

-D刪除（delete）指定鏈中的某一條規則，能夠按規則序號和內容刪除

-I在指定鏈中插入（insert）一條新的規則，默認在第一行添加

-R修改、替換（replace）指定鏈中的某一條規則，能夠按規則序號和內容替換

-L列出（list）指定鏈中全部的規則進行查看

-F清空（flush）

-N新建（new-chain）一條用戶本身定義的規則鏈

-X刪除指定表中用戶自定義的規則鏈（delete-chain）

-P設置指定鏈的默認策略（policy）

-n使用數字形式（numeric）顯示輸出結果

-v查看規則表詳細信息（verbose）的信息

-V查看版本(version)

-h獲取幫助（help）

防火牆處理數據包的四種方式：

ACCEPT 容許數據包經過

DROP 直接丟棄數據包，不給任何迴應信息

REJECT 拒絕數據包經過，必要時會給數據發送端一個響應的信息。

LOG在/var/log/messages文件中記錄日誌信息，而後將數據包傳遞給下一條規則

Iptables防火牆規則的導入和導出：

Iptables-save    //導出（備份）

Iptables-restore  //導入（還原）

Iptables 防火牆經常使用的策略：

1.       拒絕進入防火牆的全部ICMP協議數據包

iptables -I INPUT -p icmp -j REJECT

2.       容許防火牆轉發除ICMP協議之外的全部數據包

iptables -A FORWARD -p ! icmp -j ACCEPT

說明：使用「！」能夠將條件取反。

3.       拒絕轉發來自192.168.1.10主機的數據，容許轉發來自192.168.0.0/24網段的數據

iptables -A FORWARD -s 192.168.1.11 -j REJECT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

說明：注意要把拒絕的放在前面否則就不起做用了啊。

4.       丟棄從外網接口（eth1）進入防火牆本機的源地址爲私網地址的數據包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i eth1 -s 10.0.0 .0/8 -j DROP

5.       封堵網段（192.168.1.0/24），兩小時後解封。

[root@server ~]# iptables -I INPUT -s 10.20.30 .0/24 -j DROP

[root@server ~]# iptables -I FORWARD -s 10.20.30 .0/24 -j DROP

[root@server ~]# at now +2 hours

at> iptables -D INPUT 1

at> iptables -D FORWARD 1

說明：這個策略我們藉助crond計劃任務來完成，就再好不過了。

[1]+  Stopped                 at now +2 hours

6.       只容許管理員從202.13.0.0/16網段使用SSH遠程登陸防火牆主機。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

說明：這個用法比較適合對設備進行遠程管理時使用，好比位於分公司中的SQL服務器須要被總公司的管理員管理時。

7.       容許本機開放從TCP端口20-1024提供的應用服務。

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.       容許轉發來自192.168.0.0/24局域網段的DNS解析請求數據包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.       禁止其餘主機ping防火牆主機，可是容許從防火牆上ping其餘主機

iptables -A INPUT -p icmp --icmp-type Echo-Request -j DROP

iptables -A INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

10.   禁止轉發來自MAC地址爲00： 0C ：29：27：55： 3F 的和主機的數據包

iptables -A FORWARD -m mac --mac-source 00: 0c :29:27:55: 3F -j DROP

說明：iptables中使用「-m 模塊關鍵字」的形式調用顯示匹配。我們這裏用「-m mac –mac-source」來表示數據包的源MAC地址。

11.   容許防火牆本機對外開放TCP端口20、21、25、110以及被動模式FTP端口1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

說明：這裏用「-m multiport –dport」來指定目的端口及範圍

12.   禁止轉發源IP地址爲192.168.1.20-192.168.1.99的TCP數據包。

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

說明：此處用「-m –iprange –src-range」指定IP範圍。

13.   禁止轉發與正常TCP鏈接無關的非—syn請求數據包。

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

說明：「-m state」表示數據包的鏈接狀態，「NEW」表示與任何鏈接無關的，新的嘛！

14.   拒絕訪問防火牆的新數據包，但容許響應鏈接或與已有鏈接相關的數據包

iptables -A INPUT -p tcp -m state --state NEW -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

說明：「ESTABLISHED」表示已經響應請求或者已經創建鏈接的數據包，「RELATED」表示與已創建的鏈接有相關性的，好比FTP數據鏈接等。

15.   只開放本機的web服務（80）、FTP(20、21、20450-20480)，放行外部主機發住服務器其它端口的應答數據包，將其餘入站數據包均予以丟棄處理。

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT

iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT

iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

    OK！上面都是一些比較經常使用到的，Iptables功能不少但願各位同仁們去挖掘。下次咱們會看到iptables中的經常使用技術SNAT和DNAT的應用。