iptables的詳細介紹及配置

Firewall（防火牆）：組件，工做在網絡邊緣（主機邊緣），對進出網絡數據包基於必定的規則檢查，並在匹配某規則時由規則定義的處理進行處理的一組功能的組件。

防火牆類型：根據工做的層次的不一樣來劃分，常見的防火牆工做在OSI第三層，即網絡層防火牆，工做在OSI第七層的稱爲應用層防火牆，或者代理服務器（代理網關）。

網絡層防火牆又稱包過濾防火牆，在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱爲訪問控制列表（ACL），經過檢查數據流中每一個數據的源地址，目的地址，所用端口號和協議狀態等因素，或他們的咋喝來肯定是否容許該數據包經過。

優勢：對用戶來講透明，處理速度快且易於維護。

缺點：一旦黑客突破防火牆，就能夠輕易地僞造數據包的源地址，目的地址和IP的端口號，即「IP地址僞造」。

包過濾防火牆圖示

代理服務型防火牆（Proxy Service）將全部跨越防火牆的網絡通訊鏈路分爲兩段。當代理服務器接收到用戶對某個站點的訪問請求後會檢查該請求是否符合控制規則。若是規則容許，則代理服務器會替用戶去那個站點取回所須要的信息，轉發給用戶。內外網用戶的訪問都是經過代理服務器上的「連接」來實現的，從而起到了隔離防火牆內外計算機系統的做用。特色：在應用層對數據進行檢查，比較安全。可是會增長防火牆的負載。

代理服務型防火牆圖示

現實生產環境中所使用的防火牆通常都是兩者結合體。即先檢查網絡數據，經過以後再送到應用層去檢查。

netfilter組件稱爲內核空間，它被集成在linux內核中。netfilter是一種內核中用於擴展各類網絡服務的結構化底層框架。它是在內核中選取五個位置放了五個hook function，而這五個hook function向用戶開放，用戶能夠經過一個工具（iptables）向其寫規則。

netfilter 主要由信息過濾表（table）組成，包含了控制IP包處理的規則集（rules）。根據規則所處理的IP包的類型，規則被分組放在鏈（chain）中，從而使內核對來自某些源，前往某些目的地或具備某些協議類型的信息包處置方法，如完成信息包的處理、控制和過濾等工做。

iptables也稱爲用戶空間，是一個工做在用戶層用來寫規則的工具，寫好的規則被送往netfilter。這些規則告訴內核中的netfilter組件如何去處理信息包。

五個hook function（規則鏈）：Input ，Output，Forward，prerouting，postrouting。

filter：Input，Output，Forward

四種處理機制（表）：過濾（filter） 主要用於過濾數據包，該表根據管理員預約義的一組規則過濾符 

                    合條件的數據包。filter表是iptables默認的表。

l INPUT：主要與想要進入咱們 Linux 本機的數據包有關；

l OUTPUT：主要與咱們 Linux 本機所要送出的數據包有關；

l FORWARD：與 Linux 本機比較沒有關係， 他能夠傳遞數據包到後臺的計算機中，與下列 nat table 相關性較高。

                    地址轉換（NAT） 主要用於網絡地址轉換，該表可實現一對一。一對多，多對多               

                    等工做，iptables就是使用該表實現共享上網功能。

l PREROUTING：在進行路由判斷以前所要進行的規則(DNAT/REDIRECT)

l POSTROUTING：在進行路由判斷以後所要進行的規則(SNAT/MASQUERADE)

l OUTPUT：與發送出去的數據包包有關

                    包重構（mangle）對指定的數據包進行修改，例如更改TTL和TOS等，實際中很

                    少使用。

                    RAW  不多使用

一條鏈能夠包含一條或者數條規則。

nat：prerouting，postrouting，output

mangle：Input ，Output，Forward，prerouting，postrouting。

RAW：prerouting，output

                       iptables傳輸數據包的過程

  1   當一個數據包進入網卡時，數據包首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否須要轉送出去。

  2   若是數據包就是進入本機的，數據包就會沿着圖向下移動，到達INPUT鏈。數據包到達INPUT鏈後，任何進程都會收到它。本機上運行的程序能夠發送數據包，這些數據包通過OUTPUT鏈，而後到達POSTROTING鏈輸出。

  3  若是數據包是要轉發出去的，且內核容許轉發，數據包就會向右移動，通過FORWARD鏈，而後到達POSTROUTING鏈輸出。

                      iptables中各表與鏈的相互關係            《鳥哥的私房菜》

書寫規則：

iptables [-t table] command CHAIN [NUM ]   match criteria -j TARGET

CHAIN:  對鏈進行的操做

            -N：new     新建一條鏈

            -X          刪除一條用戶自定義鏈（空鏈）

            -F：flush   清空一條鏈，默認清空表中全部鏈

            -Z：zero    清空計數器，iptables中每條規則默認有兩個計數器，用於記錄本條規則所匹配到的數據包的個數和本條規則所匹配到的數據包的總大小

            -P：policy  定義鏈的默認處理策略

            -E  重命名鏈

RULE：對規則進行的操做

      -A:append   追加，在鏈的最後加一條規則

       -I:insert  插入一條規則  通常使用-I CHAIN NUM 給規則加一個編號。

       -R:replace 替換某條規則，規則被替換並不會改變順序，必需要指定替換的規則編號：-R CHAIN NUM。

       -D:delete  刪除一條規則，能夠輸入完整規則，或者直接指定標號加以刪除：-D CHAIN NUM。

LIST：查看

    -L：list 列出鏈中的全部規則

輔助性子命令：-n  numeric 以數字的形式來顯示地址，默認顯示主機名稱

-v  verbose 顯示詳細信息 ，支持-vv  -vvv格式，v越多，信息越詳細。

-x  顯示原有信息，不要作單位換算

--line-numbers  顯示規則的行號

Match Creteria（匹配規則）：

基本匹配

     -s，--src，--source  匹配數據包的源地址

     -d，--dst，--destination 匹配數據包的目標地址

     -i， 指定數據包的流入接口（邏輯接口）

     -o， 指定數據包的流出接口

     -p， 作協議匹配 protocol，（tcp|udp|icmp）

擴展匹配：對某一種功能的擴展

      隱含擴展 ：對某一種協議的擴展

      -p tcp

        --sport 指定源端口

        --dport 指定目的端口

        --tcp-flags（SYN，ACK，FIN，PSH，URG，RST，ALL，NONE）指定TCP的標誌位

         須要跟兩個標誌位列表，如：SYN，ACK，FIN，RST SYN 第一個列表表示要檢查的位，第二個    

         列表表示第一個列表中出現的位必須爲1，未出現的必須爲0

--syn  只容許新鏈接

     -p  udp  無鏈接協議

         --sport   指定源端口

         --dport   指定目的端口

      -p  icmp

          --icmp-type  echo-request，8（ping出去，請求迴應，） echo-reply，0（給予迴應）

     顯式擴展 ：額外附加的更多的匹配規則,功能性地擴展

-m state   狀態檢測擴展

        NEW         用戶發起一個全新的請求

        ESTABLISHED 對一個全新的請求進行迴應

        RELATED   兩個完整鏈接之間的相互關係，一個完整的鏈接，須要依賴於另外一個完整的鏈接

        INVALID   沒法識別的狀態

-m multiport   --sports  22,80,443 指定多個源端口

                    --dports  22，80,443 指定多個目標端口

                    --ports    非連續端口

     -m connlimit   限定併發鏈接速率

             ！--connlimit-above 5  高於五個將拒絕

     -m string   字符串匹配

             --algo bm|kmp 指定算法 

             --string pattern

     -m time  基於時間的匹配

        --timestart

        --timestop

        --days

-j  TARGET    處理動做

     ACCEPT    接受

     DROP      悄悄丟棄，請求端沒有任何迴應

     REJECT    明確拒絕

     SNAT      源地址轉換

     DNAT      目標地址轉換

     REDIRECT  端口重定向

     LOG       將訪問記錄下來

[root@server27 ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

下面咱們寫兩條規則：

只容許192.168.0.0網段的主機經過SSH訪問該主機

容許本機經過SSH鏈接192.168.0.0網段的其餘主機

[root@server27 ~]# iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.127 -p tcp --dport 22 -j ACCEPT

[root@server27 ~]# iptables -A OUTPUT -s 192.168.0.127 -d 192.168.0.0/24 -p tcp --sport 22 -j ACCEPT

[root@server27 ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

ACCEPT     tcp  --  192.168.0.0/24       192.168.0.127       tcp dpt:22

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination        

ACCEPT     tcp  --  192.168.0.127        192.168.0.0/24      tcp spt:22

定義默認策略

[root@server27 ~]# iptables -t filter -P INPUT DROP

[root@server27 ~]# iptables -t filter -P OUTPUT DROP

PS：上面規則必定不要寫錯了，不然你將會把本身拒之門外。

容許本機PING本網段任何主機

[root@server27 ~]# iptables -t filter -A OUTPUT -s 192.168.0.127 -d 0.0.0.0/0.0.0.0 -p icmp --icmp-type 8 -j ACCEPT   //**出去的數據包

[root@server27 ~]# iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.0.127 -p icmp --icmp-type 0 -j ACCEPT   //** 回來的數據包

[root@server27 ~]# ping 192.168.0.236 -c 4

PING 192.168.0.236 (192.168.0.236) 56(84) bytes of data.

64 bytes from 192.168.0.236: icmp_seq=1 ttl=64 time=0.242 ms

64 bytes from 192.168.0.236: icmp_seq=2 ttl=64 time=0.249 ms

64 bytes from 192.168.0.236: icmp_seq=3 ttl=64 time=0.437 ms

64 bytes from 192.168.0.236: icmp_seq=4 ttl=64 time=0.204 ms

容許本網段任何主機PING本機

[root@server27 ~]# iptables -t filter -A OUTPUT -s 192.168.0.127 -d 0.0.0.0/0.0.0.0 -p icmp --icmp-type 0 -j ACCEPT 

[root@server27 ~]# iptables -t filter -A INPUT -d 192.168.0.127 -s 0.0.0.0/0.0.0.0 -p icmp --icmp-type 8 -j ACCEPT

PS：當目標網絡指定爲任意主機時，應該爲0.0.0.0/0.0.0.0

凡是來自192.168.0.0/24網段的主機均使用一個自定義的新鏈

先開啓http服務

自定義一條鏈，拒絕192.168.0.0/24網段的主機對http服務的訪問

[root@server27 ~]# iptables -N attach-input

[root@server27 ~]# iptables -A attach-input -s 192.168.0.0/24 -d 192.168.0.127 -p tcp --dport 80 -j DROP

[root@server27 ~]# iptables -L -n

此時，自定義鏈依舊沒法使用，咱們只能在固定鏈上作轉發請求數據包到自定義鏈上，才能實現自定義鏈的功能。

[root@server27 ~]# iptables -A INPUT -s 192.168.0.0/24 -j attach-input

[root@server27 ~]# iptables -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

attach-input  all  --  192.168.0.0/24       0.0.0.0/0 

此時已經沒法訪問到網頁。

將INPUT鏈刪除以後，立刻又能夠訪問了。

[root@server27 ~]# iptables -F INPUT

刪除自定義鏈，先清空鏈，再清空規則

[root@server27 ~]# iptables -F attach-input

[root@server27 ~]# iptables -X attach-input

PS：每條規則均可以使用「！」取反。如： -s '!' 192.168.0.0/24，加單引號防止被識別成其餘字符。

下面咱們來實現顯式擴展狀態檢測的功能：

先將默認策略置爲DROP

[root@server27 ~]# iptables -P INPUT DROP

[root@server27 ~]# iptables -P OUTPUT DROP

[root@server27 ~]# iptables -P FORWARD DROP

[root@server27 ~]# iptables -A INPUT -d 192.168.0.127 -p tcp --dport 80 -j ACCEPT   //*進來的數據包

[root@server27 ~]# iptables -A OUTPUT -s 192.168.0.127 -p tcp --sport 80 -j ACCEPT  //*出去的數據包

可是這兩條規則對於反彈式木馬是無效的。

咱們能夠基於顯式擴展寫這樣兩條規則：

[root@server27 ~]# iptables -I INPUT 1 -d 192.168.0.127 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT   //**進來的數據包

[root@server27 ~]# iptables -I OUTPUT  -s 192.168.0.127 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT     //**出去的數據包

刪除咱們以前創建的那兩條規則：

[root@server27 ~]# iptables -D INPUT 2

[root@server27 ~]# iptables -D OUTPUT 2

此時，已經能夠正常訪問http服務。

咱們試一下ftp服務：

先開啓ftp服務

先創建這樣四條規則，看看能不能達到效果，

[root@server27 ~]# iptables -A INPUT -d 192.168.0.127 -p tcp --dport 21 -j ACCEPT

[root@server27 ~]# iptables -A INPUT -d 192.168.0.127 -p tcp --dport 20 -j ACCEPT

[root@server27 ~]# iptables -A OUTPUT -s 192.168.0.127 -p tcp --sport 21 -j ACCEPT

[root@server27 ~]# iptables -A OUTPUT -s 192.168.0.127 -p tcp --sport 20 -j ACCEPT

客戶端請求是被動模式，實驗證實，咱們僅僅開始21 20端口沒法達到效果。這樣咱們就得用到狀態檢測的RELATED機制。

PS：要想實現FTP的訪問需先手動加載額外的模塊：ip_conntrack_ftp，ip_conntrack_tftp，ip_nat_ftp,，ip_nat_tftp（and others）

[root@server27 ~]# modprobe ip_conntrack_ftp

[root@server27 ~]# modprobe ip_nat_ftp

[root@server27 ~]# modprobe ip_nat_tftp

[root@server27 ~]# modprobe ip_conntrack_tftp

實現自動加載的功能：編輯/etc/sysconfig/iptables-config文件，在「IPTABLES_MODULES=」後面寫上要添加的模塊就能夠了。

[root@server27 ~]# iptables -A INPUT -d 192.168.0.127 -p tcp --dport 21 -j ACCEPT

[root@server27 ~]# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

[root@server27 ~]# iptables -A INPUT -d 192.168.0.127 -p tcp -m state --state RELATED -j ACCEPT

[root@server27 ~]# iptables -R OUTPUT 2 -m state --state ESTABLISHED,RELATED -j ACCEPT  //**修改上一條規則，增長RELATED狀態

[root@server27 ~]# iptables -R INPUT 3 -d 192.168.0.127 -p tcp  -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT    //**修改INPUT第三條規則，增長NEW,ESTABLISHED狀態

此時ftp已經能夠訪問了，要保證全部的規則可以永久有效須要使用：service iptables save來保存。

基於字符串匹配的顯式擴展功能：

[root@server27 ~]# iptables -A  INTPUT  -d 192.168.0.127  -p  tcp  --dport 80 -m string  --algo  kmp  --string  'qq.com'   -j  REJECT 

PS：iptables工做在OSI第三層，第四層。默認狀況下，iptables沒法限定第七層的應用程序，要想實現限制七層某些應用程序的功能，須要重編譯內核，在內核上打上補丁 layer7。.

源地址換換和目標地址轉換：

PS：源地址轉換必須在POSTROUTING鏈上作。

    目標地址轉換必須在PREROUTING鏈上作。

下面咱們來實現源地址的功能：

咱們假設這樣一種場景：

192.168.0.254是工做在外網的一臺WEB服務器，中間的那臺是企業裏的NAT服務器，咱們在上面添加iptables的規則，使其實現地址轉換的功能，PC機是工做在企業內部。咱們的最終目的是192.168.80.30這臺計算機經過NAT服務器能夠訪問到192.168.0.254的WEB服務。

實驗環境搭建：192.168.0.254  192.168.0.127使用虛擬機網卡的橋接功能；

              192.168.80.129  192.168.080.130使用虛擬機網卡的僅主機功能；

爲PC機設置網關：

[root@station39 ~]# route add default gw 192.168.80.129

下面開始來配置NAT服務器：

首先要開啓NAT服務器的內核路由功能：

[root@server27 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

[root@server27 ~]# cat /proc/sys/net/ipv4/ip_forward

1

設置規則：

[root@server27 ~]# iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.127

[root@server27 ~]# iptables -t nat -L -n

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination        

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination        

SNAT       all  --  192.168.80.0/24      192.168.0.0/24      to:192.168.0.127

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination        

OK，咱們用192.168.80.130這臺主機訪問一下192.168.0.254，看，已經能夠了！

只需一條規則就能夠搞定，很方便吧！

PS：若是咱們使用路由功能來訪問254這臺主機的話，WEB服務器的訪問日誌將記錄的訪問地址是192.168.80.130，而若是咱們使用地址轉換的功能來訪問的話，訪問日誌記錄的訪問地址則是192.168.0.127。.

通常咱們上網的時候，所得到的IP都是動態的，怎麼辦？

作源地址轉換的時候，還有一個小功能MASQUERADE（地址假裝），使用這個功能，咱們不須要

指定目標地址，它會自動探測可以上互聯網的地址，並自動將內網地址轉換過來。缺陷：比較耗費資源。

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

接下來開始實現目標地址轉換功能：

場景：假設192.168.80網段爲一個提供WEB服務的網站的內網，中間的爲網站的NAT服務器，遠端的客戶端192.168.0.26想經過中間的NAT服務器來訪問內部的192.168.80.130提供的WEB服務，這裏就要用到目標地址轉換了。

環境搭設：192.168.80.130  192.168.80.129使用虛擬機網卡的僅主機功能

           192.168.0.26  192.168.0.127使用虛擬機網卡的橋接功能

設置192.168.80.130的網關：

[root@station39 ~]# route add default gw 192.168.80.129

開始在NAT服務器上設置規則：

這裏依然要打開內核的路由功能。

開始以前先將剛纔作的源地址轉換實驗的規則給清除了

[root@server27 ~]# iptables -t nat -F

開始寫規則：

[root@server27 ~]# iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 192.168.0.127 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.130

[root@server27 ~]# iptables -t nat -L -n

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination        

DNAT       tcp  --  192.168.0.0/24       192.168.0.127       tcp dpt:80 to:192.168.80.130

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination      

OK！規則已經寫好了，咱們使用192.168.0.26來訪問一下192.168.0.127試試，已經能夠訪問了，其實提供WEB服務的是192.168..80.130這臺主機，這就是目標地址轉換的功能。

咱們再查看一下192.168.80.130這臺WEB服務器的訪問日誌：

看，源地址並無發生改變！只是訪問的目標地址被轉換到192.168.80.130上來了，這就是目標地址轉換。

l7-filter 七層過濾，對內核打補丁以後，可以支持對應用層數據的過濾。

編譯過程相對繁瑣一些，也不是本文主要講述內容，因此就不在此詳細說明，有興趣的朋友能夠去網上查找相關教程。

編譯完成並啓用內核以後，就可使用l7filter的過濾功能了。

咱們添加這樣兩條規則：

[root@server27 ~]# iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.127

[root@server27 ~]# iptables -t nat -A FORWARD -m layer7 --l7proto qq -j REJECT

這裏就再也不演示效果了。

保存iptables規則：

/etc/init.d/iptables save

service iptables save

保存位置：在/etc/sysconfig/iptables文件內：

# Generated by iptables-save v1.3.5 on Fri Mar  4 19:44:47 2011

*filter

:INPUT DROP [33:2399]

:FORWARD DROP [0:0]

:OUTPUT DROP [7:540]

-A INPUT -d 192.168.0.127 -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -d 192.168.0.127 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT

# Completed on Fri Mar  4 19:44:47 2011                    

指定規則保存位置：

iptables-save > /etc/sysconfig/iptables/iptables.20110307

生效保存的規則

iptables-restore < /etc/sysconfig/iptables/iptables.20110307

避免在遠程鏈接寫規則的時候一不當心本身被防火牆拒之門外，能夠寫一個小腳本：

#！/bin/bash

iptables -F

iptables -P  INPUT   ACCEPT

iptables -P  OUTPUT  ACCEPT

at now+10min

測試完成以後停掉腳本就能夠了。

本文出自 「諸葛草廬」 博客，請務必保留此出處http://lyp0909.blog.51cto.com/508999/509408