LInux iptables學習

時間 2019-11-09

原文原文鏈接

做者原文 :html

http://blog.chinaunix.net/uid-9950859-id-98277.htmllinux

      要在網上傳輸的數據會被分紅許多小的數據包，咱們一旦接通了網絡，會有不少數據包進入，離開，或者通過咱們的計算機。
      首先咱們要弄明白，防火牆將怎麼對待這些數據包。這些數據包會通過一些相應的規則鏈，好比要進入你的計算機的數據包會首先進入INPUT鏈，從咱們的計算機發出的數據包會通過 OUTPUT鏈，若是一臺計算機作一個網絡的網關（處於內網和外網兩個網絡鏈接的兩臺計算機，這兩臺計算機之間相互通信的數據包會通過這臺計算機，這臺計算機即至關於一個路由器），可能會有不少數據通過這臺計算機，那麼這些數據包必經FORWARD鏈，FORWARD鏈即數據轉發鏈。明白了這些「鏈」的概念咱們才能進一步學習使用 iptables。
       如今咱們再來分析一下iptables規則是如何工做的，假如咱們要訪問網站www.yahoo.com，咱們要對www.yahoo.com發出請求，這些數據包要通過OUTPUT鏈，在請求發出前，Linux的內核會在OUTPUT鏈中檢查有沒有相應的規則適合這個數據包，若是沒有相應的規則，OUTPUT鏈還會有默認的規則，或者容許，或者不容許（事實上，不容許有兩種，一種是把請求拒絕，告訴發出請示的程序被拒絕；還有一種是丟棄，讓請求發出者傻等，直到超時）。若是獲得容許，請求就發出了，而www.yahoo.com服務器返回的數據包會通過INPUT鏈，固然，INPUT鏈中也會有相應的規則等着它。
web

下面咱們介紹幾個iptable的命令, 安全

iptables -L [-t filter]

這條命令是顯示當前有什麼已經設置好的防火牆規則，可能的顯示結果以下：

root@iZ28u6tr4t0Z:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

從這裏咱們能夠看出，iptables 有三個鏈分別是 INPUT OUTPUT 和FORWARD. 其中
INPUT 是外部數據要進過咱們主機的第一外關卡(固然你前面也能夠再加硬件防火牆).
OUTPUT 是你的主機的數據送出時要作的過綠卡
FORWARD 是轉發你在NAT時纔會用到服務器

要設置iptables 主要是對這三條鏈進行設置,固然也包括-nat的另外三個鏈咱們之後再說
你要用iptables 你就得啓到它啓動命令 service iptables restart
iptables的默認設置爲三條鏈都是ACCEPT 以下:
網絡

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

以上信息你能夠用 iptables -L看到
app

整體來講iptables能夠有二種設置
1.默認容許,拒絕特別的
2.默認拒絕,容許特別的
兩者都有本身有特色,從安全角度看我的偏向於第二種,就是默認拒絕,容許特別的.但iptalbes 默認是第一種默認容許,拒絕特別的
你能夠用命令改變默認值來達到咱們的要求命令以下
tcp

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

你再用iptables -L查看一下就會以爲默認值以改了工具

先來談炎幾個參數XZFL
-F 清除規則
-X 清除鏈
-Z 將鏈的記數的流量清零
通常來講再建立訪問規則時都會將原有的規則清零這是一個比較好的習慣,由於某些規則的存在會影響你建的規則.
基本語法:
post

iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface]
      [-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports]
      [-d ip/netword] [--dport ports] [-j ACCEPT DROP]

以上是iptables的基本語法
A 是添加的意思
I 是播入的意思
io 指的是數據要進入或出去所要通過的端口如eth1 eth0 pppoe等
p 你所要指定的協議
-s 指源地址但是單個IP如192.168.2.6 也能夠是一個網絡 192.168.2.0/24 還能夠是一個域名如163.com 若是你填寫的域名系統會自動解析出他的IP並在iptables裏顯示
--sport 來源端口
-d 同-s類似只不過他指的是目標地址也能夠是IP 域名和網絡
--dport 目標端口
-j 執行參數 ACCEPT DROP
注意:若是以有參數存在則說明所有接受
1 如我要來本身l0接口的數據所有接受,咱們能夠寫成這樣:

iptables -A INPUT -i lo -j ACCEPT

2 若是咱們想接受192.168.2.6這個IP地址傳來的數據咱們能夠這樣寫

iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT

3 若是咱們要拒絕來本身192.168.2.0/24這個網的telnet鏈接

iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24 --sport 23 -j DROP

iptables 指令
語法：

iptables [-t table] command [match] [-j target/jump]

-t 參數用來指定規則表，內建的規則表有三個，分別是：nat、mangle 和 filter，當未指定規則表時，則一概視爲是 filter。個規則表的功能以下：
nat 此規則表擁有 Prerouting 和 postrouting 兩個規則鏈，主要功能爲進行一對1、一對多、多對多等網址轉譯工做（SNATDNAT），因爲轉譯工做的特性，需進行目的地網址轉譯的封包，就不須要進行來源網址轉譯，反之亦然，所以爲了提高改寫封包的率，在防火牆運做時，每一個封包只會通過這個規則表一次。若是咱們把封包過濾的規則定義在這個數據表裏，將會形成沒法對同一包進行屢次比對，所以這個規則表除了做網址轉譯外，請不要作其它用途。
mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則鏈。
除了進行網址轉譯工做會改寫封包外，在某些特殊應用可能也必須去改寫封包（TTL、TOS）或者是設定 MARK（將封包做記號，以進行後續的過濾），這時就必須將這些工做定義在 mangle 規則表中，因爲使用率不高，咱們不打算在這裏討論 mangle 的用法。
filter 這個規則表是預設規則表，擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈，這個規則表顧名思義是用來進行封包過濾的理動做（例如：DROP、 LOG、 ACCEPT 或 REJECT），咱們會將基本規則都創建在此規則表中。

經常使用命令列表：
命令 -A, --append
範例 iptables -A INPUT ...
說明新增規則到某個規則鏈中，該規則將會成爲規則鏈中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明從某個規則鏈中刪除一條規則，能夠輸入完整規則，或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明取代現行規則，規則被取代後並不會改變順序。
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明插入一條規則，本來該位置上的規則將會日後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明列出某規則鏈中的全部規則。
命令 -F, --flush
範例 iptables -F INPUT
說明刪除某規則鏈中的全部規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明定義新的規則鏈。
命令 -X, --delete-chain
範例 iptables -X allowed
說明刪除某個規則鏈。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明定義過濾政策。也就是未符合過濾條件之封包，預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明修改某自訂規則鏈的名稱。
經常使用封包比對參數：
參數 -p, --protocol
範例 iptables -A INPUT -p tcp
說明比對通信協議類型是否相符，可使用 ! 運算子進行反向比對，例如：-p ! tcp ，意思是指除 tcp 之外的其它類型，包含udp、icmp ...等。若是要比對全部類型，則可使用 all 關鍵詞，例如：-p all。
參數 -s, --src, --source
範例 iptables -A INPUT -s 192.168.1.1
說明用來比對封包的來源 IP，能夠比對單機或網絡，比對網絡時請用數字來表示屏蔽，例如：-s 192.168.0.0/24，比對 IP 時可使用 ! 運算子進行反向比對，例如：-s ! 192.168.0.0/24。
參數 -d, --dst, --destination
範例 iptables -A INPUT -d 192.168.1.1
說明用來比對封包的目的地 IP，設定方式同上。
參數 -i, --in-interface
範例 iptables -A INPUT -i eth0
說明用來比對封包是從哪片網卡進入，可使用通配字符 + 來作大範圍比對，例如：-i eth+ 表示全部的 ethernet 網卡，也以使用 ! 運算子進行反向比對，例如：-i ! eth0。
參數 -o, --out-interface
範例 iptables -A FORWARD -o eth0
說明用來比對封包要從哪片網卡送出，設定方式同上。
參數 --sport, --source-port
範例 iptables -A INPUT -p tcp --sport 22
說明用來比對封包的來源埠號，能夠比對單一埠，或是一個範圍，例如：--sport 22:80，表示從 22 到 80 埠之間都算是符合件，若是要比對不連續的多個埠，則必須使用 --multiport 參數，詳見後文。比對埠號時，可使用 ! 運算子進行反向比對。
參數 --dport, --destination-port
範例 iptables -A INPUT -p tcp --dport 22
說明用來比對封包的目的地埠號，設定方式同上。
參數 --tcp-flags
範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明比對 TCP 封包的狀態旗號，參數分爲兩個部分，第一個部分列舉出想比對的旗號，第二部分則列舉前述旗號中哪些有被設，未被列舉的旗號必須是空的。TCP 狀態旗號包括：SYN（同步）、ACK（應答）、FIN（結束）、RST（重設）、URG（緊急）
PSH（強迫推送）等都可使用於參數中，除此以外還可使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時，可使用 ! 運算子行反向比對。
參數 --syn
範例 iptables -p tcp --syn
說明用來比對是否爲要求聯機之 TCP 封包，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的做用徹底相同，若是使用 !運算子，可用來比對非要求聯機封包。
參數 -m multiport --source-port
範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明用來比對不連續的多個來源埠號，一次最多能夠比對 15 個埠，可使用 ! 運算子進行反向比對。
參數 -m multiport --destination-port
範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明用來比對不連續的多個目的地埠號，設定方式同上。
參數 -m multiport --port
範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明這個參數比較特殊，用來比對來源埠號和目的埠號相同的封包，設定方式同上。注意：在本範例中，若是來源端口號爲 80 目的地埠號爲 110，這種封包並不算符合條件。
參數 --icmp-type
範例 iptables -A INPUT -p icmp --icmp-type 8
說明用來比對 ICMP 的類型編號，可使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可用。
參數 -m limit --limit
範例 iptables -A INPUT -m limit --limit 3/hour
說明用來比對某段時間內封包的平均流量，上面的例子是用來比對：每小時平均流量是否超過一次 3 個封包。除了每小時平均次外，也能夠每秒鐘、每分鐘或天天平均一次，默認值爲每小時平均一次，參數如後： /second、 /minute、/day。除了進行封
數量的比對外，設定這個參數也會在條件達成時，暫停封包的比對動做，以免因駭客使用洪水攻擊法，致使服務被阻斷。
參數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明用來比對瞬間大量封包的數量，上面的例子是用來比對一次同時涌入的封包是否超過 5 個（這是默認值），超過此上限的封將被直接丟棄。使用效果同上。
參數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明用來比對封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 Postrouting 規則煉上，這是由於封包要送出到網後，才能由網卡驅動程序透過 ARP 通信協議查出目的地的 MAC 地址，因此 iptables 在進行封包比對時，並不知道封包會送到個網絡接口去。
參數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明用來比對封包是否被表示某個號碼，當封包被比對成功時，咱們能夠透過 MARK 處理動做，將該封包標示一個號碼，號碼最不能夠超過 4294967296。
參數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明用來比對來自本機的封包，是否爲某特定使用者所產生的，這樣能夠避免服務器使用 root 或其它身分將敏感數據傳送出，能夠下降系統被駭的損失。惋惜這個功能沒法比對出來自其它主機的封包。
參數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明用來比對來自本機的封包，是否爲某特定使用者羣組所產生的，使用時機同上。
參數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明用來比對來自本機的封包，是否爲某特定行程所產生的，使用時機同上。
參數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明用來比對來自本機的封包，是否爲某特定聯機（Session ID）的響應封包，使用時機同上。
參數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明用來比對聯機狀態，聯機狀態共有四種：INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號（Session ID）沒法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經創建的聯機。
NEW 表示該封包想要起始一個聯機（重設聯機或將聯機重導向）。
RELATED 表示該封包是屬於某個已經創建的聯機，所創建的新聯機。例如：FTP-DATA 聯機一定是源自某個 FTP 聯機。
經常使用的處理動做：
-j 參數用來指定要進行的處理動做，經常使用的處理動做包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、
SNAT、MIRROR、QUEUE、RETURN、MARK，分別說明以下：
ACCEPT 將封包放行，進行完此處理動做後，將再也不比對其它規則，直接跳往下一個規則煉（natostrouting）。
REJECT 攔阻該封包，並傳送封包通知對方，能夠傳送的封包有幾個選擇：ICMP port-unreachable、ICMP echo-reply 或是
tcp-reset（這個封包會要求對方關閉聯機），進行完此處理動做後，將再也不比對其它規則，直接中斷過濾程序。範例以下：
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理，進行完此處理動做後，將再也不比對其它規則，直接中斷過濾程序。
REDIRECT 將封包從新導向到另外一個端口（PNAT），進行完此處理動做後，將會繼續比對其它規則。這個功能能夠用來實做通透式
porxy 或用來保護 web 服務器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 爲防火牆 NIC IP，能夠指定 port 對應的範圍，進行完此處理動做後，直接跳往下一個規則（mangleostrouting）。這個功能與 SNAT 略有不一樣，當進行 IP 假裝時，不需指定要假裝成哪一個 IP，IP 會從網卡直接讀，當使用撥接連線時，IP 一般是由 ISP 公司的 DHCP 服務器指派的，這個時候 MASQUERADE 特別有用。範例以下：
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中，詳細位置請查閱 /etc/syslog.conf 組態檔，進行完此處理動做後，將會繼續比對其規則。例如：
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 爲某特定 IP 或 IP 範圍，能夠指定 port 對應的範圍，進行完此處理動做後，將直接跳往下一個規則（mangleostrouting）。範例以下：
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 爲某特定 IP 或 IP 範圍，能夠指定 port 對應的範圍，進行完此處理動做後，將會直接跳往下一個規煉（filter:input 或 filter:forward）。範例以下：
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包，也就是未來源 IP 與目的地 IP 對調後，將封包送回，進行完此處理動做後，將會中斷過濾程序。
QUEUE 中斷過濾程序，將封包放入隊列，交給其它程序處理。透過自行開發的處理程序，能夠進行其它應用，例如：計算聯機費.......等。
RETURN 結束在目前規則煉中的過濾程序，返回主規則煉繼續過濾，若是把自訂規則煉當作是一個子程序，那麼這個動做，就至關提前結束子程序並返回到主程序中。
MARK 將封包標上某個代號，以便提供做爲後續過濾的條件判斷依據，進行完此處理動做後，將會繼續比對其它規則。範例以下：
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

網上看到這個配置講解得還比較易懂，就轉過來了，你們一塊兒看下，但願對您工做能有所幫助。網管員的安全意識要比空喊Linux安全重要得多。

iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X

首先，把三個表清空，把自建的規則清空。

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

設定INPUT、OUTPUT的默認策略爲DROP，FORWARD爲ACCEPT。

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

先把「迴環」打開，以避免有沒必要要的麻煩。

iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT

在全部網卡上打開ping功能，便於維護和檢測。

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT

打開22端口，容許遠程管理。（設定了不少的附加條件：管理機器IP必須是250，而且必須從eth0網卡進入）

iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.168.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.168.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT

上面這幾句是比較頭痛的，我作逐一解釋。
iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
容許192.168.100.0/24網段的機器發送數據包從eth0網卡進入。若是數據包是tcp協議，並且目的端口是3128（由於REDIRECT已經把80改成3128了。nat表的PREROUTING是在filter表的INPUT前面的。）的，再並且，數據包的狀態必須是NEW或者ESTABLISHED的（NEW表明tcp三段式握手的「第一握」，換句話說就是，容許客戶端機器向服務器發出連接申請。ESTABLISHED表示經過握手已經創建起連接），經過。
iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
咱們先來看這一句。如今你的數據包已經進入到linux服務器防火牆上來了。squid須要代替你去訪問，因此這時，服務器就成了客戶端的角色，因此它要使用32768到61000的私有端口進行訪問。（你們會奇怪應該是1024到65535吧。其實CentOS版的linux所定義的私有端口是32768到61000的，你能夠經過cat /proc/sys/net/ipv4/ip_local_port_range，查看一下。）再次聲明：這裏是squid以客戶端的身份去訪問其餘的服務器，因此這裏的源端口是32768:61000，而不是3128！
iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
固然了，數據有去就有回。
iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
數據包還得經過服務器，轉到內網網卡上。請注意，這裏，是squid幫你去訪問了你想要訪問的網站。因此在內網中，你的機器是客戶端角色，而squid是服務器角色。這與剛纔對外訪問的過程是不一樣的。因此在這裏，源端口是3128，而不是32768:61000。
iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT
固然，DNS是不可缺乏的。

iptables -A INPUT -i eth+ -p tcp --dport 80 -j LOG --log-prefix "iptables_80_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 21 -j LOG --log-prefix "iptables_21_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 22 -j LOG --log-prefix "iptables_22_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 25 -j LOG --log-prefix "iptables_25_alert" --log-level info
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j LOG --log-prefix "iptables_icmp8_alert" --log-level info

固然了，來點日誌記錄會對網管員有所幫助。