CentOS7 下iptables安裝與iptables使用

1、iptables安裝

[root@localhost ~]# yum install iptables -y
[root@localhost ~]# yum install iptables-services

查看安裝狀況

[root@localhost ~]# rpm -qa|grep iptables
iptables-1.4.21-24.1.el7_5.x86_64
iptables-services-1.4.21-24.1.el7_5.x86_64
修改配置文件

[root@localhost ~]# vi /etc/sysconfig/iptables

#firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

保存退出

[root@localhost ~]#systemctl start iptables.service

啓動正常，安裝成功。

[root@localhost ~]# systemctl enable iptables
[root@localhost ~]# iptables -nv -L --line-number  //查看IP規則 ,--line-number 標上序號

2、iptables使用

iptables的使用規則：

一、表    (table) 包含4個表(哪一個表是當前表取決於內核配置選項和當前模塊)：
4個表的優先級由高到低：raw-->mangle-->nat-->filter
raw---RAW表只使用在PREROUTING鏈和OUTPUT鏈上，由於優先級最高，從而能夠對收到的數據包在鏈接跟蹤前進行處理。一但用戶使用了RAW表，在某個鏈上，RAW表處理完後，將跳過NAT表和ip_conntrack處理，即再也不作地址轉換和數據包的連接跟蹤處理了。
filter---這個規則表是預設規則表，擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈，這個規則表顧名思義是用來進行封包過濾的理動做。
net----此規則表擁有prerouting和postrouting兩個規則鏈， 主要功能爲進行一對1、一對多、多對多等網址轉譯工做（SNAT/DNAT）。
mangle--此規則表擁有prerouting、FORWARD、postrouting三個規則鏈，除了進行網址轉譯工做會改寫封包外，在某些特殊應用可能也必須去改寫封包(ITL、TOS)或者是設定MARK(將封包做記號，以進行後續的過濾)這時就必須將這些工做定義在mangles規則表中。

-t 指定使用個表( 3個表：filter,nat,mangle)（filter：INPUT(處理進入的包),FORWORD(處理經過的包),OUTPUT(處理本地生成的包)；nat：PREROUTING (修改到來的包),OUTPUT（修改路由以前本地的包）,POSTROUTING（修改準備出去的包)；mangle：PREROUTING（修改路由以前進入的包),OUTPUT（修改路由以前本地的包)）
例：iptable -t nat -A  PREROUTING

二、鏈管理命令（這都是當即生效的）
-F 清空所選鏈 --> iptables -t nat -F 清空nat表的全部鏈
-N 根據給出的名稱創建一個新的用戶定義鏈 --> iptables -N inbound_tcp_web 表示附在tcp表上用於檢查web的。
-X 刪除指定的用戶自定義鏈, 使用方法跟-N相同，可是在刪除以前必需要將裏面的鏈給清空了
-P 設置鏈的目標規則，設置默認策略， iptables -P INPUT (DROP|ACCEPT)默認是關的/默認是開的，好比： iptables -P INPUT DROP
-E 根據用戶給出的名字對指定鏈進行重命名，-E oldname newname
-Z 清空鏈，及鏈中默認規則的計數器的（有兩個計數器，被匹配到多少個數據包，多少個字節）--> iptables -Z :清空

1)INPUT鏈
INPUT鏈做爲iptables的構建快，做用是控制目標爲本地系統的數據包是否能夠和本地套接字通訊，若是INPUT鏈中的第一條規則要求IPtables丟棄因此得數據包(或者INPUT鏈的策略設置爲DROP)，那麼全部試圖經過任何ip通訊方式(如TCP、UDP或ICMP)與系統直接通訊的努力都將失敗。ARP工做在數據鏈路層而不是網絡層，而iptables只過濾ip及其之上協議的數據包，因此iptables不能過濾arp協議的報文。

$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-OPTIONS --log-tcp-options
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

創建OUTPUT鏈規則集的命令以下所示：

$IPTABLES -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-options --log-tcp-options
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2)FORWARD 鏈
filter表中的forward鏈提供了對經過防火牆接口轉發數據包進行訪問控制的能力：

$IPTABLES -A FORWARD -m state --state INVALID -j LOG --log-prefix "DROP INVALID" -- log-ip-options --log-tcp-options
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

3)網絡地址轉換
iptables的nat表專用於定義全部的NAT規則，在這個表中有兩個鏈：PREROUTING和POSTROUTING，利用PREROUTING鏈將nat表中的規則應用到尚未經過內核中路由算法肯定應從哪一個接口傳輸的數據包，在這個鏈中處理的數據包也還沒有通過filter表中的INPUT或PREROUTING鏈的處理
POSTROUTING鏈負責處理通過內核中的路由算法肯定傳輸的物理接口並即將從該接口出去的數據包，由這個鏈處理的數據包已經過filter表中的output或forward鏈的檢查

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.10.3:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.10.3:443
$IPTABLES -t nat -A PREROUTING -p tcp --dport 53 -i eth0 -j DNAT --to 192.168.10.4:53

三、規則，經常使用命令：
-N 新的規則-->iptables -N allowed 定義新的規則
-A 追加規則-->iptables -A INPUT
-D 刪除規則-->iptables -D INPUT 1(編號)
-R 修改規則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現行規則，順序不變(1是位置)
-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則，本來位置上的規則將會日後移動一個順位
-L 查看規則-->iptables -L INPUT 列出規則鏈中的全部規則
    -n：以數字的方式顯示ip，它會將ip直接顯示出來，若是不加-n，則會將ip反向解析成主機名。
    -v：顯示詳細信息
     -vv
    -vvv :越多越詳細
     -x：在計數器上顯示精確值，不作單位換算
   --line-numbers : 顯示規則的行號
    -t nat：顯示全部的關卡的信息

四、匹配 (包含匹配擴展和目標擴展，大多數均可以經過在前面加上!來表示相反的意思）
擴展匹配模塊：tcp,udp,icmp,mac,limit,multiport,mark,owner,state,unclean,tos，多數後面會有參數，部分沒有。
寫法如（模塊 參數）：
state --state NEW , state --state ESTABLISHED,RELATED
tcp --tcp-flags SYN, ACK, FIN, RST SYN,    tcp --syn
icmp --icmp-type echo-request
limit --limit 1/s --limit-burst 5 //每秒中最多容許5個新鏈接
擴展目標模塊：LOG,MARK,TOS,MIRROR,SNAT,MASQUERADE,REDIRECT,DIAGNOSTICS,BUGS,COMPATIBILITY WITH IPCHAINS。
寫法如（模塊 參數）：LOG --log-level 5 --log-prefix "IPTABLES:" 

通用參數：
-p 協議  例：iptables -A INPUT -p tcp
-s 源地址 例：iptables -A INPUT -s 192.168.1.1
-d 目的地址 例：iptables -A INPUT -d 192.168.12.1
--sport 源端口 例:iptables -A INPUT -p tcp --sport 22
--dport 目的端口 例:iptables -A INPUT -p tcp --dport 22
-i 指定入口網卡 例:iptables -A INPUT -i eth0
-o 指定出口網卡 例:iptables -A FORWARD -o eth0

source--匹配源ip地址或網絡
state 匹配一組鏈接狀態， 這裏state是一個逗號分割的匹配鏈接狀態列表。可能的狀態是:INVALID表示包是未知鏈接，ESTABLISHED表示是雙向傳送的鏈接，NEW 表示包爲新的鏈接，不然是非雙向傳送的，而RELATED表示包由新鏈接開始，可是和一個已存在的鏈接在一塊兒，如FTP數據傳送，或者一個ICMP錯誤。
string--匹配應用層數據字節序列
comment--在內核內存中爲一個規則關聯多達256個字節的註釋數據

擴展匹配
1)隱含擴展：對協議的擴展
-p tcp :TCP協議的擴展。通常有三種擴展
--dport XX-XX：指定目標端口,不能指定多個非連續端口,只能指定單個端口，好比
--dport 21  或者 --dport 21-23 (此時表示21,22,23)
--sport：指定源端口
--tcp-fiags：TCP的標誌位（SYN,ACK,FIN,PSH，RST,URG）
    對於它，通常要跟兩個參數：
    1.檢查的標誌位
    2.必須爲1的標誌位
    --tcpflags syn,ack,fin,rst syn   =    --syn
    表示檢查這4個位，這4個位中syn必須爲1，其餘的必須爲0。因此這個意思就是用於檢測三次握手的第一次包的。對於這種專門匹配第一包的SYN爲1的包，還有一種簡寫方式，叫作--syn
-p udp：UDP協議的擴展
    --dport
    --sport
-p icmp：icmp數據報文的擴展
    --icmp-type：
    echo-request(請求回顯)，通常用8 來表示
    因此 --icmp-type 8 匹配請求回顯數據包
    echo-reply （響應的數據包）通常用0來表示
2)顯式擴展（-m）
擴展各類模塊
  -m multiport：表示啓用多端口擴展
  以後咱們就能夠啓用好比 --dports 21,23,80

五、目標（target)
-j 指定要進行的處理動做，經常使用的有：
DROP：丟棄
REJECT：明示拒絕
ACCEPT：接受
SNAT：基於原地址的轉換
--to-source：指定原地址
    好比咱們如今要將全部192.168.10.0網段的IP在通過的時候全都轉換成172.16.100.1這個假設出來的外網地址：

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1(外網有效ip)

這樣，只要是來自本地網絡的試圖經過網卡訪問網絡的，都會被通通轉換成172.16.100.1這個IP.
MASQUERADE(動態假裝）--家用帶寬獲取的外網ip，就是用到了動態假裝

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

DNAT目標地址轉換
--to-destination：指定目標地址

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.2

10.18訪問80端口轉換到100.2上
MASQUERADE：源地址假裝
REDIRECT：重定向：主要用於實現端口重定向
MARK：打防火牆標記的
RETURN：返回 在自定義鏈執行完畢後使用返回，來返回原規則鏈
LOG: 將數據包信息記錄到syslog

參考：

https://www.cnblogs.com/zclzhao/p/5081590.html

https://www.cnblogs.com/yinzhengjie/p/6256727.html

https://www.ibm.com/developerworks/cn/opensource/os-iptables/