CentOS下iptables詳解

一：前言

 

防火牆，其實說白了講，就是用於實現Linux下訪問控制的功能的，它分爲硬件的或者軟件的防火牆兩種。不管是在哪一個網絡中，防火牆工做的地方必定是在網絡的邊緣。而咱們的任務就是須要去定義到底防火牆如何工做，這就是防火牆的策略，規則，以達到讓它對出入網絡的IP、數據進行檢測。

 

目前市面上比較常見的有三、4層的防火牆，叫網絡層的防火牆，還有7層的防火牆，實際上是代理層的網關。

 

對於TCP/IP的七層模型來說，咱們知道第三層是網絡層，三層的防火牆會在這層對源地址和目標地址進行檢測。可是對於七層的防火牆，無論你源端口或者目標端口，源地址或者目標地址是什麼，都將對你全部的東西進行檢查。因此，對於設計原理來說，七層防火牆更加安全，可是這卻帶來了效率更低。因此市面上一般的防火牆方案，都是二者結合的。而又因爲咱們都須要從防火牆所控制的這個口來訪問，因此防火牆的工做效率就成了用戶可以訪問數據多少的一個最重要的控制，配置的很差甚至有可能成爲流量的瓶頸。

 

二：iptables 的歷史以及工做原理

 

1.iptables的發展:

 

iptables的前身叫ipfirewall （內核1.x時代）,這是一個做者從freeBSD上移植過來的，可以工做在內核當中的，對數據包進行檢測的一款簡易訪問控制工具。可是ipfirewall工做功能極其有限(它須要將全部的規則都放進內核當中，這樣規則纔可以運行起來，而放進內核，這個作法通常是極其困難的)。當內核發展到2.x系列的時候，軟件改名爲ipchains，它能夠定義多條規則，將他們串起來，共同發揮做用，而如今，它叫作iptables，能夠將規則組成一個列表，實現絕對詳細的訪問控制功能。

 

他們都是工做在用戶空間中，定義規則的工具，自己並不算是防火牆。它們定義的規則，能夠讓在內核空間當中的netfilter來讀取，而且實現讓防火牆工做。而放入內核的地方必需要是特定的位置，必須是tcp/ip的協議棧通過的地方。而這個tcp/ip協議棧必須通過的地方，能夠實現讀取規則的地方就叫作 netfilter.(網絡過濾器)

 

    做者一共在內核空間中選擇了5個位置，

    1.內核空間中：從一個網絡接口進來，到另外一個網絡接口去的

    2.數據包從內核流入用戶空間的

    3.數據包從用戶空間流出的

    4.進入/離開本機的外網接口

    5.進入/離開本機的內網接口

        

2.iptables的工做機制

 

從上面的發展咱們知道了做者選擇了5個位置，來做爲控制的地方，可是你有沒有發現，其實前三個位置已經基本上能將路徑完全封鎖了，可是爲何已經在進出的口設置了關卡以後還要在內部卡呢？ 因爲數據包還沒有進行路由決策，還不知道數據要走向哪裏，因此在進出口是沒辦法實現數據過濾的。因此要在內核空間裏設置轉發的關卡，進入用戶空間的關卡，從用戶空間出去的關卡。那麼，既然他們沒什麼用，那咱們爲何還要放置他們呢？由於咱們在作NAT和DNAT的時候，目標地址轉換必須在路由以前轉換。因此咱們必須在外網然後內網的接口處進行設置關卡。        

 

 這五個位置也被稱爲五個鉤子函數（hook functions）,也叫五個規則鏈。

1.PREROUTING (路由前)

2.INPUT (數據包流入口)

3.FORWARD (轉發管卡)

4.OUTPUT(數據包出口)

5.POSTROUTING（路由後）

        這是NetFilter規定的五個規則鏈，任何一個數據包，只要通過本機，必將通過這五個鏈中的其中一個鏈。       

 

3.防火牆的策略

 

防火牆策略通常分爲兩種，一種叫「通」策略，一種叫「堵」策略，通策略，默認門是關着的，必需要定義誰能進。堵策略則是，大門是洞開的，可是你必須有身份認證，不然不能進。因此咱們要定義，讓進來的進來，讓出去的出去，因此通，是要全通，而堵，則是要選擇。當咱們定義的策略的時候，要分別定義多條功能，其中：定義數據包中容許或者不容許的策略，filter過濾的功能，而定義地址轉換的功能的則是nat選項。爲了讓這些功能交替工做，咱們制定出了「表」這個定義，來定義、區分各類不一樣的工做功能和處理方式。

 

咱們如今用的比較多個功能有3個：

1.filter 定義容許或者不容許的

2.nat 定義地址轉換的 

                3.mangle功能:修改報文原數據

 

咱們修改報文原數據就是來修改TTL的。可以實現將數據包的元數據拆開，在裏面作標記/修改內容的。而防火牆標記，其實就是靠mangle來實現的。

 

小擴展:

對於filter來說通常只能作在3個鏈上：INPUT ，FORWARD ，OUTPUT

對於nat來說通常也只能作在3個鏈上：PREROUTING ，OUTPUT ，POSTROUTING

而mangle則是5個鏈均可以作：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

 

iptables/netfilter（這款軟件）是工做在用戶空間的，它可讓規則進行生效的，自己不是一種服務，並且規則是當即生效的。而咱們iptables如今被作成了一個服務，能夠進行啓動，中止的。啓動，則將規則直接生效，中止，則將規則撤銷。 

iptables還支持本身定義鏈。可是本身定義的鏈，必須是跟某種特定的鏈關聯起來的。在一個關卡設定，指定當有數據的時候專門去找某個特定的鏈來處理，當那個鏈處理完以後，再返回。接着在特定的鏈中繼續檢查。

 

注意：規則的次序很是關鍵，誰的規則越嚴格，應該放的越靠前，而檢查規則的時候，是按照從上往下的方式進行檢查的。

 

三．規則的寫法:

 

 iptables定義規則的方式比較複雜:

 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

 -t table ：3個filter nat mangle

 COMMAND：定義如何對規則進行管理

 chain：指定你接下來的規則究竟是在哪一個鏈上操做的，當定義策略的時候，是能夠省略的

 CRETIRIA:指定匹配標準

 -j ACTION :指定如何進行處理

 

 好比：不容許172.16.0.0/24的進行訪問。

 iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

 固然你若是想拒絕的更完全：

 iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

 

 iptables -L -n -v #查看定義規則的詳細信息

 

四：詳解COMMAND:

 

1.鏈管理命令（這都是當即生效的）

-P :設置默認策略的（設定默認門是關着的仍是開着的）

默認策略通常只有兩種

iptables -P INPUT (DROP|ACCEPT)  默認是關的/默認是開的

好比：

iptables -P INPUT DROP 這就把默認規則給拒絕了。而且沒有定義哪一個動做，因此關於外界鏈接的全部規則包括Xshell鏈接之類的，遠程鏈接都被拒絕了。

        -F: FLASH，清空規則鏈的(注意每一個鏈的管理權限)

    iptables -t nat -F PREROUTING

    iptables -t nat -F 清空nat表的全部鏈

        -N:NEW 支持用戶新建一個鏈

            iptables -N inbound_tcp_web 表示附在tcp表上用於檢查web的。

        -X: 用於刪除用戶自定義的空鏈

            使用方法跟-N相同，可是在刪除以前必需要將裏面的鏈給清空昂了

        -E：用來Rename chain主要是用來給用戶自定義的鏈重命名

            -E oldname newname

         -Z：清空鏈，及鏈中默認規則的計數器的（有兩個計數器，被匹配到多少個數據包，多少個字節）

            iptables -Z :清空

 

2.規則管理命令

         -A：追加，在當前鏈的最後新增一個規則

         -I num : 插入，把當前規則插入爲第幾條。

            -I 3 :插入爲第三條

         -R num：Replays替換/修改第幾條規則

            格式：iptables -R 3 …………

         -D num：刪除，明確指定刪除第幾條規則

        

3.查看管理命令 「-L」

 附加子命令

 -n：以數字的方式顯示ip，它會將ip直接顯示出來，若是不加-n，則會將ip反向解析成主機名。

 -v：顯示詳細信息

 -vv

 -vvv :越多越詳細

 -x：在計數器上顯示精確值，不作單位換算

 --line-numbers : 顯示規則的行號

 -t nat：顯示全部的關卡的信息

 

五：詳解匹配標準

 

1.通用匹配：源地址目標地址的匹配

 -s：指定做爲源地址匹配，這裏不能指定主機名稱，必須是IP

IP | IP/MASK | 0.0.0.0/0.0.0.0

並且地址能夠取反，加一個「!」表示除了哪一個IP以外

 -d：表示匹配目標地址

 -p：用於匹配協議的（這裏的協議一般有3種，TCP/UDP/ICMP）

 -i eth0：從這塊網卡流入的數據

流入通常用在INPUT和PREROUTING上

 -o eth0：從這塊網卡流出的數據

流出通常在OUTPUT和POSTROUTING上

        

2.擴展匹配

2.1隱含擴展：對協議的擴展

    -p tcp :TCP協議的擴展。通常有三種擴展

--dport XX-XX：指定目標端口,不能指定多個非連續端口,只能指定單個端口，好比

--dport 21  或者 --dport 21-23 (此時表示21,22,23)

--sport：指定源端口

--tcp-fiags：TCP的標誌位（SYN,ACK，FIN,PSH，RST,URG）

    對於它，通常要跟兩個參數：

1.檢查的標誌位

2.必須爲1的標誌位

--tcpflags syn,ack,fin,rst syn   =    --syn

表示檢查這4個位，這4個位中syn必須爲1，其餘的必須爲0。因此這個意思就是用於檢測三次握手的第一次包的。對於這種專門匹配第一包的SYN爲1的包，還有一種簡寫方式，叫作--syn

    -p udp：UDP協議的擴展

        --dport

        --sport

    -p icmp：icmp數據報文的擴展

        --icmp-type：

echo-request(請求回顯)，通常用8 來表示

因此 --icmp-type 8 匹配請求回顯數據包

echo-reply （響應的數據包）通常用0來表示

                  

2.2顯式擴展（-m）

     擴展各類模塊

      -m multiport：表示啓用多端口擴展

      以後咱們就能夠啓用好比 --dports 21,23,80

                  

        

六：詳解-j ACTION

 

 經常使用的ACTION：

 DROP：悄悄丟棄

通常咱們多用DROP來隱藏咱們的身份，以及隱藏咱們的鏈表

 REJECT：明示拒絕

 ACCEPT：接受

custom_chain：轉向一個自定義的鏈

 DNAT

 SNAT

 MASQUERADE：源地址假裝

 REDIRECT：重定向：主要用於實現端口重定向

 MARK：打防火牆標記的

 RETURN：返回

在自定義鏈執行完畢後使用返回，來返回原規則鏈。

 

練習題1：

     只要是來自於172.16.0.0/16網段的都容許訪問我本機的172.16.100.1的SSHD服務

     分析：首先確定是在容許表中定義的。由於不須要作NAT地址轉換之類的，而後查看咱們SSHD服務，在22號端口上，處理機制是接受，對於這個表，須要有一來一回兩個規則，若是咱們容許也好，拒絕也好，對於訪問本機服務，咱們最好是定義在INPUT鏈上，而OUTPUT再予以定義就好。(會話的初始端先定義)，因此加規則就是：

     定義進來的： iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT

     定義出去的： iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT

     將默認策略改爲DROP:

  iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP

        

七：狀態檢測：

 

是一種顯式擴展，用於檢測會話之間的鏈接關係的，有了檢測咱們能夠實現會話間功能的擴展

        什麼是狀態檢測？對於整個TCP協議來說，它是一個有鏈接的協議，三次握手中，第一次握手，咱們就叫NEW鏈接，而從第二次握手之後的，ack都爲1，這是正常的數據傳輸，和tcp的第二次第三次握手，叫作已創建的鏈接（ESTABLISHED）,還有一種狀態，比較詭異的，好比：SYN=1 ACK=1 RST=1,對於這種咱們沒法識別的，咱們都稱之爲INVALID沒法識別的。還有第四種，FTP這種古老的擁有的特徵，每一個端口都是獨立的，21號和20號端口都是一去一回，他們之間是有關係的，這種關係咱們稱之爲RELATED。

因此咱們的狀態一共有四種：

        NEW

        ESTABLISHED

        RELATED

        INVALID

 

因此咱們對於剛纔的練習題，能夠增長狀態檢測。好比進來的只容許狀態爲NEW和ESTABLISHED的進來，出去只容許ESTABLISHED的狀態出去，這就能夠將比較常見的反彈式木馬有很好的控制機制。

        

對於練習題的擴展：

進來的拒絕出去的容許，進來的只容許ESTABLISHED進來，出去只容許ESTABLISHED出去。默認規則都使用拒絕

iptables -L -n --line-number  ：查看以前的規則位於第幾行

    改寫INPUT

        iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

        iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

 

    此時若是想再放行一個80端口如何放行呢？

        iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

 

        iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT

 

練習題2：

假如咱們容許本身ping別人，可是別人ping本身ping不通如何實現呢？

分析：對於ping這個協議，進來的爲8（ping），出去的爲0(響應).咱們爲了達到目的，須要8出去,容許0進來

 

在出去的端口上：iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

在進來的端口上：iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

 

小擴展：對於127.0.0.1比較特殊，咱們須要明肯定義它

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

 

八：SNAT和DNAT的實現

 

因爲咱們如今IP地址十分緊俏，已經分配完了，這就致使咱們必需要進行地址轉換，來節約咱們僅剩的一點IP資源。那麼經過iptables如何實現NAT的地址轉換呢？

 

1.SNAT基於原地址的轉換

基於原地址的轉換通常用在咱們的許多內網用戶經過一個外網的口上網的時候，這時咱們將咱們內網的地址轉換爲一個外網的IP，咱們就能夠實現鏈接其餘外網IP的功能。

因此咱們在iptables中就要定義到底如何轉換：

定義的樣式：

好比咱們如今要將全部192.168.10.0網段的IP在通過的時候全都轉換成172.16.100.1這個假設出來的外網地址：

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1

這樣，只要是來自本地網絡的試圖經過網卡訪問網絡的，都會被通通轉換成172.16.100.1這個IP.

那麼，若是172.16.100.1不是固定的怎麼辦？

咱們都知道當咱們使用聯通或者電信上網的時候，通常它都會在每次你開機的時候隨機生成一個外網的IP，意思就是外網地址是動態變換的。這時咱們就要將外網地址換成 MASQUERADE(動態假裝):它能夠實現自動尋找到外網地址，而自動將其改成正確的外網地址。因此，咱們就須要這樣設置：

         iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

         這裏要注意：地址假裝並不適用於全部的地方。

 

2.DNAT目標地址轉換

對於目標地址轉換，數據流向是從外向內的，外面的是客戶端，裏面的是服務器端 經過目標地址轉換，咱們可讓外面的ip經過咱們對外的外網ip來訪問咱們服務器不一樣的服務器，而咱們的服務卻放在內網服務器的不一樣的服務器上。

 

    如何作目標地址轉換呢？：

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2

        目標地址轉換要作在到達網卡以前進行轉換,因此要作在PREROUTING這個位置上

 

九：控制規則的存放以及開啓

 

注意：你所定義的全部內容，當你重啓的時候都會失效，要想咱們可以生效，須要使用一個命令將它保存起來

1.service iptables save 命令

它會保存在/etc/sysconfig/iptables這個文件中

    2.iptables-save 命令

iptables-save > /etc/sysconfig/iptables

 

    3.iptables-restore 命令

開機的時候，它會自動加載/etc/sysconfig/iptabels

若是開機不能加載或者沒有加載，而你想讓一個本身寫的配置文件（假設爲iptables.2）手動生效的話：

iptables-restore < /etc/sysconfig/iptables.2

則完成了將iptables中定義的規則手動生效

 

 

十：總結

         Iptables是一個很是重要的工具，它是每個防火牆上幾乎必備的設置，也是咱們在作大型網絡的時候，爲了不少緣由而必需要設置的。學好Iptables,可讓咱們對整個網絡的結構有一個比較深入的瞭解，同時，咱們還可以將內核空間中數據的走向以及linux的安全給掌握的很是透徹。咱們在學習的時候，儘可能能結合着各類各樣的項目，實驗來完成，這樣對你加深iptables的配置，以及各類技巧有很是大的幫助。

 

命令 -A, --append

範例 iptables -A INPUT ...

說明 新增規則到某個規則煉中，該規則將會成爲規則煉中的最後一條規則。

命令 -D, --delete

範例 iptables -D INPUT --dport 80 -j DROP

iptables -D INPUT 1

說明 從某個規則煉中刪除一條規則，能夠輸入完整規則，或直接指定規則編號加以刪除。

命令 -R, --replace

範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP

說明 取代現行規則，規則被取代後並不會改變順序。

命令 -I, --insert

範例 iptables -I INPUT 1 --dport 80 -j ACCEPT

說明 插入一條規則，本來該位置上的規則將會日後移動一個順位。

命令 -L, --list

範例 iptables -L INPUT

說明 列出某規則煉中的全部規則。

命令 -F, --flush

範例 iptables -F INPUT

說明 刪除某規則煉中的全部規則。

命令 -Z, --zero

範例 iptables -Z INPUT

說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。

命令 -N, --new-chain

範例 iptables -N allowed

說明 定義新的規則煉。

命令 -X, --delete-chain

範例 iptables -X allowed

說明 刪除某個規則煉。

命令 -P, --policy

範例 iptables -P INPUT DROP

說明 定義過濾政策。 也就是未符合過濾條件之封包，預設的處理方式。

命令 -E, --rename-chain

範例 iptables -E allowed disallowed

說明 修改某自訂規則煉的名稱。

經常使用封包比對參數：

參數 -p, --protocol

範例 iptables -A INPUT -p tcp

說明 比對通信協議類型是否相符，可使用 ! 運算子進行反向比對，例如：-p ! tcp ，意思是指除 tcp 之外的其它類型，包含 udp、icmp ...等。若是要比對全部類型，則可使用 all 關鍵詞，例如：-p all。

參數 -s, --src, --source

範例 iptables -A INPUT -s 192.168.1.1

說明 用來比對封包的來源 IP，能夠比對單機或網絡，比對網絡時請用數字來表示屏蔽，例如：-s 192.168.0.0/24，比對 IP 時也可使用 ! 運算子進行反向比對，例如：-s ! 192.168.0.0/24。

參數 -d, --dst, --destination

範例 iptables -A INPUT -d 192.168.1.1

說明 用來比對封包的目的地 IP，設定方式同上。

參數 -i, --in-interface

範例 iptables -A INPUT -i eth0

說明 用來比對封包是從哪片網卡進入，可使用通配字符 + 來作大範圍比對，例如：-i eth+ 表示全部的 ethernet 網卡，也可使用 ! 運算子進行反向比對，例如：-i ! eth0。

參數 -o, --out-interface

範例 iptables -A FORWARD -o eth0

說明 用來比對封包要從哪片網卡送出，設定方式同上。

參數 --sport, --source-port

範例 iptables -A INPUT -p tcp --sport 22

說明 用來比對封包的來源埠號，能夠比對單一埠，或是一個範圍，例如：--sport 22:80，表示從 22 到 80

埠之間都算是符合條件，若是要比對不連續的多個埠，則必須使用 --multiport 參數，詳見後文。比對埠號時，可使用 !

運算子進行反向比對。

參數 --dport, --destination-port

範例 iptables -A INPUT -p tcp --dport 22

說明 用來比對封包的目的地埠號，設定方式同上。

參數 --tcp-flags

範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN

說明 比對 TCP

封包的狀態旗號，參數分爲兩個部分，第一個部分列舉出想比對的旗號，第二部分則列舉前述旗號中哪些有被設定，未被列舉的旗號必須是空的。TCP

狀態旗號包括：SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)

等都可使用於參數中，除此以外還可使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時，可使用 ! 運算子進行反向比對。

參數 --syn

範例 iptables -p tcp --syn

說明 用來比對是否爲要求聯機之 TCP 封包，與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的做用徹底相同，若是使用 ! 運算子，可用來比對非要求聯機封包。

參數 -m multiport --source-port

範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110

說明 用來比對不連續的多個來源埠號，一次最多能夠比對 15 個埠，可使用 ! 運算子進行反向比對。

參數 -m multiport --destination-port

範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110

說明 用來比對不連續的多個目的地埠號，設定方式同上。

參數 -m multiport --port

範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110

說明 這個參數比較特殊，用來比對來源埠號和目的埠號相同的封包，設定方式同上。注意：在本範例中，若是來源端口號爲 80 但目的地埠號爲 110，這種封包並不算符合條件。

參數 --icmp-type

範例 iptables -A INPUT -p icmp --icmp-type 8

說明 用來比對 ICMP 的類型編號，可使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼能夠用。

參數 -m limit --limit

範例 iptables -A INPUT -m limit --limit 3/hour

說明 用來比對某段時間內封包的平均流量，上面的例子是用來比對：每小時平均流量是否超過一次 3 個封包。

除了每小時平均一次外，也能夠每秒鐘、每分鐘或天天平均一次，默認值爲每小時平均一次，參數如後： /second、 /minute、/day。

除了進行封包數量的比對外，設定這個參數也會在條件達成時，暫停封包的比對動做，以免因駭客使用洪水攻擊法，致使服務被阻斷。

參數 --limit-burst

範例 iptables -A INPUT -m limit --limit-burst 5

說明 用來比對瞬間大量封包的數量，上面的例子是用來比對一次同時涌入的封包是否超過 5 個(這是默認值)，超過此上限的封包將被直接丟棄。使用效果同上。

參數 -m mac --mac-source

範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

說明 用來比對封包來源網絡接口的硬件地址，這個參數不能用在 OUTPUT 和 Postrouting

規則煉上，這是由於封包要送出到網卡後，才能由網卡驅動程序透過 ARP 通信協議查出目的地的 MAC 地址，因此 iptables

在進行封包比對時，並不知道封包會送到哪一個網絡接口去。