一:何为iptables
iptables 准确来说应该叫做网络防火墙规则生成器,工作在网络层,真正的网络防火墙是有iptables和netfilter组成,netfilter工做在内核当中。
二:iptables的表与链
1. Filter表---------- 过滤作用
Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链: INPUT链 – 处理来自外部的数据。匹配目的ip是本机的数据包 OUTPUT链 – 处理向外发送的数据。匹配从本机出去的数据包 FORWARD链 – 将数据转发到本机的其他网卡设备上。匹配通过本机的数据包,从外部来,通过本机,又转发到外部
2. NAT表------------ 做网络地址转换的(network address translator)
NAT表有三种内建链: PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(desti nation ip address),通常用于DNAT(destination NAT)。用于修改目的地址 destination nat POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address ),通常用于SNAT(source NAT)。用于修改源地址 source nat OUTPUT链 – 处理本机产生的数据包。
3. Mangle表--------Mangle表用于指定如何处理数据包。
它能改变TCP头中的QoS位。Mangle表具有5个内建链: PREROUTING OUTPUT FORWARD INPUT POSTROUTING
4. Raw表-------关闭nat表上启用连接追踪功能
它具有两个内建链 preroutting output
iptables 链示意图
iptables做路由转发功能时要打开 net.ipv4.ip_forward = 1
路径为 /etc/sysctl.conf
三:iptables命令格式
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]表名
表名
filter
nat
mangle
raw
优先级:raw > mangle > nat > filter
默认表为filter (没有指定表名就是指在filter上)
表名为小写
管理选项
-A或—append <链名> 在规则列表的最后增加1条规则 -I或--insert <链名> 在指定的位置插入1条规则,根据给出的规则序号向所选链中插入规则。如果序号为1,规则会被 插入链的头部,默认序号就是1。 -D或--delete <链名> 从规则列表中删除1条规则 -R或--replace <链名> 替换规则列表中的某条规则 -P或--policy <链名> 定义默认策略 -F或--flush <链名> 删除表中所有规则,如果没有指定链,则清空指定表中的所有链。如果什么都没有指定,就清空 默认表所有的链。 -Z或--zero <链名> 将表中数据包计数器和流量计数器归零 -L或--list <链名> 查看iptables规则列表,显示所选链的所有规则。如果没有指定链,则显示指定表中的所有链。如 果什么都没有指定,就显示默认表所有的链。 例:iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP在表filter的FORWARD链序号为1的位置插 入一条拒绝来源IP地址为192.168.1.0网段通过tcp协议访问的目标端口为21的数据包。
条件匹配
1)通用匹配规则
-s 源地址(source) 指定数据包的源地址 参数可以使IP地址、网络地址、主机名 例如:-s 192.168.1.101指定IP地址 例如:-s 192.168.1.10/24指定网络地址 如果不指定-s参数,就代表所有地址 还可以使用–src或者–source -d 目的地址(destination) 指定目的地址 参数和-s相同 还可以使用–dst或者–destination 如:... -d 192.168.1.101 -o 输出(out interface) -o代表”output interface” -o指定了数据包由哪个接口输出 这些数据包即将进入FORWARD, OUTPUT, POSTROUTING链 如果不指定-o选项,那么系统上的所有接口都可以作为输出接口 如果出现! -o eth0,那么将从eth0以外的接口输出 如果出现-i eth+,那么将仅从eth开头的接口输出 还可以使用–out-interface参数 -i 输入接口(input interface) -i代表输入接口(input interface) -i指定了要处理来自哪个接口的数据包 这些数据包即将进入INPUT, FORWARD, PREROUTE链 例如:-i eth0指定了要处理经由eth0进入的数据包 如果不指定-i参数,那么将处理进入所有接口的数据包 如果出现! -i eth0,那么将处理所有经由eth0以外的接口进入的数据包 如果出现-i eth+,那么将处理所有经由eth开头的接口进入的数据包 还可以使用–in-interface参数 -p 协议(protocol) 指定规则的协议,如tcp, udp, icmp等,可以使用all来指定所有协议。 如果不指定-p参数,则默认是all值。这并不明智,请总是明确指定协议名称。 可以使用协议名(如tcp),或者是协议值(比如6代表tcp)来指定协议。映射关系请查看/etc/protocols 还可以使用–protocol参数代替-p参数 如:... -p tcp ; -p udp
2)扩展匹配
隐式扩展
-–sport 源端口(source port)针对 -p tcp 或者 -p udp 缺省情况下,将匹配所有端口 可以指定端口号或者端口名称,例如”-–sport 22″与”-–sport ssh”。 /etc/services文件描述了上述映射关系。 从性能上讲,使用端口号更好 使用冒号可以匹配端口范围,如”–sport 22:100″ 还可以使用”–source-port”如:... -p tcp --sport 22 –-dport 目的端口(destination port)针对-p tcp 或者 -p udp 参数和–sport类似 还可以使用”–destination-port”如:... -p udp --dport 53 -–tcp-flags TCP标志 针对-p tcp 可以指定由逗号分隔的多个参数 有效值可以是:SYN, ACK, FIN, RST, URG, PSH 可以使用ALL或者NONE -–icmp-type ICMP类型 针对-p icmp –icmp-type 0 表示Echo Reply –icmp-type 8 表示Echo
显示扩展
-m 扩展模块名称 multiport 多端口匹配 --sports [Port1,Port2,.....] 最多指定15个端口 --dports [Port1,Port2,.....] iprange:匹配一段连续的地址 [!] --src -range IP [!] --dst -range IP string:字符串匹配,能够检测报文应用中的字符串 字符匹配检查高效算法 kmp, bm 专用选项:--algo {kmp|bm} --string "STRING" --hex-string "HEX_STRING": HEX_STRING为编码成16进制格式的字串 例:iptables -I OUTPUT -m string --algo kmp --string "sex" -j DROP time: 基于时间做访问控制 专用选项: --datestart YYYY[-MM][-DD[Thh[:mm[:ss]]]] --datestop --timestart hh:mm[:ss] --timestop hh:mm[:ss] --weekdays day[,day] Mon, Tue, # iptables -I INPUT -d 172.16.100.7 -p tcp --dport 80 -m time --timestart 08 :20 --timestop 18:40 --weekdays Mon,Tue,Thu,Fri -j REJECT connlimit: 连接数限制,对每IP所能够发起并发连接数做限制; 专用选项:[!] --connlimit-above [n] 例子:iptables -A INPUT -d 172.16.100.7 -p tcp --dport 22 -m connlimit --connlimi t-above 2 -j DROP limit: 速率限制 专用选项: --limit n[/second|/minute|/hour|/day] --limit-burst n 例子:# iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 5 -j ACCEPT state: 状态检查 专用选项: --state 连接追踪中的状态: NEW: 新建立一个会话 ESTABLISHED:已建立的连接 RELATED: 有关联关系的连接 INVALID: 无法识别的连接
四:清空查看iptables
清空iptables
在配置iptables之前,你通常需要用iptables --list命令或者iptables-save命令查看有无现存规则,因为有时需要删 除现有的iptables规则: iptables --flush 或者 iptables -F 这两条命令是等效的。但是并非执行后就万事大吉了。你仍然需要检查规则是不是真的清空了,因为有的linux发行版 上这个命令不会清除NAT表中的规则,此时只能手动清除 iptables -F INPUT #清空filter表INPUT链中的所有规则 iptables -t nat -F PREROUTING iptables -t nat vxnL PREROUTING --# v: 显示详细信息 --# x: 在v的基础上,禁止自动单位换算 --# n: 只显示IP地址和端口号码,不显示域名和服务名称 iptables -L 查看规则
保存iptables
iptables-save > /etc/iptables.rules