一、安装iptables服务
1、查看系统是否安装了iptables防火墙
[root@localhost ~]# iptables -V
2、安装 iptables 防火墙
3、查看防火墙规则列表
[root@localhost ~]# iptables --list
[root@localhost ~]# iptables --list-rules
二、开启、关闭、重启 iptables 服务
1、通过 service 操作防火墙
[root@localhost ~]# service iptables stop # 关闭防火墙(清空规则)
[root@localhost ~]# service iptables start # 启动防火墙(读取配置文件里的规则)
[root@localhost ~]# service iptables restart # 重启防火墙(清空规则读取配置文件里规则)
[root@localhost ~]# service iptables save # 保存防火墙(规则保存到配置文件中)
[root@localhost ~]# service iptables status # 查看防火墙启动状态(查看当前使用的规则)
[root@localhost ~]# service iptables reload # 重新加载相关配置,效果和restart一样,很多新的系统中一般不用了。
三、规则设定
1、开放端口(这种情况下所有ip均能访问3120端口,即对外暴露3120端口了)
[root@localhost ~] iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 3120 -j ACCEPT # 开启防火墙 3120 端口,方式一
[root@localhost ~] iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3120 -j ACCEPT # 开启防火墙 3120 端口,方式二
2、关闭端口
[root@localhost ~] iptables -D INPUT -p tcp -m state --state NEW -m tcp --dport 3120 -j ACCEPT # 删除防火墙 3120 端口。方式一
[root@localhost ~] iptables -nv --line-number
3、屏蔽指定IP:拒绝指定IP,所有端口都不能访问
[root@localhost ~]# iptables -I INPUT -s 1.1.1.1 -j DROP # 添加屏蔽IP,方式一
[root@localhost ~]# iptables -A INPUT -s 1.1.1.1 -j DROP # 添加屏蔽IP,方式二
[root@localhost ~]# iptables -D INPUT -s 1.1.1.1 -j DROP # 删除屏蔽IP
4、放行指定IP:允许指定IP,所有端口都可以访问
[root@localhost ~]# iptables -I INPUT -s 1.1.1.1 -j ACCEPT # 添加放行IP,方式一
[root@localhost ~]# iptables -A INPUT -s 1.1.1.1 -j ACCEPT # 添加放行IP,方式二
[root@localhost ~]# iptables -D INPUT -s 1.1.1.1 -j ACCEPT # 删除放行IP
5、允许指定 IP 访问指定端口
iptables -I INPUT -s 1.1.1.1 -p tcp --dport 3120 -j ACCEPT
iptables -D INPUT -s 1.1.1.1 -p tcp --dport 3120 -j ACCEPT
6、拒绝指定 IP 访问指定端口
iptables -I INPUT -s 1.1.1.1 -p tcp --dport 3120 -j DROP
iptables -D INPUT -s 1.1.1.1 -p tcp --dport 3120 -j DROP
7、重启后生效
[root@localhost ~]# chkconfig iptables off # 永久关闭防火墙
[root@localhost ~]# chkconfig iptables on # 永久关闭后重启
8、ping设置
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # 允许PING设置
[root@localhost ~]# iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP # 禁止PING设置
四、端口转发
1、开启系统的转发功能,开启内核 ip_forward 转发。sysctl配置ipv4转发
[root@localhost ~]# sysctl -w net.ipv4.ip_forward=1 # 方式一:临时生效
[root@localhost ~]# vim /etc/sysctl.conf # 方式二:永久生效,更改net.ipv4.ip_forward的值为1:net.ipv4.ip_forward = 1。默认值为0
[root@localhost ~]# sysctl -p # 使用命令让配置马上生效
[root@localhost ~]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@localhost ~]# sysctl -p /etc/sysctl.conf
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward # 方式三
2、将本机的端口转发到本机端口,这种情况不需要第一步
[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp --dport 88 -j REDIRECT --to-port 3120 # 添加端口转发
[root@localhost ~]# iptables -t nat -D PREROUTING -p tcp --dport 88 -j REDIRECT --to-port 3120 # 删除端口转发
3、将本机的端口转发到其他机器,这种情况就需要第一步
[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp --dport This_Server_Port -j DNAT --to-destination Remote_Server_IP:Remote_Server_Port
[root@localhost ~]# iptables -t nat -A POSTROUTING -p tcp -d Remote_Server_IP --dport Remote_Server_Port -j SNAT --to-source This_Server_IP
[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp --dport 8006 -j DNAT --to-destination 32.23.56.69:3120 # 第一步:访问8006端口的数据包转发到32.23.56.69上的3120端口
[root@localhost ~]# iptables -t nat -A POSTROUTING -j MASQUERADE # 第二步:任选其一,一般选这个就行
[root@localhost ~]# iptables -t nat -A POSTROUTING -p tcp -d 32.23.56.69 --dport 3120 -j SNAT --to-source 172.16.16.10 # 第二步:任选其一
4、如果上面操作完还不行的话,就放行转发命令。这一步一般不需要。
[root@localhost ~]# iptables -I FORWARD -i eth0 -j ACCEPT # 放行Forward的数据包,其中eth0改为实际使用网卡(一般是eth0)
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 开启网卡混杂模式(允许任意流向的数据包)
[root@localhost ~]# iptables -D FORWARD -i eth0 -j ACCEPT # 删除第一条
[root@localhost ~]# iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE # 删除第二条
5、抓包测试
# 方式一
[root@localhost ~]# tcpdump -S -s0 -nn -i any port 8006 # 本地端抓包,可以不用管这条命令
[root@localhost ~]# tcpdump -S -nn -i any port 8006 or port 3120 # 在中间服务器上执行这条命令
[root@localhost ~]# tcpdump -S -nn -i any port 3120 # 在目的服务器上执行这条命令
# 方式二:-i 选项指定网卡,-w 选项保存结果到文件当中。
[root@localhost ~]# tcpdump -i eth0 port 3120 or 8006 -w result.cap
6、名词解释
- DNAT是destination networkaddress translation的缩写,即目标网络地址转换。
- SNAT是source networkaddress translation的缩写,即源地址目标转换。
- MASQUERADE,地址伪装,算是snat中的一种特例,可以实现自动化的snat。
五、配置文件:/etc/sysconfig/iptables
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 开启防火墙端口80、443、3306
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 39000:40000 -j ACCEPT
# 允许PING设置
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
六、链的基本操作
# 清除预设表filter中所有规则链中的规则。
[root@localhost ~]# iptables -F
# 清除预设表filter中使用者自定链中的规则。
[root@localhost ~]# iptables -X
[root@localhost ~]# iptables -Z
# 设置链的默认策略。一般有两种方法。
# 首先允许所有的包,然后再禁止有危险的包通过放火墙。
[root@localhost ~]# iptables -P INPUT ACCEPT
[root@localhost ~]# iptables -P OUTPUT ACCEPT
[root@localhost ~]# iptables -P FORWARD ACCEPT
# 首先禁止所有的包,然后根据需要的服务允许特定的包通过防火墙。
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -P OUTPUT DROP
[root@localhost ~]# iptables -P FORWARD DROP
# 列出表/链中的所有规则。默认只列出filter表。
[root@localhost ~]# iptables -L
七、通过 ipset 来封禁IP
[root@localhost ~]# ipset list
[root@localhost ~]# ipset create allset hash:net
[root@localhost ~]# ipset add allset 145.201.56.109
[root@localhost ~]# ipset del allset 145.201.56.109
[root@localhost ~]# iptables -I INPUT -m set --match-set allset src -p tcp -j DROP
[root@localhost ~]# iptables -D INPUT -m set --match-set allset src -p tcp -j DROP
:跟ufw使用ipset差不多