防火墙iptables分析

防火墙iptables分析

一、iptables 基本概念

匹配（match）：符合指定的条件，比如指定的 IP 地址和端口。

丢弃（drop）：当一个包到达时，简单地丢弃，不做其它任何处理。

接受（accept）：和丢弃相反，接受这个包，让这个包通过。

拒绝（reject）：和丢弃相似，但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定，也可以自动产生。

目标（target）：指定的动作，说明如何处理一个包，比如：丢弃，接受，或拒绝。

跳转（jump）：和目标类似，不过它指定的不是一个具体的动作，而是另一个链，表示要跳转到那个链上。

规则（rule）：一个或多个匹配及其对应的目标。

链（chain）：每条链都包含有一系列的规则，这些规则会被依次应用到每个遍历该链的数据包上。每个链都有各自专门的用途， 这一点我们下面会详细讨论。

表（table）：每个表包含有若干个不同的链，比如 filter 表默认包含有 INPUT，FORWARD，OUTPUT 三个链。iptables有四个表，分别是：raw，nat，mangle和filter，每个表都有自己专门的用处，比如最常用filter表就是专门用来做包过滤的，而 nat 表是专门用来做NAT的。

策略（police）：我们在这里提到的策略是指，对于 iptables 中某条链，当所有规则都匹配不成功时其默认的处理动作。

连接跟踪（connection track）：又称为动态过滤，可以根据指定连接的状态进行一些适当的过滤，是一个很强大的功能，但同时也比较消耗内存资源。

二、iptables的数据包流程

图1经过iptables的数据包流程

图1表达了数据包经过iptables的基本流程，从图中可将数据包报文的处理过程分为三种类型。

更多iptables相关教程见以下内容：

CentOS 7.0关闭默认防火墙启用iptables防火墙  http://www.linuxidc.com/Linux/2015-05/117473.htm

iptables使用范例详解 http://www.linuxidc.com/Linux/2014-03/99159.htm

Linux防火墙iptables详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux下防火墙iptables用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm

Linux下iptables防火墙设置 http://www.linuxidc.com/Linux/2015-10/123843.htm

1）        目的为本机的报文

报文以本机为目的地址时，其经过iptables的过程为：

1.    数据包从network到网卡

2.    网卡接收到数据包后，进入raw表的PREROUTING链。这个链的作用是在连接跟踪之前处理报文，能够设置一条连接不被连接跟踪处理。(注：不要在raw表上添加其他规则)

3.    如果设置了连接跟踪，则在这条连接上处理。

4.    经过raw处理后，进入mangle表的PREROUTING链。这个链主要是用来修改报文的TOS、TTL以及给报文设置特殊的MARK。(注：通常mangle表以给报文设置MARK为主，在这个表里面，千万不要做过滤/NAT/伪装这类的事情)

5.    进入nat表的PREROUTING链。这个链主要用来处理 DNAT，应该避免在这条链里面做过滤，否则可能造成有些报文会漏掉。(注：它只用来完成源/目的地址的转换)

6.    进入路由决定数据包的处理。例如决定报文是上本机还是转发或者其他地方。(注：此处假设报文交给本机处理)

7.    进入 mangle 表的 INPUT 链。在把报文实际送给本机前，路由之后，我们可以再次修改报文。

8.    进入 filter 表的 INPUT 链。在这儿我们对所有送往本机的报文进行过滤，要注意所有收到的并且目的地址为本机的报文都会经过这个链，而不管哪个接口进来的或者它往哪儿去。

9.    进过规则过滤，报文交由本地进程或者应用程序处理，例如服务器或者客户端程序。

2）        本地主机发出报文

数据包由本机发出时，其经过iptables的过程为：

1.    本地进程或者应用程序（例如服务器或者客户端程序）发出数据包。

2.    路由选择，用哪个源地址以及从哪个接口上出去，当然还有其他一些必要的信息。

3.    进入 raw 表的 OUTPUT 链。 这里是能够在连接跟踪生效前处理报文的点，在这可以标记某个连接不被连接跟踪处理。

4.    连接跟踪对本地的数据包进行处理。

5.    进入 mangle 表的 OUTPUT 链，在这里我们可以修改数据包，但不要做过滤(以避免副作用)。

6.    进入 nat 表的 OUTPUT 链，可以对防火墙自己发出的数据做目的NAT(DNAT) 。

7.    进入 filter 表的 OUTPUT 链，可以对本地出去的数据包进行过滤。

8.    再次进行路由决定，因为前面的 mangle 和 nat 表可能修改了报文的路由信息。

9.    进入 mangle 表的 POSTROUTING 链。这条链可能被两种报文遍历，一种是转发的报文，另外就是本机产生的报文。

10.        进入 nat 表的 POSTROUTING 链。在这我们做源 NAT（SNAT），建议你不要在这做报文过滤，因为有副作用。即使你设置了默认策略，一些报文也有可能溜过去。

11.        进入出去的网络接口。

3）        转发报文

报文经过iptables进入转发的过程为：

1.    数据包从network到网卡

2.    网卡接收到数据包后，进入raw表的PREROUTING链。这个链的作用是在连接跟踪之前处理报文，能够设置一条连接不被连接跟踪处理。(注：不要在raw表上添加其他规则)

3.    如果设置了连接跟踪，则在这条连接上处理。

4.    经过raw处理后，进入mangle表的PREROUTING链。这个链主要是用来修改报文的TOS、TTL以及给报文设置特殊的MARK。(注：通常mangle表以给报文设置MARK为主，在这个表里面，千万不要做过滤/NAT/伪装这类的事情)

5.    进入nat表的PREROUTING链。这个链主要用来处理 DNAT，应该避免在这条链里面做过滤，否则可能造成有些报文会漏掉。(注：它只用来完成源/目的地址的转换)

6.    进入路由决定数据包的处理。例如决定报文是上本机还是转发或者其他地方。(注：此处假设报文进行转发)

7.    进入 mangle 表的 FORWARD 链，这里也比较特殊，这是在第一次路由决定之后，在进行最后的路由决定之前，我们仍然可以对数据包进行某些修改。

8.    进入 filter 表的 FORWARD 链，在这里我们可以对所有转发的数据包进行过滤。需要注意的是：经过这里的数据包是转发的，方向是双向的。

9.    进入 mangle 表的 POSTROUTING 链，到这里已经做完了所有的路由决定，但数据包仍然在本地主机，我们还可以进行某些修改。

10.        进入 nat 表的 POSTROUTING 链，在这里一般都是用来做 SNAT ，不要在这里进行过滤。

11.        进入出去的网络接口。

更多详情见请继续阅读下一页的精彩内容： http://www.linuxidc.com/Linux/2016-07/133068p2.htm

三、iptables的表、链、和规则

图2 iptables的表、链和规则的关系

规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。

从图2中可看出，表与链的关系，raw、mangle、nat和filter四个表所含的链是不同的：

raw表有PREROUTING链和OUTPUT链；

mangle表有PREROUTING链、POSTROUTING链、INPUT链、OUTPUT链和FORWARD链；

nat表有PREROUTING链、POSTROUTING链和OUTPUT链四个链；

filter表有INPUT链、FORWARD链和OUTPUT链。

四、常用iptables过滤规则

1）        iptables规则添加的命令：

iptables [-t table] command [match] [target/jump]

以图形简略表示如下，

图3 iptables命令

iptables命令中的command参数，match参数以及target/jump参数的具体含义可参考linux中的man手册或iptables指南。

2）        常用iptables过滤规则

1.    删除现有规则

iptables -F    或者  iptables –flush

2.    设置默认链策略

ptables的filter表中有三种链：INPUT, FORWARD和OUTPUT。默认的链策略是ACCEPT，可以将它们设置成DROP，命令如下：

iptables -P INPUT DROP              修改INPUT链的默认策略为DROP

iptables -P FORWARD DROP      修改FORWARD链

iptables -P OUTPUT DROP          修改OUTPUT链

3.    屏蔽指定的IP地址

以下规则将屏蔽BLOCK_THIS_IP所指定的IP地址访问本地主机：

BLOCK_THIS_IP=”x.x.x.x”

iptables -A INPUT -i eth0 -s “$BLOCK_THIS_IP” -j DROP

(或者仅屏蔽来自该IP的TCP数据包）

iptables -A INPUT -i eth0 -p tcp -s “$BLOCK_THIS_IP” -j DROP

4.    屏蔽来自外部的ping

iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

iptables -A OUTPUT -p icmp –icmp-type echo-reply -j DROP

5.    屏蔽从本机ping外部主机

iptables -A OUTPUT -p icmp –icmp-type echo-request -j DROP

iptables -A INPUT -p icmp –icmp-type echo-reply -j DROP

6.    屏蔽环回(loopback)访问

iptables -A INPUT -i lo -j DROP

iptables -A OUTPUT -o lo -j DROP

7.    允许所有SSH连接请求

本规则允许所有来自外部的SSH连接请求，也就是说，只允许进入eth0接口，并且目的端口为22的数据包。

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

8.    允许从本地发起的SSH连接

本规则允许本机发起SSH连接：

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

9.    仅允许来自指定网络的SSH连接请求

以下规则仅允许来自172.16.132.0/24的网络：

iptables -A INPUT -i eth0 -p tcp -s 172.16.132.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

10.  仅允许从本地发起到指定网络的SSH连接请求

以下规则仅允许从本地主机连接到172.16.1132.0/24的网络：

iptables -A OUTPUT -o eth0 -p tcp -d 172.16.132.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

11.  允许HTTP/HTTPS连接请求

# 1.允许HTTP连接：80端口

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

# 2.允许HTTPS连接：443端口

iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT

12.  允许从本地发起HTTPS连接

本规则可以允许用户从本地主机发起HTTPS连接，从而访问Internet。

iptables -A OUTPUT -o eth0 -p tcp –dport 443 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp –sport 443 -m state –state ESTABLISHED -j ACCEPT

13.  -m multiport：指定多个端口

通过指定-m multiport选项，可以在一条规则中同时允许SSH、HTTP、HTTPS连接：

iptables -A INPUT -i eth0 -p tcp -m multiport –dports 22,80,443 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m multiport –sports 22,80,443 -m state –state ESTABLISHED -j ACCEPT

14.  允许IMAP与IMAPS

MAP：143

iptables -A INPUT -i eth0 -p tcp –dport 143 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 143 -m state –state ESTABLISHED -j ACCEPT

# IMAPS：993

iptables -A INPUT -i eth0 -p tcp –dport 993 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 993 -m state –state ESTABLISHED -j ACCEPT

15.  允许POP3与POP3S

# POP3：110

iptables -A INPUT -i eth0 -p tcp –dport 110 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 110 -m state –state ESTABLISHED -j ACCEPT

# POP3S：995

iptables -A INPUT -i eth0 -p tcp –dport 995 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 995 -m state –state ESTABLISHED -j ACCEPT

16.  防止DoS攻击

iptables -A INPUT -p tcp –dport 80 -m limit –limit 25/minute –limit-burst 100 -j ACCEPT

-m limit: 启用limit扩展

–limit 25/minute: 允许最多每分钟25个连接

–limit-burst 100: 当达到100个连接后，才启用上述25/minute限制

17.  允许路由

如果本地主机有两块网卡，一块连接内网(eth0)，一块连接外网(eth1)，那么可以使用下面的规则将eth0的数据路由到eht1：

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

18.  DNAT与端口转发

以下规则将会把来自422端口的流量转发到22端口，这意味着来自422端口的SSH连接请求与来自22端口的请求等效。

# 1.启用DNAT转发

iptables -t nat -A PREROUTING -p tcp -d 172.16.132.17 –dport 422 -j DNAT –to-destination 172.16.132.17:22

# 2.允许连接到422端口的请求

iptables -A INPUT -i eth0 -p tcp –dport 422 -m state –state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp –sport 422 -m state –state ESTABLISHED -j ACCEPT

假设现在外网网关是xxx.xxx.xxx.xxx，那么把HTTP请求转发到内部的某一台计算机的规则如下：

iptables -t nat -A PREROUTING -p tcp -i eth0 -d xxx.xxx.xxx.xxx –dport 8888 -j DNAT –to 192.168.0.2:80

iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 –dport 80 -j ACCEPT

19.  SNAT与MASQUERADE

如下命令表示把所有192.168.1.0网段的数据包SNAT成172.132.16.99的ip然后发出去：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j snat –to-source 172.132.16.99

对于snat，不管是几个地址，必须明确的指定要snat的IP。假如我们的计算机使用ADSL拨号方式上网，那么外网IP是动态的，这时候我们可以考虑使用MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j MASQUERADE

20.  自定义的链

记录丢弃的数据包：

# 1.新建名为LOGGING的链

iptables -N LOGGING

# 2.将所有来自INPUT链中的数据包跳转到LOGGING链中

iptables -A INPUT -j LOGGING

# 3.指定自定义的日志前缀”IPTables Packet Dropped: “

iptables -A LOGGING -m limit –limit 2/min -j LOG –log-prefix “IPTables Packet Dropped: ” –log-level 7

# 4.丢弃这些数据包

iptables -A LOGGING -j DROP

21.  IP范围匹配(IP range match options)

源：  iptables -A INPUT -p tcp -m iprange –src-range 192.168.1.13-192.168.2.19  -j DROP

目的  iptables -A INPUT -p tcp -m iprange –dst-range 192.168.1.13-192.168.2.19  -j DROP

22.  MAC匹配

iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01 -j DROP

本文永久更新链接地址：http://www.linuxidc.com/Linux/2016-07/133068.htm