服务器评测
iptables是什么?不解释,直接进入正题。
iptables的命令使用结构是这样的 iptables [-t table] command [match] [target] 下面一项一项来介绍
[-t table]部分
[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。
有三个可用的表选项:filter、nat和mangle。该选项不是必需的,如果未指定,则filter作为缺省表。
filter 用于一般信息包的过滤,包含INPUT、 OUTPUT和FORWARD链。
INPUT:代表匹配目的 IP 是本机的数据包
OUTPUT:代表匹配源ip是本机的数据包
FORWARD:代表匹配穿过本机的数据包
nat 用于要转发的信息包,包含PREROUTING、OUTPUT和POSTROUTING链。
PREROUTING: 修改目的地址(DNAT)
POSTROUTING:修改源地址 (SNAT)
mangle 这个表不是很理解,反正我没有用过,嘻嘻
#############################################################################
command部分
command部分是iptables命令最重要的部分。它告诉iptables命令要做什么,例如插入规则、
将规则添加到链的末尾或删除规则。
-A <链名>
APPEND,追加一条规则(放到最后)
例如:
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则),将所有目的IP为本机的包全部丢弃。
在没有开启防火墙之前,我可以ping192.168.254.153这台机子,防火墙开后,ping不通了,而且我的ssh也断开了,因为防火墙是将所有的包都丢弃了,自然包括ssh链接的包。由于无法再使用ssh链接,所以我只能到服务器上清空防火墙,清空后,就可以ping了
INPUT:匹配目的IP 是本机的数据包
FORWARD 穿过本机的数据包,
PREROUTING用于修改目的地址(DNAT)
POSTROUTING,用于修改源地址(SNAT)
为了能保证我测试iptables用法时ssh不会断开,所以在这里我首先加上一条iptables规则
我还是开启将所有目的IP为本机的包丢弃
然后我追加一条策略
更多详情请继续阅读第2页的内容:http://www.linuxidc.com/Linux/2013-10/91444p2.htm
推荐阅读:
Linux防火墙iptables详细教程 http://www.linuxidc.com/Linux/2013-07/87045.htm
iptables+L7+Squid实现完善的软件防火墙 http://www.linuxidc.com/Linux/2013-05/84802.htm
iptables的备份、恢复及防火墙脚本的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm
Linux下防火墙iptables用法规则详解 http://www.linuxidc.com/Linux/2012-08/67952.htm
iptables的用法小结 http://www.linuxidc.com/Linux/2013-10/90930.htm
可以看到,我新增加的这个策略是在drop的后面,也就是先拒绝了所有包,所以网络就不同了,上面也提到了,-A就是添加到INPUT的最后一条。
这里正好也用到了删除链的命令iptables -D INPUT -s 192.168.254.153 -j ACCEPT,所以-D的用法也就不用强调了
iptables -I INPUT -s 192.168.254.153 -j ACCEPT —————–这里的-I是指加规则放在第一个
从图中也可以看到两者的差别
将所有的命令重新总结一下,我用个表格对比一下
| 命令 |
功能描述 |
用法举例 |
| -A(或–append) |
将一条规则添加到链的末尾 |
iptables -t filter -A INPUT -j DROP在input链的末尾添加一条规则, 将所有目的IP为本机的包全部丢弃 |
| -D(或–delete) | 将指定的规则或者规则的位置编号 从链中删除 |
iptables -D INPUT -s 192.168.254.153 -j ACCEPT将匹配该规则的包删除;iptables -D OUPUT 3将OUPUT链中编号为3的规则删除 |
| -P(–policy) | 设置链的默认目标,所有与链中任何不匹配的信息报都被强制使用此链的策略 | iptables -P INPUT DROP丢弃所有与INPUT 链中任何规则都不匹配的信息包 |
| -N(–new-chain) | 创建一个新的链 | iptables -N allowed-chain新建一个链 |
| -F(–flush) | 如果指定链名,那么就会删除该链,如果没有指定,就会删除所有的链 | iptables -F INPUT 清空INPUT链 iptables -F 清空所有的链 |
| -L(–list) | 列出链中所有的规则 | iptables -L (INPUT)只列出(INPUT)链的策略 |
| -I | 将一条规则添加到链的第一个 |
iptables -I INPUT -s 192.168.254.153 -j ACCEPT |
###########################################################################
match部分 ———-匹配的条件
iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。匹配分为通用匹配和特定于协议的匹配两大类。这里将介绍可用于采用任何协议的信息包的通用匹配。还是再用个表格来对比吧。
| 参数 | 功能 | 举例 |
| -p(–protocol) | 匹配协议,例如TCP、UDP、 ICMP | iptables -A INPUT -p TCP,UDP 等同于iptales -A INPUT -p !ICMP都是匹配TCP和UDP的意思 |
| -s (–source) | 信息报源地址的匹配 |
iptables -A OUTPUT -s 192.168.0.125 |
| -d (–destination) | 匹配信息包的目的IP |
iptables -A INPUT -d 192.168.0.125 |
########################################################################
target 目标部分———— 匹配到以后的动作
| 参数 | 功能 | 举例 |
| ACCEPT | 当信息包与具有ACCEPT目标的规则完全匹配时, 就会被接受,允许它前往目的地 |
iptables -A INPUT -s 192.168.254.153 -j ACCEPT |
| DROP | 当信息包与具有DROP目标的规则完全匹配时,会阻止该信息包 |
iptables -A INPUT -s 192.168.254.153 -j DROP |
| REJECT | 与DROP类似,但是比DROP好,REJECT会将错误信息发回给信息包的发送方,并且不会留下死套接字 |
iptables -A FORWARD -p TCP –dport 22 -j REJECT |
| SNAT | 源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池 |
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT –to 1.1.1.1 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1 |
#######################################################################
简单应用举例
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3
把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去(源地址的转换)
iptables -t filter -A INPUT -p icmp -j REJECT —————-拒绝其他主机ping
iptables -t filter -I INPUT -p tcp –dport 22 -j reject ————禁止通过ssh访问我的主机
iptables -t filter -A INPUT -p tcp –dport 22 -s10.1.1.1 -j ACCEPT ————允许10.1.1.1通过ssh访问我的主机
iptables -t filter -A INPUT -m mac –mac-source 00:14:5E:28:A3:20 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp –dport 22 -j REJECT
————————————-只有这个mac地址的用户才能ssh访问我的主机
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE ———将源地址是 192.168.0.0/24 的数据包进行地址伪装
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp –dport 22 -j reject
——————————————允许用户通过eth0网口ssh过来
