Iptables是管理Netfilter的唯一工具,Netfilter直接嵌入在Linux内核。他可以为个人工作站创建一个防火墙,也可以为一个子网创建防火墙,以保护其他的系统平台(市场上有很大一部分硬件防火墙也是使用iptables系统的)。
Netfilter在内核中过滤,没有守护进程,在OSI模型的第2、3、4层插入策略。过滤的速度非常快,因为他只读取数据包头,不会给信息流量增加负担,也无需进行验证。
Netfilter提供了一系列的表(tables),每个表由若干个链(chains)组成,而每条链可以由一条或若干条规则(rules)组成。实际上netfilter 是表的容器,表是链的容器,而链又是规则的容器。
Netfilter表和Netfilter链:
表说明:
Filter:这个表主要执行数据包过滤。
Nat:主要进行网络地址转换。
Managle:用于修改一些特殊的规则。
链说明:
PREROUTING:路由之前,刚到达的数据包。(nat)
INPUT:通过路由,目的为地为本机的数据包。(filter)
FORWARD:需要通过本地系统进行转发的数据包。(filter)
OUTPUT:由本机产生,向外转发,处于POSTROUTING之前的数据包。(nat和filter)
POSTROUTIONG:通过路由后,即将离开系统的数据包。(nat)
Netfilter的数据包流程:
Iptables 基本语法:
iptables 内置了filter、nat 和mangle 三张表,我们可以使用-t 参数来设置对哪张表生效,也可以省略-t 参数,则默认对filter 表进行操作。
图中:这句的意思就是:来自(源地址)192.168.0.1的INPUT链的数据包直接丢弃。
Iptables进程服务命令:
service iptables save 保存iptables设置,对iptables规则编辑后一定要保存。
service iptables restart 保存设置以后不重启则设置不生效,要设置生生效请重启。
service iptables status 检查iptables的设置。类似于iptable –L命令。
Iptables基本的链操作命令:
-L 列出某个链或者表中的规则: service iptables status 把这个命令和-L比较下
iptables –L:显示filter表中的规则等同于iptables –t filter -L
iptables –t nat –L :显示nat表的中的设置:
-F 删除某个链或者表中的规则:
iptables –F (iptables –t filter –F) 删除filter表中的所有规则;
iptables –t nat –F 删除nat表中的所有规则;
iptables –t nat –F POSTROUTING 删除nat表中POSTROUTING链的所有规则;
-A添加一条规则(在当前的规则后添加,也就是排在所有规则后):
iptables -A INPUT –s 192.168.0.1 –j DROP
和实例图中的功能相同,丢弃来自192.168.0.1的数据包,这里省略了-t filter。
添加该语句后,保存设置并重新启动iptalbes 服务,并通过-L的命令查看,就会发现刚添加的这条规则排列在所有规则后。
———–iptables的匹配规则是按顺序排列的。
-I在制定位置插入一条规则:
(如果有回环规则(iptables –A INPUT –I lo –j ACCEPT,则回环永远是第一条)
iptables –I 作为第一条规则插入。
iptables X 作为第X条规则插入,X这里代表规则顺序号。
iptables –A INPUT –p tcp –s 192.168.0.1 –dport 22 –j ACCEPT
允许192.168.0.1 通过22端口访问该主机,把它作为第一条规则插入iptables规则列表。
———–iptables的匹配规则是按顺序排列的。
-P 分配连接策略。
iptables –P INPUT DROP 禁止任何输入的数据包。这句慎用。
iptables –P OUTPUT ACCEPT 允许所有输出的数据包。
-D删除某一条规则:
Iptables –D X 删除某个链的第几条规则
iptables –D INPUT 3 删除INPUT链上的第3条规则。
iptables –P INPUT DROP 这个不能使用删除语句删除,只能到本机输入iptables –P INPUT ACCEPT
Iptables中的匹配:
iptables –A INPUT –p tcp –s 192.168.0.1 –dport 22 –j ACCEPT
这个命令我们在上面已经看过了,我们来看下其他的一些匹配参数。
-p protocol 匹配网络协议,例子中匹配tcp协议。
-s IP地址或者网段 匹配源IP地址或者网段
例子中师匹配一个IP的,如果要匹配一个网段则如下
-s 192.168.0.1/24
如果是除这个网段之外的所有则为:! -s 192.168.0.1/24
如果是除这个IP之外的所有则为:! -s 192.168.0.1
-d IP地址或者网段 匹配目的IP地址或者网段
–dport X 匹配目的端口号,X代表具体端口号。
–sport X 匹配源端口号,X代表具体端口号。
Iptables中的目的:
我们已经在前面看到过-j 后面跟的就是目的。
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包。
REJECT:丢弃数据包,同时发送响应报文通知发送方。
设置Iptables预设规则(本地机防火墙):
1、清除iptables设置:iptables –F
2、设置回环规则,没有这个规则好多服务不能启动:
iptables –A INPUT –i lo –j ACCETP
3、连接跟踪设置:作用允许连线出去后对方主机回应进来的封包。
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
NEW:想要新建连接的数据包
INVALID:无效的数据包,例如损坏或者不完整的数据包
ESTABLISHED:已经建立连接的数据包
RELATED:与已经发送的数据包有关的数据包
4、iptables -p INPUT DROP 允许进入数据包—-慎用该句。
5、iptables -p FORWARD DROP 禁止转发数据包
6、iptables -P OUTPUT ACCEPT 允许外发数据包
7、设置好以后就可以根据情况开放相应的端口了
iptables –A INPUT –p tcp –dport 20:21 –j ACCEPT 开放FTP的20、21端口。
iptables –A INPUT –P tcp –dport 80 –j ACCEPT 开放http的80端口。
iptables –I INPUT –p tcp –dport 22 –j ACCEPT 开放SSH服务的22端口。
设置Iptables FORWORD规则:
一般情况FORWORD链式DROP的,但是当用来做NAT的时候我们就需要设置他了。
首先要开启转发功能:编辑/etc/sysctl.conf文件
Iptables转发功能(在做NAT时,FORWARD默认规则是DROP时,必须做)
# iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包。
#iptables -A FORWARD -p TCP ! –syn -m state –state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个。
#iptables -A FORWARD -f -m limit –limit 100/s –limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包。
#iptables -A FORWARD -p icmp -m limit –limit 1/s –limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制。
连接跟踪:提供对数据包“状态”的检查
可以识别的状态:
NEW:想要新建连接的数据包
INVALID:无效的数据包,例如损坏或者不完整的数据包
ESTABLISHED:已经建立连接的数据包
RELATED:与已经发送的数据包有关的数据包
连接跟踪的模块
ip_conntrack_ftp:自动跟踪FTP连接,并自动打开它需要通过防火墙的高端端口。
Ip_conntrack_tftp:和上面功能类似不过是TFTP服务。
Ip_nat_ftp:修改NAT保护的计算机的FTP数据包。
Ip_nat_tftp:和上面类似不是TFTP数据包。
可以通过修改/etc/sysconfig/iptables-config 文件
修改IPTABLES_MODULES=”ip_conntrack_tftp ip_nat_ftp”
也可以通过modprobe ip_conntrack_tftp 不过重启以后将失效。
连接跟踪实例:
允许建立连接:
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
跟踪规则:
iptables -A INPUT -m state –state NEW -p tcp –dport 25 -j ACCEPT
阻止所有其他进入的链接:
iptables -A INPUT -m state –state NEW -j DROP
NAT网络地址转换:将一个IP转换成另一个 IP(输入和输出)
网络地址转换类型:
目的地 NAT(DNAT):DNAT修改包的目的地位址的时机,必须在包即将被送到本机行程之前,或是要被转送其它电脑之前;所以,使用DNAT为目标的规则,必须设置于nat表格的PREROUTING链结。
源 NAT(SNAT,MASQUERADE):SNAT必须在封包即将离开核心的前一刻,即时修改其来源位址(或通讯端口),所以SNAT规则的设置地点必须是在nat表格的POSTROUTING链结。
NAT实例:
iptables -t nat -A PREROUTING -i ethl -p tcp – -dport 80 -j DNAT – – to -destination 192.168.1.3:8080
把要进入eth1(eth1连接外网)80端口的数据包,重新定向到192.168.1.3的8080端口。
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT
–to-dest 192.168.1.3 –to-dest 192.168.1.4 –to-dest 192.168.1.5
上面这句第一个请求被发到192.168.1.3,第二个发到192.168.1.4如此循环,实现载量平衡。
上面的语句可以使外网的访问内网开通8080端口的WEB 服务器,那么内网的WEB服务器如何将数据传出去呢?这个时候要通过SNAT来实现了。
iptables -t nat -A POSTROUTING -j SNAT
iptables -t nat -A POSTROUTING -j SNAT –to-source 192.168.1.3-192.168.1.9
iptables -t nat -A POSTROUTING -j SNAT –to-source 192.168.1.3:123
iptables -t nat -A POSTROUTING -j SNAT –to-source 192.168.1.3:123-234
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
第一种方法是直接使用SNAT为目标,这种方法适合用在具有固定IP地址的网关器,另一种方法是使用是使用MASQUERADE为目标,适合用于只有动态IP地址的网关器(例如,使用PPPoE协定的ADSL连线)。由于由于MASQUERADE能够应付网络界面忽然离线,然后以另一个地址恢复上线的情况,所以它转换逻辑比较复杂些,需要耗损比较多的CPU运算能力,因此,如果你有固定的IP地址,就应该尽量使用SNAT来代替MASQUERADE。