linux iptables原理详解及使用说明
iptables簡介
?????? netfilter/iptables(簡稱為iptables)組成Linux平臺下的包過濾防火墻,與大多數(shù)的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業(yè)防火墻解決方案,完成封包過濾、封包重定向和網(wǎng)絡地址轉(zhuǎn)換(NAT)等功能。
?
iptables基礎
?????? 規(guī)則(rules)其實就是網(wǎng)絡管理員預定義的條件,規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個數(shù)據(jù)包”。規(guī)則存儲在內(nèi)核空間的信息 包過濾表中,這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議(如TCP、UDP、ICMP)和服務類型(如HTTP、FTP和SMTP)等。當數(shù)據(jù)包與規(guī) 則匹配時,iptables就根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包,如放行(accept)、拒絕(reject)和丟棄(drop)等。配置防火墻的 主要工作就是添加、修改和刪除這些規(guī)則。
?
iptables和netfilter的關系:
??? ?? 這是第一個要說的地方,Iptables和netfilter的關系是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火墻的管理工具而已,位于/sbin/iptables。真正實現(xiàn)防火墻功能的是 netfilter,它是Linux內(nèi)核中實現(xiàn)包過濾的內(nèi)部結(jié)構(gòu)。
?
iptables傳輸數(shù)據(jù)包的過程
① 當一個數(shù)據(jù)包進入網(wǎng)卡時,它首先進入PREROUTING鏈,內(nèi)核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉(zhuǎn)送出去。? ② 如果數(shù)據(jù)包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。數(shù)據(jù)包到了INPUT鏈后,任何進程都會收到它。本機上運行的程序可以發(fā)送數(shù)據(jù)包,這些數(shù)據(jù)包會經(jīng)過OUTPUT鏈,然后到達POSTROUTING鏈輸出。? ③ 如果數(shù)據(jù)包是要轉(zhuǎn)發(fā)出去的,且內(nèi)核允許轉(zhuǎn)發(fā),數(shù)據(jù)包就會如圖所示向右移動,經(jīng)過FORWARD鏈,然后到達POSTROUTING鏈輸出。
iptables的規(guī)則表和鏈:
????? 表(tables)提供特定的功能,iptables內(nèi)置了4個表,即filter表、nat表、mangle表和raw表,分別用于實現(xiàn)包過濾,網(wǎng)絡地址轉(zhuǎn)換、包重構(gòu)(修改)和數(shù)據(jù)跟蹤處理。
?????鏈(chains)是數(shù)據(jù)包傳播的路徑,每一條鏈其實就是眾多規(guī)則中的一個檢查清單,每一條鏈中可以有一 條或數(shù)條規(guī)則。當一個數(shù)據(jù)包到達一個鏈時,iptables就會從鏈中第一條規(guī)則開始檢查,看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足,系統(tǒng)就會根據(jù) 該條規(guī)則所定義的方法處理該數(shù)據(jù)包;否則iptables將繼續(xù)檢查下一條規(guī)則,如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則,iptables就會根據(jù)該鏈預先定 義的默認策略來處理數(shù)據(jù)包。
?????? Iptables采用“表”和“鏈”的分層結(jié)構(gòu)。在REHL4中是三張表五個鏈。現(xiàn)在REHL5成了四張表五個鏈了,不過多出來的那個表用的也不太多,所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關系及作用。
規(guī)則表:
1.filter表——三個鏈:INPUT、FORWARD、OUTPUT 作用:過濾數(shù)據(jù)包? 內(nèi)核模塊:iptables_filter. 2.Nat表——三個鏈:PREROUTING、POSTROUTING、OUTPUT 作用:用于網(wǎng)絡地址轉(zhuǎn)換(IP、端口) 內(nèi)核模塊:iptable_nat 3.Mangle表——五個鏈:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD 作用:修改數(shù)據(jù)包的服務類型、TTL、并且可以配置路由實現(xiàn)QOS內(nèi)核模塊:iptable_mangle(別看這個表這么麻煩,咱們設置策略時幾乎都不會用到它) 4.Raw表——兩個鏈:OUTPUT、PREROUTING 作用:決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理? 內(nèi)核模塊:iptable_raw (這個是REHL4沒有的,不過不用怕,用的不多)
?
規(guī)則鏈:
1.INPUT——進來的數(shù)據(jù)包應用此規(guī)則鏈中的策略 2.OUTPUT——外出的數(shù)據(jù)包應用此規(guī)則鏈中的策略 3.FORWARD——轉(zhuǎn)發(fā)數(shù)據(jù)包時應用此規(guī)則鏈中的策略 4.PREROUTING——對數(shù)據(jù)包作路由選擇前應用此鏈中的規(guī)則 (記住!所有的數(shù)據(jù)包進來的時侯都先由這個鏈處理) 5.POSTROUTING——對數(shù)據(jù)包作路由選擇后應用此鏈中的規(guī)則 (所有的數(shù)據(jù)包出來的時侯都先由這個鏈處理)
規(guī)則表之間的優(yōu)先順序:
Raw——mangle——nat——filter 規(guī)則鏈之間的優(yōu)先順序(分三種情況):
第一種情況:入站數(shù)據(jù)流向
?????? 從外界到達防火墻的數(shù)據(jù)包,先被PREROUTING規(guī)則鏈處理(是否修改數(shù)據(jù)包地址等),之后會進行路由選擇(判斷該數(shù)據(jù)包應該發(fā)往何處),如果數(shù)據(jù)包 的目標主機是防火墻本機(比如說Internet用戶訪問防火墻主機中的web服務器的數(shù)據(jù)包),那么內(nèi)核將其傳給INPUT鏈進行處理(決定是否允許通 過等),通過以后再交給系統(tǒng)上層的應用程序(比如Apache服務器)進行響應。
第二沖情況:轉(zhuǎn)發(fā)數(shù)據(jù)流向??????? 來自外界的數(shù)據(jù)包到達防火墻后,首先被PREROUTING規(guī)則鏈處理,之后會進行路由選擇,如果數(shù)據(jù)包的目標地址是其它外部地址(比如局域網(wǎng)用戶通過網(wǎng) 關訪問QQ站點的數(shù)據(jù)包),則內(nèi)核將其傳遞給FORWARD鏈進行處理(是否轉(zhuǎn)發(fā)或攔截),然后再交給POSTROUTING規(guī)則鏈(是否修改數(shù)據(jù)包的地 址等)進行處理。
第三種情況:出站數(shù)據(jù)流向??????? 防火墻本機向外部地址發(fā)送的數(shù)據(jù)包(比如在防火墻主機中測試公網(wǎng)DNS服務器時),首先被OUTPUT規(guī)則鏈處理,之后進行路由選擇,然后傳遞給POSTROUTING規(guī)則鏈(是否修改數(shù)據(jù)包的地址等)進行處理。
管理和設置iptables規(guī)則
iptables的基本語法格式
iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉(zhuǎn)] 說明:表名、鏈名用于指定 iptables命令所操作的表和鏈,命令選項用于指定管理iptables規(guī)則的方式(比如:插入、增加、刪除、查看等;條件匹配用于指定對符合什么樣 條件的數(shù)據(jù)包進行處理;目標動作或跳轉(zhuǎn)用于指定數(shù)據(jù)包的處理方式(比如允許通過、拒絕、丟棄、跳轉(zhuǎn)(Jump)給其它鏈處理。
iptables命令的管理控制選項
防火墻處理數(shù)據(jù)包的四種方式
ACCEPT 允許數(shù)據(jù)包通過 DROP 直接丟棄數(shù)據(jù)包,不給任何回應信息 REJECT 拒絕數(shù)據(jù)包通過,必要時會給數(shù)據(jù)發(fā)送端一個響應的信息。 LOG在/var/log/messages文件中記錄日志信息,然后將數(shù)據(jù)包傳遞給下一條規(guī)則
?
iptables防火墻規(guī)則的保存與恢復
iptables-save把規(guī)則保存到文件中,再由目錄rc.d下的腳本(/etc/rc.d/init.d/iptables)自動裝載
使用命令iptables-save來保存規(guī)則。一般用
iptables-save > /etc/sysconfig/iptables
生成保存規(guī)則的文件 /etc/sysconfig/iptables,
也可以用
service iptables save
它能把規(guī)則自動保存在/etc/sysconfig/iptables中。
當計算機啟動時,rc.d下的腳本將用命令iptables-restore調(diào)用這個文件,從而就自動恢復了規(guī)則。
?
刪除INPUT鏈的第一條規(guī)則
iptables -D INPUT 1
iptables防火墻常用的策略
1.拒絕進入防火墻的所有ICMP協(xié)議數(shù)據(jù)包
iptables -I INPUT -p icmp -j REJECT
?
2.允許防火墻轉(zhuǎn)發(fā)除ICMP協(xié)議以外的所有數(shù)據(jù)包
iptables -A FORWARD -p ! icmp -j ACCEPT
說明:使用“!”可以將條件取反。
?
3.拒絕轉(zhuǎn)發(fā)來自192.168.1.10主機的數(shù)據(jù),允許轉(zhuǎn)發(fā)來自192.168.0.0/24網(wǎng)段的數(shù)據(jù)
iptables -A FORWARD -s 192.168.1.11 -j REJECT? iptables?-A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明:注意要把拒絕的放在前面不然就不起作用了啊。
?
4.丟棄從外網(wǎng)接口(eth1)進入防火墻本機的源地址為私網(wǎng)地址的數(shù)據(jù)包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP? iptables?-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP? iptables?-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
?
5.封堵網(wǎng)段(192.168.1.0/24),兩小時后解封。
#?iptables -I INPUT -s 10.20.30.0/24 -j DROP? #?iptables -I FORWARD -s 10.20.30.0/24 -j DROP? #?at now 2 hours?at> iptables -D INPUT 1?at> iptables -D FORWARD 1
說明:這個策略咱們借助crond計劃任務來完成,就再好不過了。 [1] ? Stopped???? at now 2 hours
?
6.只允許管理員從202.13.0.0/16網(wǎng)段使用SSH遠程登錄防火墻主機。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT? iptables?-A INPUT -p tcp --dport 22 -j DROP
說明:這個用法比較適合對設備進行遠程管理時使用,比如位于分公司中的SQL服務器需要被總公司的管理員管理時。
?
7.允許本機開放從TCP端口20-1024提供的應用服務。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT? iptables?-A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
?
8.允許轉(zhuǎn)發(fā)來自192.168.0.0/24局域網(wǎng)段的DNS解析請求數(shù)據(jù)包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT? iptables?-A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
?
9.禁止其他主機ping防火墻主機,但是允許從防火墻上ping其他主機
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP? iptables?-I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT? iptables?-I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
?
10.禁止轉(zhuǎn)發(fā)來自MAC地址為00:0C:29:27:55:3F的和主機的數(shù)據(jù)包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明:iptables中使用“-m 模塊關鍵字”的形式調(diào)用顯示匹配。咱們這里用“-m mac –mac-source”來表示數(shù)據(jù)包的源MAC地址。
?
11.允許防火墻本機對外開放TCP端口20、21、25、110以及被動模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
說明:這里用“-m multiport –dport”來指定目的端口及范圍
?
12.禁止轉(zhuǎn)發(fā)源IP地址為192.168.1.20-192.168.1.99的TCP數(shù)據(jù)包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明:此處用“-m –iprange –src-range”指定IP范圍。
?
13.禁止轉(zhuǎn)發(fā)與正常TCP連接無關的非—syn請求數(shù)據(jù)包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明:“-m state”表示數(shù)據(jù)包的連接狀態(tài),“NEW”表示與任何連接無關的,新的嘛!
?
14.拒絕訪問防火墻的新數(shù)據(jù)包,但允許響應連接或與已有連接相關的數(shù)據(jù)包
iptables -A INPUT -p tcp -m state --state NEW -j DROP? iptables?-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明:“ESTABLISHED”表示已經(jīng)響應請求或者已經(jīng)建立連接的數(shù)據(jù)包,“RELATED”表示與已建立的連接有相關性的,比如FTP數(shù)據(jù)連接等。
?
15.只開放本機的web服務(80)、FTP(20、21、20450-20480),放行外部主機發(fā)住服務器其它端口的應答數(shù)據(jù)包,將其他入站數(shù)據(jù)包均予以丟棄處理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT?
iptables?-I INPUT -p tcp --dport 20450:20480 -j ACCEPT?
iptables?-I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT?
iptables?-P INPUT DROP
?
?
總結(jié)
以上是生活随笔為你收集整理的linux iptables原理详解及使用说明的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 图解SSL和加密解密-原理篇
- 下一篇: linux 其他常用命令