iptables防火墻

一、iptables概述

Netfilter/Iptables（以下簡稱Iptables）是unix/linux自帶的一款優秀且開放源代碼的完全自由的基于包過濾的防火墻工具，它的功能十分強大，使用非常靈活，可以對流入和流出服務器的數據包進行很精細的控制。

iptables是linux2.4及2.6內核中集成的服務。iptables主要工作在OSI七層的二、三、四層，如果重新編譯內核，iptables也可以支持7層控制]

二、iptables網路安全前言介紹

#學好iptables的基礎：1、OSI7層模型以及不同層對應哪些協議？2、TCP/IP三次握手，四次斷開的過程，TCP HEADER，狀態轉換3、常用的服務端口要非常清楚了解。4、常用服務協議原理http協議，icmp協議。#企業中安全配置原則：1、盡可能不給服務器配置外網IP，可以通過代理轉發或者通過防火墻映射。2、并發不是特別大情況有外網IP，可以開啟防火墻服務。3、大并發的情況，不能開iptables，影響性能，利用硬件防火墻提升架構安全。Copy to clipboardErrorCopied

三、iptables防火墻使用時名詞概念理解

#容器：裝東西的器皿，docker容器技術，將鏡像裝在了一個系統中，這個系統就稱為容器 iptables稱為一個容器---裝著防火墻的表 防火墻的表又是一個容器---裝著防火墻的鏈 防火墻的鏈也是一個容器---裝著防火墻的規則 iptables---表---鏈---規則規則：防火墻一條一條安全策略#防火墻匹配規則流程：1. 防火墻是層層過濾的，實際是按照配置規則的順序從上到下，從前到后進行過濾的。2. 如果匹配上規則，即明確表示是阻止還是通過，數據包就不再向下匹配新的規則。3. 如果規則中沒有明確表明是阻止還是通過的，也就是沒有匹配規則，向下進行匹配，直到匹配默認規則得到明確的阻止還是通過。4. 防火墻的默認規則是所有規則執行完才執行的。Copy to clipboardErrorCopied

四、iptables應用

#應用場景 1.主機安全 2.內部共享上網 3.端口或IP映射#iptables工作流程 1.匹配規則是從上往下的依次執行的 2.只要匹配上規則，就不會再往下執行 3.如果都沒有匹配到規則，就執行默認的規則 4.防火墻默認規則最后執行，默認允許所有#注意：匹配越多的規則越往前放

五、iptables（四表五鏈）

iptables 是集成在 Linux 內核中的包過濾防火墻系統,使用 iptables 可以添加、刪除具體的過濾規則，iptables 默認維護著 4 個表和 5 個鏈，所有的防火墻策略規則都被分別寫入這些表與鏈中

#"四表"是指iptables 的功能：默認的 iptables規則表有filter表（過濾規則表）、nat 表（地址轉換規則表）、mangle（修改數據標記位規則表）、raw（跟蹤數據表規則表）filter 表：控制數據包是否允許進出及轉發，可以控制的鏈路有 INPUT、FORWARD 和 OUTPUT。 nat 表：控制數據包中地址轉換，可以控制的鏈路有 PREROUTING、INPUT、OUTPUT 和 POSTROUTING。 mangle：修改數據包中的原數據，可以控制的鏈路有 PREROUTING、INPUT、OUTPUT、FORWARD 和 POSTROUTING。 raw：控制 nat 表中連接追蹤機制的啟用狀況，可以控制的鏈路有 PREROUTING、OUTPUT。#"五鏈"是指內核中控制網絡的 NetFilter 定義的 5 個規則鏈,每個規則表中包含多個數據鏈：INPUT（入站數據過濾）、OUTPUT（出站數據過濾）、FORWARD（轉發數據過濾）、PREROUTING（路由前過濾）和POSTROUTING（路由后過濾），防火墻規則需要寫入到這些具體的數據鏈中,可以看出，如果是外部主機發送數據包給防火墻本機，數據將會經過 PREROUTING 鏈與 INPUT 鏈；如果是防火墻本機發送數據包到外部主機，數據將會經過 OUTPUT 鏈與 POSTROUTING 鏈；如果防火墻作為路由負責轉發數據，則數據將經過 PREROUTING 鏈、FORWARD 鏈以及 POSTROUTING 鏈

Linux 防火墻的過濾框架

#四表： 1.Filter表 2.NAT表 3.Managle表 4.Raw表#五鏈： 1.INPUT 2.FORWARD 3.OUTPUT 4.PREROUTING 5.POSTRUTING 1、#Filter：實現防火墻安全過濾功能INPUT 對于指定到本地套接字的包，即到達本地防火墻服務器的數據包 外面---->（門）房子iptablesFORWARD 路由穿過的數據包，即經過本地防火墻服務器的數據包 外面-----（前門）房子（后門）---房子 OUTPUT 本地創建的數據包 外面<-----（門）房子iptables 2、#NAT：實現將數據包中IP地址或者端口信息，內網到外網進行改寫/外網到內網進行改寫PREROUTING 一進來就對數據包進行改變 在路由之前，進行數據包IP地址或端口信息的轉換 OUTPUT 本地創建的數據包在路由之前進行改變 本地防火墻要出去的流量進行相應轉換（了解）POSTROUTING 在數據包即將出去時改變數據包信息 在路由之后，進行數據包IP地址或端口信息的轉換SNAT 和 DNAT 是 iptables 中使用 NAT 規則相關的的兩個重要概念。如上圖所示，如果內網主機訪問外網而經過路由時，源IP會發生改變，這種變更行為就是SNAT；反之，當外網的數據經過路由發往內網主機時，數據包中的目的IP (路由器上的公網IP) 將修改為內網IP，這種變更行為就是DNAT#注： 在nat server 中，先更改配置文件，/etc/sysctl.conf 中改為net.ipv4.ip_forward = 1修改完成后，命令行sysctl -p 讓其全部執行生效3、#Managle：對數據進行標記 4、#Raw：將數據包一些標記信息進行拆解Copy to clipboardErrorCopied

六、iptables使用

1.iptables安裝

[root@web02 ~]# yum install -y iptables-services

2、加載防火墻的內核模塊

[root@m01 ~]# modprobe ip_tables [root@m01 ~]# modprobe iptable_filter [root@m01 ~]# modprobe iptable_nat [root@m01 ~]# modprobe ip_conntrack [root@m01 ~]# modprobe ip_conntrack_ftp [root@m01 ~]# modprobe ip_nat_ftp [root@m01 ~]# modprobe ipt_state#查看加載的模塊 [root@m01 ~]# lsmod | egrep 'filter|nat|ipt'

3、停止firewalld，啟動iptables

[root@web02 ~]# systemctl stop firewalld [root@web02 ~]# systemctl disable firewalld Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. [root@web02 ~]# systemctl start iptables.service

七、iptables實操

1、防火墻參數信息

-A --- 表示將規則添加到指定鏈上 -I --- 表示將規則插入到指定鏈上 -D --- 表示將規則從指定鏈上刪除 -R --- 表示將規則信息進行修改 -p --- 指定相應服務協議信息（tcp udp icmp all） --dport --- 表示指定目標端口信息 --sport --- 表示指定源端口號信息 -j --- 指定對相應匹配規則執行什么操作（ACCEPT DROP REJECT REDIRECT）ACCEPT 允許通過DROP 直接拒絕 REJECT 委婉拒絕REDIRECT 重定向-s --- 指定匹配的源地址網段信息，或者匹配的主機信息 -d --- 指定匹配的目標地址網段信息，或者匹配的主機信息 -i --- 指定匹配的進入流量接口信息 只能配置在INPUT鏈上 -o --- 指定匹配的發出流量接口信息 只能配置在OUTPUT鏈上-m --- 指定應用擴展模塊參數multiport --- 可以匹配多個不連續端口信息 Copy to clipboardErrorCopied

2、iptables防火墻配置初始化

iptables -F --- 清除防火墻默認規則 iptables -X --- 清除防火墻自定義鏈 iptables -Z --- 清除防火墻技術器信息Copy to clipboardErrorCopied

3、iptables防護墻信息查看方法

iptables -L --- -L 以列表形式顯示所有規則信息 iptables -L -n --- -n 以數字形式顯示IP地址或端口信息，不要轉換為字符串顯示 iptables -t nat -L -n --- -t 表示指定查看或者配置相應的表 iptables -L -n -v --- -v 表示顯示詳細規則信息，包含匹配計數器數值信息 iptables -L -n --line-number --- --line-number 顯示規則序號信息Copy to clipboardErrorCopied

4、iptables防火墻端口規則配置

iptables -t filter -A INPUT -p tcp --dport 22 -j DROP --- -A 表示添加規則到相應鏈上，默認表示添加規則到結尾 iptables -t filter -D INPUT -p tcp --dport 22 -j DROP --- -D 表示刪除規則從相應鏈上。 iptables -t filter -D INPUT 規則序號 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP --- -I 表示插入規則到相應鏈上，默認表示插入規則到首部 iptables -t filter -I INPUT 3 -p tcp --dport 22 -j DROP --- 指定規則插入位置 iptables -t filter -R INPUT 6 -p tcp --dport 8080 -j DROP --- -R 指定將配置好的規則信息進行替換Copy to clipboardErrorCopied

5、阻止相應網段主機訪問服務端指定端口服務

iptables -t filter -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -s 10.0.0.9 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT -i eth0 -s 10.0.0.9 -p tcp --dport 22 -j DROP Copy to clipboardErrorCopied

6、除了某個地址可以訪問22端口之外，其余地址都不能訪問

10.0.0.1 10.0.0.253 10.0.0.9（只允許） iptables -t filter -A INPUT -s 10.0.0.9 -p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP iptables -t filter -A INPUT ! -s 10.0.0.9 -p tcp --dport 22 -j ACCEPT 通過利用 ！進行規則取反，進行策略控制Copy to clipboardErrorCopied

7、指定阻止訪問多個端口服務

iptables -A INPUT -s 10.0.0.9 -p tcp --dport 22:80 -j DROP --- 匹配連續的端口號訪問 iptables -A INPUT -s 10.0.0.9 -m multiport -p tcp --dport 22,24,25 -j DROP --- 匹配不連續的端口號訪問 Copy to clipboardErrorCopied

8、通過防火墻實現禁ping功能

#實現ping功能測試鏈路是否正常，基于icmp協議實現的 icmp協議有多種類型：icmp-type 8：請求類型 icmp-type 0：回復類型 #實踐01：實現禁止主機訪問防火墻服務器（禁ping） iptables -A INPUT -p icmp --icmp-type 8 -j DROP iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP#實踐02：實現禁止防火墻訪問主機服務器（禁ping） iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP iptables -A INPUT -p icmp --icmp-type 0 -j DROP#實踐03：所有icmp類型都禁止 iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP iptables -A OUTPUT -p icmp -m icmp --icmp-type any -j DROP#實踐04：實現防火墻狀態機制控制 NEW: 發送數據包里面控制字段為syn=1，發送第一次握手的數據包 ESTABLISHED: 請求數據包發出之后，響應回來的數據包稱為回復的包 RELATED: 基于一個連接，然后建立新的連接 INVALID: 無效的的數據包，數據包結構不符合正常要求的iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Copy to clipboardErrorCopied

9、轉發源地址

# 將38080端口轉發至本機的80端口 [root@web01 ~]# iptables -t nat -A PREROUTING -p tcp --dport 38080 -j REDIRECT --to-port 80[root@web01 ~]# iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 172.16.1.8

八、iptables常用操作

1、查看防火墻（默認filter表）

[root@web02 ~]# iptables -nvL #查看防火墻狀態 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

2、查看防火墻規則，指定nat表

[root@web02 ~]# iptables -nL -t nat #查看防火墻規則，指定表 Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination [root@web02 ~]#

3、清除防火墻規則

#刪除鏈中所有的規則 [root@web02 ~]# iptables -F #刪除用戶定義的鏈 [root@web02 ~]# iptables -X #規則計數器清零 [root@web02 ~]# iptables -Z

4、添加防火墻規則

[root@web02 ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROPiptables #命令 -t #指定表 filter #表名字 -A #添加規則至鏈的最后 INPUT #鏈名字 -p #指定協議 tcp #tcp協議 --dport #指定端口 -j #指定動作 DROP #丟棄

5、刪除防火墻規則

[root@web02 ~]# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination [root@web02 ~]# [root@web02 ~]# iptables -D INPUT 2

九、防火墻配置實例

1、禁止端口訪問

[root@web02 ~]# iptables -t filter -A INPUT -p tcp --dport 3306 -j DROP

2、拒絕IP訪問

#配置訪問拋棄 [root@web02 ~]# iptables -t filter -A INPUT -p tcp -s 10.0.0.7 -i eth0 -j DROP -s 指定源地址 -i 指定網卡 #測試訪問 [root@web01 ~]# curl 10.0.0.8 curl: (7) Failed connect to 10.0.0.8:80; Connection timed out#配置訪問拒絕 [root@web02 ~]# iptables -t filter -A INPUT -p tcp -s 10.0.0.9 -i eth0 -j REJECT #訪問測試 [root@web03 ~]# curl 10.0.0.8 curl: (7) Failed connect to 10.0.0.8:80; Connection refused

3、禁止IP網段訪問

[root@web02 ~]# iptables -t filter -A INPUT -p tcp -s 10.0.0.0/24 -i eth0 -j DROP

4、只允許某個IP訪問

[root@web02 ~]# iptables -t filter -A INPUT -p tcp ! -s 10.0.0.1 -i eth0 -j DROP

5、匹配端口范圍

#拒絕多個端口訪問，可以使用逗號隔開 [root@web02 ~]# iptables -t filter -A INPUT -p tcp -m multiport --dport 21,22,23,24 -j DROP -m #指定擴展項 multiport #多端口匹配#寫端口范圍可以使用 : 在端口之間 [root@web02 ~]# iptables -t filter -A INPUT -p tcp --dport 22:100 -j DROP

十、企業里一般iptables配置

1、配置之前考慮下

1)#考慮防火墻開在哪臺機器上 2)#該機器部署了什么服務nginxkeepalived 3)#服務開啟的是什么端口8044322 4)#默認規則為所有都拒絕

2、配置安全規則

#允許訪問80和443 iptables -I INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT-I 添加規則至前面#只允許跳板機連接22端口 iptables -A INPUT -p tcp -s 172.16.1.61 --dport 22 -j ACCEPT#禁止ping iptables -A INPUT -p icmp --icmp-type 8 ! -s 172.16.1.61 -j DROP#允許訪問外網 iptables -A INPUT -i eth0 -j ACCEPT#默認拒絕所有 iptables -P INPUT DROP-P #更改policy默認策略

重要問題（實戰坑）

#根據以上配置方法，最后一步設置了默認拒絕所有規則，那么跳板機連接主機后，千萬不要進行清理防火墻的操作，否則就什么都連接不上了，因為清理防火墻規則不會清理'iptables -P INPUT DROP'這一條規則，那么防火墻默認規則就變成所有都dorp了#解決方法： 需要到虛擬機或者物理機上操作 1.iptables -P INPUT ACCEPT 2.systemctl restart iptables 3.重啟物理機（有風險）#避免方法： 1）將 iptables -P INPUT ACCEPT 加到定時任務（測試階段可用該方法） * * * * * /usr/sbin/iptables -P INPUT ACCEPT 2)其他環境測試，測試沒有問題后，復制所有規則到環境執行 3)配置前，先保存之前的防火墻規則，根據以前的規則修改 [root@web01 ~]# iptables-save > iptables_m01_20200116 修改后導入規則 [root@web01 ~]# iptables-restore < iptables_m01_20200116

3、企業中配置

iptables -F iptables -X iptables -Z iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -nL

十一、防火墻規則永久生效

#把規則寫入iptables配置文件 [root@m01 ~]# vim /etc/sysconfig/iptables # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT#保存已經配置的規則 [root@m01 ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

十二、內部共享上網

1、在m01上操作

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -piptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.61-j 指定動作 SNAT 源地址轉換 --to-source 源地址轉換指向

2、沒有外網ip的主機操作

[root@web01 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1 GATEWAY=172.16.1.61 DNS1=223.5.5.5[root@web01 ~]# ifdown eth1 && ifup eth1

十三、端口轉發和IP轉發

1、端口轉發

[root@m01 ~]# iptables -t nat -A PREROUTING -d 10.0.0.61 -p tcp --dport 5555 -j DNAT --to-destination 172.16.1.7:22[root@m01 ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.61-d 指定目的ip DNAT 目標地址轉換 --to-destination 目標地址轉換指向

2、IP轉發

[root@m01 ~]# iptables -t nat -A PREROUTING -d 10.0.1.61 -j DNAT --to-destination 172.16.1.7iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.61

3、iptables常見列題

1、詳述iptales工作流程以及規則過濾順序？ 2、iptables有幾個表以及每個表有幾個鏈？ #四表五鏈 3、iptables的幾個表以及每個表對應鏈的作用，對應企業應用場景？ 4、畫圖講解iptables包過濾經過不同表和鏈簡易流程圖并闡述。 5、請寫出查看iptables當前所有規則的命令。6、禁止來自10.0.0.188 ip地址訪問80端口的請求7、如何使在命令行執行的iptables規則永久生效？ #(service iptables save) 8、實現把訪問10.0.0.3:80的請求轉到172.16.1.17:80 #(iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 172.16.1.8) 9、實現172.16.1.0/24段所有主機通過124.32.54.26外網IP共享上網10、寫一個防火墻配置腳本，只允許遠程主機訪問本機的80端口 #iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT #iptables -t filter -A INPUT -j DROP11、寫一個腳本解決DOS攻擊生產案例 #!/bin/bash #步驟： # 寫一個腳本解決DOS攻擊生產案例 # 過濾出IP及IP重復次數 # grep -oE "([0-9]{1,3}\.){3}[0-9]{1,3}" /var/log/nginx/access.log # awk '{print $1}' /var/log/nginx/access.log # awk '{print $1}' /var/log/nginx/access.log | uniq -c | sort -n # 每一分鐘怎么做？ # 將統計結果超過100的，屏蔽掉DIR="/var/log/nginx/access.log" IPS_DIR="/var/log/nginx/IPS.txt" DATE=`date +%F_%H_%M` BACKUP_DIR="/var/log/nginx/backup" NEW_FILE_NAME=$BACKUP_DIR/$DATE.txtif [ ! -d $BACKUP_DIR ];thenmkdir -pv $BACKUP_DIR ficp -r $DIR $NEW_FILE_NAME >$DIRawk '{print $1}' $NEW_FILE_NAME | sort | uniq -c | sort -n > ${IPS_DIR}while read line doCOUNT=`echo $line | awk '{print $1}'`IP=`echo $line | awk '{print $2}'`if [ $COUNT -gt 100 ];then/usr/sbin/iptables -t filter -A INPUT -s $IP -p tcp -j DROP fidone < ${IPS_DIR}

/nginx/access.log | uniq -c | sort -n

每一分鐘怎么做？

將統計結果超過100的，屏蔽掉

DIR="/var/log/nginx/access.log"
IPS_DIR="/var/log/nginx/IPS.txt"
DATE=date +%F_%H_%M
BACKUP_DIR="/var/log/nginx/backup"
NEW_FILE_NAME=$BACKU{P}_{D}IR/$DATE.txt

if [ ! -d $BACKUP_DIR ];then
mkdir -pv $BACKUP_DIR
fi

cp -r $DIR $NEW_FILE_NAME

$DIR

awk ‘{print $1}’ $NEW_FILE_NAME | sort | uniq -c | sort -n > ${IPS_DIR}

while read line
do

COUNT=`echo $line | awk '{print $1}'`

IP=echo $line | awk '{print $2}'
if [ $COUNT -gt 100 ];then
/usr/sbin/iptables -t filter -A INPUT -s $IP -p tcp -j DROP
fi

done < ${IPS_DIR}

總結

以上是生活随笔為你收集整理的@iptables防火墙详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。