iptables学习笔记

  • Post author:
  • Post category:其他




前言

在早期的 Linux 系统中,默认使用的是

iptables

配置防火墙。尽管新型 的

firewalld

防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。考虑到 iptables 在当前生产环境中还具有顽强的生命力,还是有必要再好好地学习一下这项技术。



iptables 简介



什么是iptables?

iptables 是 Linux 防火墙工作在用户空间的管理工具,是 netfilter/iptables IP 信息包过滤系统是一部分,用来设置、维护和检查 Linux 内核的 IP 数据包过滤规则。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。



iptables特点

iptables 是基于内核的防火墙,功能非常强大;iptables 内置了filter,nat和mangle三张表。所有规则配置后,立即生效,不需要重启服务。



iptables 组成

iptables的结构是由表(tables)组成,而tables是由链组成,链又是由具体的规则组成。因此我们在编写iptables规则时,要先指定表,再指定链。tables的作用是区分不同功能的规则,并且存储这些规则。

iptables结构

注意:raw表:用于处理异常,包括的规则链有:prerouting,output;一般使用不到。


总体说来,iptables是由

“三表五链”

组成。



三张表:


  • filter


    负责过滤数据包,包括的规则链有:input,output和forward


  • nat


    用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting 和 output


  • mangle


    主要应用在修改数据包、流量整形、给数据包打标识,默认的规则链有:INPUT,OUTPUT、 forward,POSTROUTING,PREROUTING

优先级:mangle > nat > filter



五条链:


  • input


    匹配目标IP是本机的数据包


  • output


    出口数据包 , 一般不在此链上做配置


  • forward


    匹配流经本机的数据包


  • prerouting


    修改目的地址,用来做 DNAT 。如:把内网中的 80 端口映射到互联网端口


  • postrouting


    修改源地址,用来做 SNAT。如:局域网共享一个公网IP接入Internet。


iptables 处理数据包流程:


iptables处理流程

当一个数据包进入网卡时,它首先进入 PREROUTING 链,内核根据数据包目的 IP 判断是否需要转送出去。

如果数据包就是进入本机的,它就会沿着图向下移动,到达 INPUT 链。数据包到了 INPUT 链后,任何进程都会收到它。

本机上运行的程序可以发送数据包,这些数据包会经过 OUTPUT 链,然后到达POSTROUTING 链输出。

如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD 链,然后到达 POSTROUTING 链输出。

总结:整体数据包分两类:1、发给防火墙本身的数据包 ;2、需要经过防火墙的数据包



iptables 安装

1、关闭 firewall

systemctl stop firewalld //关闭firewalld服务
systemctl disable firewalld //禁止firewalld开机自启动

2、安装 iptables

yum -y install iptables-services

3、启动服务

systemctl start iptables //启动iptables
systemctl start iptables //设置iptables开机自启动

4、配置文件位置

[root@LB-01 ~]# ll /etc/sysconfig/iptables
-rw------- 1 root root 1027 May 12 18:40 /etc/sysconfig/iptables

iptables配置实例:

iptables实例



iptables 命令基本语法

iptables [-t table] command [链名] [条件匹配] [-j 目标动作]

iptables命令基本语法


以下是对 iptables 命令的拆分讲解:



-t table

用来指明使用的表,有三种选项:

filter



nat



mangle



若未指定,则默认使用filter表。



command参数

指定iptables 对我们提交的规则要做什么样的操作,以下是command常用参数:


  • -A


    Append,追加一条规则(放到最后)
//举例:
iptables -A INPUT -j DROP #拒绝所有人访问服务器(作为最后一条规则)
// 若未 -t 指定表,默认使用filter表

  • -I


    Insert,在指定的位置插入规则
//举例:
iptables -I INPUT 2 -s 10.10.10.1 -j ACCEPT #允许10.10.10.1主机访问本机
// 在 filter 表的 INPUT 链插入成第2条规则

  • -L


    List,查看规则列表
 具体参数:n:只显示 IP 地址和端口号码,不显示域名和服务名称
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
--line-number:可以查看到规则号

  • -D


    Delete,从规则列表中删除规则
//举例:
iptables -D INPUT 2
// 删除 filter 表 INPUT 链中的第 2 条规则

  • -P


    Policy,设置某个链的默认规则
//举例:
iptables -P INPUT DROP
// 设置 filter 表 INPUT 链的默认规则是 DROP

  • -F


    Flush,清空规则
//举例:
iptables -F INPUT #清空filter 表中INPUT链上的规则
iptables -F #清空filter 表中所有链上的规则
iptables -t nat -F PREROUTING ##清空NAT表中PREROUTING链上的规则
iptables -t nat -F #清空NAT表中所有链上的规则

“注意:

-F

是清空链中规则,但并不影响

-P

设置的默认规则。因此在生产环境中,若指定默认规则为DROP,一旦执行

iptables -F

,很容易导致自己也无法连接服务器(-F 会把配置的明细ACCEPT规则删除,只留下默认规则拒接所有)。


  • -Z


    zero,将指定链的所有计数器归零。(如未指定,则认为是所有链)
//举例:
iptables -Z INPUT
//清除filter表INPUT链上的计数器



条件匹配参数

  1. 按网络接口匹配:

  • -i


    匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。

  • -o


    匹配数据流出的网络接口
//举例:
-i eth0
// 匹配从网络接口eth0进来的数据包

-o eth1
// 匹配从eth1流出的数据包
  1. 按源及目的地址匹配:

  • -s


    匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)

  • -d


    匹配目标地址
//举例:
-s 参数举例:
iptables -A INPUT -s 10.10.10.10 -j DROP
// 拒绝10.10.10.10主机访问本机

-d 参数举例:
iptables -A OUTPUT -d www.baidu.com -j DROP
// 禁止本机访问百度
  1. 按协议类型匹配

  • -p


    匹配协议类型,可以是TCP、UDP、ICMP等
//举例:
iptables -A INPUT -s 10.10.10.10 -p icmp -j DROP
// 禁止10.10.10.10主机ping通本机
  1. 按源及目的端口匹配:

  • --sport


    匹配源端口;可以是单个端口,也可以是端口范围

  • --dport


    匹配目的端口
// 举例:
-- sport 23
//匹配源端口是23的数据包

 -- sport 2000:3000
//匹配源端口是 2000-3000 的数据包

-- sport :2000
//匹配2000以下的数据包(包含2000)

- --sport 1000:
//匹配1000以上的数据包(包含1000)

注意:

--sport



--dport

必须配合

-p

参数使用,例如:

iptables -A INPUT -p tcp –dport 80 -j ACCEPT
//允许外部数据访问我的本地服务器80端口

详细解释:
1、这是一条从外部进入内部本地服务器的数据
2、数据包的目的(dport)地址是22,就是要访问我本地的22端口
3、允许以上的数据行为通过



目的动作


  • -j ACCEPT


    允许数据包通过本链而不拦截它
// 举例:
iptables -A INPUT -j ACCEPT
// 允许所有访问本机的数据包通过

  • -j DROP


    丢弃数据包;阻止数据包通过本链
// 举例:
iptables -A FORWARD -s 10.10.10.10 -j DROP
// 阻止来自10.10.10.10 的数据包通过本机

  • -j SNAT


    源地址转换,支持转换为单IP,也支持转换到IP地址池
举例:
转换到单IP举例:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 18.18.18.18
// 将内网 192.168.1.0/24 转换为公网18.18.18.18地址;SNAT,用于访问互联网

转换到一组地址池:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 18.18.18.18-18.18.18.28
//同上,只不过是转换到一组IP地址池

  • -j DNAT


    目的地址转换,支持转换为单IP,也支持转换到IP地址池
举例:
转换到单IP举例:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1
//把从eth0口进来访问TCP/80端口的数据包目的地址改成192.168.1.1

转换到一组地址池:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1-192.168.1.10

  • -j MASQUERADE


    动态SNAT转换(适用于动态 IP 场景 )
//举例:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
// 将源地址是 192.168.1.0/24 的数据包进行地址伪装,转换成 eth0 上的 IP 地址



iptables 常用附加模块:



按包状态匹配 (state)


-m state --state 状态

//举例:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
// 将目前已运行的服务端口全部放行!无风险,良心推荐使用



按来源 MAC 匹配(mac)


-m mac --mac-source MAC

//举例:
iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
// 拒绝来自某 MAC 地址的数据包进入本机



按包速率匹配 (limit)


-m limit --limit 匹配速率

//举例:
iptables -A FORWARD -d 192.168.1.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.1.1 -j DROP

“limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,50/s 表示 1 秒中转发 50 个数据包,要想限制的话后面要再跟一条DROP规则



多端口匹配 (multiport)


-m multiport <--sports|--dports|--ports> 端口 1[,端口 2,..,端口 n]

//举例:
iptables -A INPUT -p tcp -m multiport --dports 22,53,80,443 -j ACCEPT
// 允许访问本机TCP/22,53,80,443端口

“注意:该参数必须与 -p 参数一起使用



iptables 规则备份和恢复

我们执行

iptables

命令时,规则只是保存在内存中,并没有保存到某一个文件中。因此系统重启之后,之前设定的规则就没有了,所以规则设定完毕,检查无误后要及时保存规则,使用命令:


service iptables save

[root@LB-01 ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

会看到提示,防火墙规则保存在

/etc/sysconfig/iptables

文件内,这个文件就是iptables的配置文件。所以如果要备份防火墙规则,复制该配置文件即可。例如:

cp /etc/sysconfig/iptables /opt/myipt.rule

如果需要恢复这些规则,使用以下命令:

iptables-restore < /opt/myipt.rule
service iptables save



版权声明:本文为qq_39437900原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。