iptables詳解
iptables簡介
netfilter/iptables(簡稱為iptables)組成Linux平臺下的包過濾防火牆,與大多數的Linux軟體一樣,這個包過濾防火牆是免費的,它可以代替昂貴的商業防火牆解決方案,完成封包過濾、封包重定向和網路地址轉換(NAT)等功能。
iptables基礎
規則(rules)其實就是網路管理員預定義的條件,規則一般的定義為“如果資料包頭符合這樣的條件,就這樣處理這個資料包”。規則儲存在核心空間的資訊 包過濾表中,這些規則分別指定了源地址、目的地址、傳輸協議(如TCP、UDP、ICMP)和服務型別(如HTTP、FTP和SMTP)等。當資料包與規 則匹配時,iptables就根據規則所定義的方法來處理這些資料包,如放行(accept)、拒絕(reject)和丟棄(drop)等。配置防火牆的 主要工作就是新增、修改和刪除這些規則。
iptables和netfilter的關係:
這是第一個要說的地方,Iptables和netfilter的關係是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是 netfilter,它是Linux核心中實現包過濾的內部結構。
iptables傳輸資料包的過程
① 當一個資料包進入網路卡時,它首先進入PREROUTING鏈,核心根據資料包目的IP判斷是否需要轉送出去。
② 如果資料包就是進入本機的,它就會沿著圖向下移動,到達INPUT鏈。資料包到了INPUT鏈後,任何程式都會收到它。本機上執行的程式可以傳送資料包,這些資料包會經過OUTPUT鏈,然後到達POSTROUTING鏈輸出。
③ 如果資料包是要轉發出去的,且核心允許轉發,資料包就會如圖所示向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出。
iptables的規則表和鏈:
表(tables)提供特定的功能,iptables內建了4個表,即filter表、nat表、mangle表和raw表,分別用於實現包過濾,網路地址轉換、包重構(修改)和資料跟蹤處理。
鏈(chains)是資料包傳播的路徑,每一條鏈其實就是眾多規則中的一個檢查清單,每一條鏈中可以有一 條或數條規則。當一個資料包到達一個鏈時,iptables就會從鏈中第一條規則開始檢查,看該資料包是否滿足規則所定義的條件。如果滿足,系統就會根據 該條規則所定義的方法處理該資料包;否則iptables將繼續檢查下一條規則,如果該資料包不符合鏈中任一條規則,iptables就會根據該鏈預先定 義的預設策略來處理資料包。
Iptables採用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈。現在REHL5成了四張表五個鏈了,不過多出來的那個表用的也不太多,所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關係及作用。
規則表:
1.filter表——三個鏈:INPUT、FORWARD、OUTPUT
作用:過濾資料包 核心模組:iptables_filter.
2.Nat表——三個鏈:PREROUTING、POSTROUTING、OUTPUT
作用:用於網路地址轉換(IP、埠) 核心模組:iptable_nat
3.Mangle表——五個鏈:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改資料包的服務型別、TTL、並且可以配置路由實現QOS核心模組:iptable_mangle(別看這個表這麼麻煩,我們們設定策略時幾乎都不會用到它)
4.Raw表——兩個鏈:OUTPUT、PREROUTING
作用:決定資料包是否被狀態跟蹤機制處理 核心模組:iptable_raw
(這個是REHL4沒有的,不過不用怕,用的不多)
規則鏈:
1.INPUT——進來的資料包應用此規則鏈中的策略
2.OUTPUT——外出的資料包應用此規則鏈中的策略
3.FORWARD——轉發資料包時應用此規則鏈中的策略
4.PREROUTING——對資料包作路由選擇前應用此鏈中的規則
(記住!所有的資料包進來的時侯都先由這個鏈處理)
5.POSTROUTING——對資料包作路由選擇後應用此鏈中的規則
(所有的資料包出來的時侯都先由這個鏈處理)
規則表之間的優先順序:
Raw——mangle——nat——filter
規則鏈之間的優先順序(分三種情況):
第一種情況:入站資料流向
從外界到達防火牆的資料包,先被PREROUTING規則鏈處理(是否修改資料包地址等),之後會進行路由選擇(判斷該資料包應該發往何處),如果資料包 的目標主機是防火牆本機(比如說Internet使用者訪問防火牆主機中的web伺服器的資料包),那麼核心將其傳給INPUT鏈進行處理(決定是否允許通 過等),透過以後再交給系統上層的應用程式(比如Apache伺服器)進行響應。
第二衝情況:轉發資料流向
來自外界的資料包到達防火牆後,首先被PREROUTING規則鏈處理,之後會進行路由選擇,如果資料包的目標地址是其它外部地址(比如區域網使用者透過網 關訪問QQ站點的資料包),則核心將其傳遞給FORWARD鏈進行處理(是否轉發或攔截),然後再交給POSTROUTING規則鏈(是否修改資料包的地 址等)進行處理。
第三種情況:出站資料流向
防火牆本機向外部地址傳送的資料包(比如在防火牆主機中測試公網DNS伺服器時),首先被OUTPUT規則鏈處理,之後進行路由選擇,然後傳遞給POSTROUTING規則鏈(是否修改資料包的地址等)進行處理。
管理和設定iptables規則
iptables的基本語法格式
iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉]
說明:表名、鏈名用於指定 iptables命令所操作的表和鏈,命令選項用於指定管理iptables規則的方式(比如:插入、增加、刪除、檢視等;條件匹配用於指定對符合什麼樣 條件的資料包進行處理;目標動作或跳轉用於指定資料包的處理方式(比如允許透過、拒絕、丟棄、跳轉(Jump)給其它鏈處理。
iptables命令的管理控制選項
-A 在指定鏈的末尾新增(append)一條新的規則
-D 刪除(delete)指定鏈中的某一條規則,可以按規則序號和內容刪除
-I 在指定鏈中插入(insert)一條新的規則,預設在第一行新增
-R 修改、替換(replace)指定鏈中的某一條規則,可以按規則序號和內容替換
-L 列出(list)指定鏈中所有的規則進行檢視
-E 重新命名使用者定義的鏈,不改變鏈本身
-F 清空(flush)
-N 新建(new-chain)一條使用者自己定義的規則鏈
-X 刪除指定表中使用者自定義的規則鏈(delete-chain)
-P 設定指定鏈的預設策略(policy)
-Z 將所有表的所有鏈的位元組和資料包計數器清零
-n 使用數字形式(numeric)顯示輸出結果
-v 檢視規則表詳細資訊(verbose)的資訊
-V 檢視版本(version)
-h 獲取幫助(help)
防火牆處理資料包的四種方式
ACCEPT 允許資料包透過
DROP 直接丟棄資料包,不給任何回應資訊
REJECT 拒絕資料包透過,必要時會給資料傳送端一個響應的資訊。
LOG在/var/log/messages檔案中記錄日誌資訊,然後將資料包傳遞給下一條規則
iptables防火牆規則的儲存與恢復
iptables-save把規則儲存到檔案中,再由目錄rc.d下的指令碼(/etc/rc.d/init.d/iptables)自動裝載
使用命令iptables-save來儲存規則。一般用
生成儲存規則的檔案 /etc/sysconfig/iptables,
也可以用
它能把規則自動儲存在/etc/sysconfig/iptables中。
當計算機啟動時,rc.d下的指令碼將用命令iptables-restore呼叫這個檔案,從而就自動恢復了規則。
刪除INPUT鏈的第一條規則
iptables防火牆常用的策略
1.拒絕進入防火牆的所有ICMP協議資料包
2.允許防火牆轉發除ICMP協議以外的所有資料包
說明:使用“!”可以將條件取反。
3.拒絕轉發來自192.168.1.10主機的資料,允許轉發來自192.168.0.0/24網段的資料
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明:注意要把拒絕的放在前面不然就不起作用了啊。
4.丟棄從外網介面(eth1)進入防火牆本機的源地址為私網地址的資料包
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
5.封堵網段(192.168.1.0/24),兩小時後解封。
# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
# at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1
說明:這個策略我們們藉助crond計劃任務來完成,就再好不過了。
[1] Stopped at now 2 hours
6.只允許管理員從202.13.0.0/16網段使用SSH遠端登入防火牆主機。
iptables -A INPUT -p tcp --dport 22 -j DROP
說明:這個用法比較適合對裝置進行遠端管理時使用,比如位於分公司中的SQL伺服器需要被總公司的管理員管理時。
7.允許本機開放從TCP埠20-1024提供的應用服務。
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
8.允許轉發來自192.168.0.0/24區域網段的DNS解析請求資料包。
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
9.禁止其他主機ping防火牆主機,但是允許從防火牆上ping其他主機
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
10.禁止轉發來自MAC地址為00:0C:29:27:55:3F的和主機的資料包
說明:iptables中使用“-m 模組關鍵字”的形式呼叫顯示匹配。我們們這裡用“-m mac –mac-source”來表示資料包的源MAC地址。
11.允許防火牆本機對外開放TCP埠20、21、25、110以及被動模式FTP埠1250-1280
說明:這裡用“-m multiport –dport”來指定目的埠及範圍
12.禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP資料包。
說明:此處用“-m –iprange –src-range”指定IP範圍。
13.禁止轉發與正常TCP連線無關的非—syn請求資料包。
說明:“-m state”表示資料包的連線狀態,“NEW”表示與任何連線無關的,新的嘛!
14.拒絕訪問防火牆的新資料包,但允許響應連線或與已有連線相關的資料包
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明:“ESTABLISHED”表示已經響應請求或者已經建立連線的資料包,“RELATED”表示與已建立的連線有相關性的,比如FTP資料連線等。
15.只開放本機的web服務(80)、FTP(20、21、20450-20480),放行外部主機發住伺服器其它埠的應答資料包,將其他入站資料包均予以丟棄處理。
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
文章參考
iptables官方網站
iptables配置手冊
network/iptables-tutorial-cn-1.1.19.html iptables配置手冊
http://blog.csdn.net/thmono/archive/2010/04/08/5462043.aspx
http://netsecurity.51cto.com/art/200512/14457.htm
http://blog.sina.com.cn/s/blog_40ba724c0100jz12.html
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/25469263/viewspace-2642902/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- iptables配置詳解
- iptables詳解及docker的iptables規則Docker
- Linux iptables 命令詳解Linux
- linux中iptables詳解Linux
- iptables使用詳解(centos7)CentOS
- 詳解網路知識:iptables規則
- 詳述netfilter 和 iptables!Filter
- Linux 防火牆配置(iptables和firewalld)詳細教程。Linux防火牆
- iptables重置
- centos 7 中沒有iptables 和service iptables save 指令使用失敗問題解決方案CentOS
- iptables報錯!iptables-restore unable to initialize table 'filterRESTFilter
- Debian使用iptables-persistent持久化iptables規則持久化
- 防火牆iptables防火牆
- iptables筆記筆記
- iptables防火牆防火牆
- Iptables 實操
- iptables和firewalld
- iptables應用
- 8張圖帶你瞭解iptables的前世今生
- iptables配置資訊被誤刪瞭解決方法
- 解決service iptables save出錯please try to use systemctl
- [iptables] 基於iptables實現的跨網路通訊
- Iptables 本地迴環介面容易造成誤解的配置
- 解決CentOS /etc/sysconfig/下沒有iptables的問題CentOS
- iptables設定macMac
- Iptables入門教程
- iptables的問題
- Iptables 最佳實踐 !
- linux之iptables使用Linux
- centos8 Iptables配置CentOS
- Iptables防火牆應用防火牆
- iptables:No chain/target/match by the nameAI
- iptables防火牆規則防火牆
- docker宿主機iptables配置Docker
- Linux下iptables安全配置Linux
- 使用iptables管控docker容器Docker
- 基於iptables防火牆堵漏防火牆
- Linux設定防火牆iptablesLinux防火牆