iptables简述
防火墙的作用就在于对经过的报文匹配(match)“规则”(rules),然后执行对应的“动作”(target)。
防火墙的发展史就是从墙到链再到表的过程,也即从简单到复杂的过程,为什么规则越来越多,因为互联网越来越不安全了,所有防火墙的规则也越来越复杂。
ipfirewall(墙)-->ipchains(链条)--iptables(表)
2.0版内核中,包过滤机制是ipfw,管理工具是ipfwadm;
2.2 版内核中,包过滤机制ipchain,管理工具是ipchains;
2.4版及以后的内核中,包过滤机制是netfilter,管理工具iptables。
iptables运行在用户态,用户制定防火墙规则;netfilter运行与内核空间,规则存储在内核空间的信息包过滤表中。用户空间的iptables制定相应的规则策略控制内核空间的netfilter处理相应的数据访问控制。
制作防火墙规则通常有两种基本策略。一是黑名单策略;二是白名单策略。
iptables规则
iptables规则有四表五链(其实有五表,后来又增加了security表),四表分别是raw、mangle、nat、filter表。五链分别是PREROUTING、INPUT、OUTPUT、 FORWARD、POSTROUTING链。表有什么用?链又有什么用呢?其实表规则决定了数据报文处理的方式,而链规则决定了数据报文的流经哪些位置。
表介绍(table)
filter表:负责过滤功能,确认是否放行该数据包;内核模块:iptables_filter
nat表:网络地址转换功能,修改数据包中的源、目标IP或端口;内核模块iptables_nat
mangle表:拆解报文、做出修改,并重新封装,为数据包设置标记;iptable_mangle
raw表:确认是否对该数据包进行状态追踪,关闭nat表上启动的连接追踪机制;iptable_raw
security表:是否定义强制访问控制规则(MAC)。
规则表的优先级:raw->mangle->nat->filter
链介绍(chain)
PREROUTING链:在进行路由选择前处理数据包,判断目标主机
INPUT:处理入栈数据包
OUTPUT:处理出栈数据包
FORWARD:处理转发数据包(主要是将数据转发到本机其他网卡设备)
POSTROUTING链:在进行路由选择后处理数据包,判断经由哪一个接口送往下一跳
制定iptables规则的思路:
1) 选择一张表(此表决定了数据报文处理的方式)
2) 选择一条链(此链决定了数据报文的流经哪些位置)
3) 选择合适的条件(此条件决定了对数据报文做何种条件匹配)
4) 选择处理数据报文的动作,制定相应的防火墙规则。
iptables命令
iptables/ip6tables - administration tool for IPv4/IPv6 packet filtering and NAT
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
不指定表名时,默认表示filter表;
不指定链名时,默认表示该表内所有链;
除非设置规则链的缺省策略,否则需要指定匹配条件。
iptables [-t table] {-A|-C|-D} chain rule-specification
ip6tables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]
1. 管理选项
管理选项-规则管理
-A, --append chain rule-specification:追加新规则于指定链的尾部
-C, --check chain rule-specification:确认匹配规则是否在存在chain中
-D, --delete chain rule-specification:根据规则本身删除规则
-D, --delete chain rulenum:根据规则编号删除规则
-I, --insert chain [rulenum] rule-specification:插入新规则于指定链的指定位置,默认为首部
-R, --replace chain rulenum rule-specification:替换指定的规则为新的规则
管理选项-规则显示
-L, --list [chain]:列出规则
-n, --numeric:数字格式显示主机地址和端口号
-x, --exact:显示计数器的精确值,而非圆整后的数据
--line-numbers:列出规则时,显示其在链上的相应编号
-S, --list-rules [chain]:显示指定链的所有规则
管理选项-链管理
-N, --new-chain chain:新建一个自定义的规则链
-X, --delete-chain [chain]:删除用户自定义的引用计数为0的空链
-F, --flush [chain]:清空指定的规则链上的规则
-E, --rename-chain old-chain new-chain:重命名链
-Z, --zero [chain [rulenum]]:置零计数器;
注意:每个规则都有两个计数器:
packets:被本规则所匹配到的所有报文的个数
bytes:被本规则所匹配到的所有报文的大小之和
-P, --policy chain target:指定链表的默认策略(ACCEPT | DROP | REJECT),增加的规则应该是相反的,需要特殊处理的。
2. 条件匹配
条件匹配分为基本匹配和扩展匹配,扩展匹配又分为显示匹配和隐式匹配。
基本匹配的特点是:无需加载扩展模块,匹配规则生效;扩展匹配的特点是:需要加载扩展模块,匹配规则方可生效。
隐式匹配的特点:使用-p选项指明协议时,无需再同时使用-m选项指明扩展模块以及不需要手动加载扩展模块;
显示匹配的特点:必须使用-m选项指明要调用的扩展模块的扩展机制以及需要手动加载扩展模块。
基本匹配的使用选项及功能
-p 指定规则协议,tcp udp icmp all
-s 指定数据包的源地址,ip hostname
-d 指定目的地址
-i 输入接口
-o 输出接口
! 取反
隐式匹配的使用选项及功能
-p tcp
--sport 匹配报文源端口;可以给出多个端口,但只能是连续的端口范围
--dport 匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围
--tcp-flags mask comp 匹配报文中的tcp协议的标志位
-p udp
--sport 匹配报文源端口;可以给出多个端口,但只能是连续的端口范围
--dport 匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围
--icmp-type
0/0: echo reply 允许其他主机ping
8/0:echo request 允许ping其他主机
显式匹配的使用选项及功能
man iptables-extensions查看具体用法。
包含multiport(多端口),iprange,time,string,connlimit,limit,state(数据报文状态:INVALID,ESTABLISHED,NEW,RELATED,UNTRACKED)。
3.处理动作
处理动作有内置的处理动作和自定义的处理动作。自定义的处理动作用的比较少,因此只介绍内置的处理动作。
ACCEPT:允许数据包通过
DROP:直接丢弃数据包,不给出任何回应信息,这时客户端会感觉请求丢失了,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息,客户端刚请求就会收到拒绝的信息。
LOG:在日志文件/var/log/messages中记录日志信息,然后将数据包传递给下一条规则
QUEUE: 防火墙将数据包移交到用户空间
RETURN:防火墙停止执行当前链中的后续Rules,并返回到调用链
REDIRECT:端口重定向,在本机做端口映射。
MARK:做防火墙标记
DNAT:目标地址转换
SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
MASQUERADE:地址伪装,是SNAT的一种特殊形式,适用于动态的、临时会变的IP上。
iptables应用
1. 删除现有规则
iptables -F
2. 配置默认链策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
3. 允许远程主机进行SSH连接
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
4. 允许本地主机进行SSH连接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
5. 允许HTTP请求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
6. 查看本机关于iptables的设置情况
iptables -L -n
7.有线端口接收到数据包转发到无线端口wlan0后发送出去
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE
参考: