基础知识:
iptables 以顺序方式执行,从上到下依次执行
常用iptables 维护命令:
#iptables -L -n 显示当前iptables 规则
#iptables-save > /etc/iptables-script 保存规则
#iptables-restore /etc/iptables-script 恢复保存的规则
设置iptables 开机自动加载规则,添加以下内容至/etc/rc.local 文件中即可
/sbin/iptables-restore /etc/iptables-script
需要注意的是,必须写完全路径,要不然系统找不到命令与规则及脚本
--------------------------------------------------------------------------------
功能介绍
Netfilter/iptables对流入和流出的数据包进行过滤,屏蔽不符合要求的数据包,保证内部网络的安全,iptables主要有三张表,每张表的功能如下:
filter:用于设置包过滤
nat:用于设置网络地址转换
mangle:用于设置网络整形等高级应用
--------------------------------------------------------------------------------
Netfilter/iptables的典型应用
作为主机防火墙实现外部网络与主机之间的访问控制
作为网络防火墙提供外部网络与内部网络的访问控制
作为网关服务器实现网络地址转换(NAT)功能,实现内部网络通过网关主机共享访问外部网络
--------------------------------------------------------------------------------
Iptables 语法解释
iptables [-t table] command [match] [target] 一条命令打遍天下
一条iptables 规则包含如下4 个基本元素:
1)表(table):有三个可用的表选项:filter,nat,mangle。
2)命令(command):command部分是iptbles命令最重要的部分,它告诉iptalbes命令要做什么,例如:插入规则,将规则添加到链的末尾或删除规则。
3)匹配(match):iptables 命令的可选match 部分指定信息包与规则匹配所应具有的特征(如源和目的地地址、协议等)。匹配分为两大类:通用匹配和特定于协议的匹配。
4)目标(target):目标是由规则指定的操作,对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。
--------------------------------------------------------------------------------
Linux 关于iptables /etc/sysconfig/iptables 配置文件说明
#头两行是注释说明信息
1 # Firewall configuration written by system-config-securitylevel
2 # Manual customization of this file is not recommended.
#使用filter表
3 *filter
#下面四条内容定义了内建的INPUT、FORWAARD、ACCEPT链,还创建了一个被称为RH-Firewall-1-INPUT 的新链
4 :INPUT ACCEPT [0:0]
5 :FORWARD ACCEPT [0:0]
6 :OUTPUT ACCEPT [0:0]
7 :RH-Firewall-1-INPUT - [0:0]
#将所有流入的数据写入到日志文件中
8 -A INPUT -j LOG --log-level crit
#下面这条规则将添加到INPUT链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1-INPUT链上
9 -A INPUT -j RH-Firewall-1-INPUT
#下面这条规则将添加到FORWARD链上,所有发往FORWARD链上的数据包将跳转到RH-Firewall-1-INPUT链上。
10 -A FORWARD -j RH-Firewall-1-INPUT
#下面这条规则将被添加到RH-Firewall-1-INPUT链。它可以匹配所有的数据包,其中流入接口(-i)是一个环路接口(lo)。匹配这条规则的数据包将全部通过(ACCEPT),不会再使用别的规则来和它们进行比较
11 -A RH-Firewall-1-INPUT -i lo -j ACCEPT
#下面这条规则是拒绝所有的icmp包,-p 后是协议,如:icmp、tcp、udp。--sport表示源端口,--dport表示目的端口。-j 指定数据包发送的目的地址时是被丢弃还是被接受,如:ACCEPT、DROP、QUEUE等等
12 -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP
13 -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
14 -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
15 -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
16 -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
17 -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
18 -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#-m state --state ESTABLISHED,RELATED这个条件表示所有处于ESTABLISHED或者RELATED状态的包,策略都是接受的,-m state --state NEW 这个条件是当connection的状态为初始连接(NEW)时候的策略。
#开启SSH服务,端口号是2222
19 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
#开启Rsyn服务,并且只允许192.168.1.200这个客户端连接
20 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.200 --dport 873 -j ACCEPT
#开启WEB服务端口
21-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#开启Nginx服务端口
22-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9090 -j ACCEPT
#开启tomcat服务的端口
23 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
#开启mysql端口,只允许192.168.1.200这个客户端连接
24 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.200 --dport 3306 -j ACCEPT
#开启nagios NRPE客户端的服务
25 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5666 -j ACCEPT
#开启amoeba服务端口
26-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.200 --dport 8066 -j ACCEPT
#拒绝下列两个IP地址的所有请求连接
27-A INPUT -s 210.51.26.143 -p tcp -j DROP
28 -A INPUT -s 222.234.235.110 -p tcp -j DROP
29-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
30COMMIT
--------------------------------------------------------------------------------
command 常用命令列表(iptables帮助文档:iptables -h)
1)命令 -A, --append
范例 iptables -A INPUT ...
说明 新增规则到某个规则链中,该规则将会成为规则链中的最后一条规则。
2)命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则链中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。
3)命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则,规则被取代后并不会改变顺序。
4)命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明 插入一条规则,原本该位置上的规则将会往后移动一个顺位。
5)命令 -L, --list
范例1 iptables -L INPUT
说明 列出某规则链中的所有规则。
范例2 iptables -t nat -L
说明 列出nat表所有链中的所有规则。
6)命令 -F, --flush
范例 iptables -F INPUT
说明 删除filter表中INPUT链的所有规则。
7)命令 -Z, --zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。
8)命令 -N, --new-chain
范例 iptables -N allowed
说明 定义新的规则链。
9)命令 -X, --delete-chain
范例 iptables -X allowed
说明 删除某个规则链。
10)命令 -P, --policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包, 默认的处理方式。
11)命令 -E, --rename-chain
范例 iptables -E allowed disallowed
说明 修改某个自定义规则链的名称。
--------------------------------------------------------------------------------
[match] 常用封包匹配参数
参数 -p, --protocol
范例 iptables -A INPUT -p tcp
说明 匹配通讯协议类型是否相符,可以使用 ! 运算符进行反向匹配,例如:-p !tcp意思是指除 tcp 以外的其它类型,如udp、icmp ...等。如果要匹配所有类型,则可以使用 all 关键词,例如:
-p all
参数 -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
说明 用来匹配封包的来源IP,可以匹配单机或网络,匹配网络时请用数字来表示子网掩码,例如:
-s 192.168.0.0/24
匹配 IP 时可以使用 ! 运算符进行反向匹配,例如:-s !192.168.0.0/24。
参数 -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
说明 用来匹配封包的目的地 IP,设定方式同上。
参数 -i, --in-interface
范例 iptables -A INPUT -i eth0
说明 用来匹配封包是从哪块网卡进入,可以使用通配字符 + 来做大范围匹配,例如:-i eth+
表示所有的 ethernet 网卡,也可以使用 ! 运算符进行反向匹配,例如:-i !eth0
参数 -o, --out-interface
范例 iptables -A FORWARD -o eth0
说明 用来匹配封包要从哪块网卡送出,设定方式同上。
参数 --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
说明 用来匹配封包的源端口,可以匹配单一端口,或是一个范围,例如:--sport 22:80
表示从22到80端口之间都算是符合条件,如果要匹配不连续的多个端口,则必须使用 --multiport参数,详见后文。匹配端口号时,可以使用 ! 运算符进行反向匹配。
参数 --dport, --destination-port
范例 iptables -A INPUT -p tcp --dport 22
说明 用来匹配封包的目的地端口号,设定方式同上
参数 --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明匹配TCP封包的状态标志,参数分为两个部分,第一个部分列举出想匹配的标志,第二部分则列举前述标志中哪些有被设置,未被列举的标志必须是空的。TCP状态标志包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急) 、PSH(强迫推送)等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行匹配。匹配标志时,可以使用 ! 运算符行反向匹配。
参数 --syn
范例 iptables -p tcp --syn
说明 用来表示TCP通信协议中,SYN位被打开,而ACK与FIN位关闭的分组,即TCP的初始连接,与 iptables -p tcp--tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算符,可用来匹配非要求连接封包。
参数 -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明用来匹配不连续的多个源端口,一次最多可以匹配 15 个端口,可以使用 ! 运算符进行反向匹配。
参数 -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明用来匹配不连续的多个目的地端口号,设定方式同上。
参数 -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊,用来匹配源端口和目的端口号相同的封包,设定方式同上。注意:在本范例中,如果来源端口号为 80目的地端口号为110,这种封包并不算符合条件。
参数 --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
说明用来匹配 ICMP 的类型编号,可以使用代码或数字编号来进行 匹配。请打iptables -p icmp --help来查看有哪些代码可用。
参数 -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
说明 用来匹配某段时间内封包的平均流量,上面的例子是用来匹配:每小时平均流量是否超过一次3个封包。除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、/minute、/day。 除了进行封包数量的匹配外,设定这个参数也会在条件达成时,暂停封包的匹配动作,以避免因骇客使用洪水攻击法,导致服务被阻断。
参数 --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明 用来匹配瞬间大量封包的数量,上面的例子是用来匹配一次同时涌入的封包是否超过 5个(这是默认值),超过此上限的封包将被直接丢弃。使用效果同上。
参数 -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
说明 用来匹配封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 POSTROUTING 规则链上,这是因为封包要送到网卡后,才能由网卡驱动程序透过ARP通讯协议查出目的地的MA 地址,所以 iptables在进行封包匹配时,并不知道封包会送到哪个网络接口去。
参数 --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
说明 用来匹配封包是否被表示某个号码,当封包被匹配成功时,我们可以透过MARK处理动作,将该封包标示一个号码,号码最大不可以超过4294967296。
参数 -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
说明 用来匹配来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法匹配出来自其它主机的封包。
参数 -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
说明 用来匹配来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。
参数 -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明 用来匹配来自本机的封包,是否为某特定进程所产生的,使用时机同上。
参数 -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
说明 用来匹配来自本机的封包,是否为某特定 连接(Session ID)的响应封包,使用时机同上。
参数 -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明 用来匹配连接状态, 连接状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的连接编号(Session ID)无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的连接。
NEW 表示该封包想要起始一个连接(重设连接或将连接重导向)。
RELATED 表示该封包是属于某个已经建立的连接,所建立的新连接。例如:FTP-DATA 连接必定是源自某个 FTP连接。
[-j target/jump] 常用的处理动作:
-j参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分别说明如下:
ACCEPT:将封包放行,进行完此处理动作后,将不再匹配其它规则,直接跳往下一个规则链(natostrouting)。
REJECT:拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMPecho-reply 或是tcp-reset(这个封包会要求对方关闭连接),进行完此处理动作后,将不再匹配其它规则,直接中断过滤程序。 范例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-withtcp-reset
DROP:丢弃封包不予处理,进行完此处理动作后,将不再匹配其它规则,直接中断过滤程序。
REDIRECT:将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将会继续匹配其它规则。这个功能可以用来实现透明代理或用来保护 web 服务器。例如:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8080
MASQUERADE:改写封包来源 IP 为防火墙 NIC IP,可以指定 port对应的范围,进行完此处理动作后,直接跳往下一个规则 链(manglepostrouting)。这个功能与SNAT 略有不同,当进行IP 伪装时,不需指定要伪装成哪个 IP,IP会从网卡直接读取,当使用拨 号接连时,IP通常是由ISP公司的DHCP服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports1024-31000
LOG:将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf配置文件,进行完此处理动作后,将会继续匹配其规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT:改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。范例如下:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT--to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT:改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port对应的范围,进行完此处理动作后,将会直接跳往下一个规则链(filter:input 或filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -jDNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR:镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
QUEUE:中断过滤程序,将封包放入队列,交给其它程序处理。通过自行开发的处理程序,可以进行其它应用,例如:计算连接费用等。
RETURN:结束在目前规则链中的过滤程序,返回主规则链继续过滤,如果把自定义规则链看成是一个子程序,那么这个动作,就相当于提前结束子程序并返回到主程序中。
MARK:将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续匹配其它规则。范例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK--set-mark 2
--------------------------------------------------------------------------------
