iptables基础详解与实例

一、iptables定义

iptables是一个工作于用户空间的防火墙应用软件，允许系统管理员可以调整设置X表（Xtables）提供相关的系统表格（目前主要位于iptables/netfilter）以及相关的“链”与“规则”来管理网络数据包的流动与转送的动作。因相关动作上的需要，iptables的操作需要用到超级用户的权限。在大部份的Linux系统上面，iptables是使用/usr/sbin/iptables来操作，文件则放置在手册页（Man page^[2]）底下，可以通过 man iptables 指令取得。通常iptables都需要内核层级的模块来配合运作，Xtables是主要在内核层级里面iptables API运作功能的模块。

主机防火墙：网络层防火墙可视为一种 IP 数据包过滤器，运作在底层的TCP/IP协议堆栈上

网络防火墙：工作于网络边缘的硬件设备；对于到达网络的数据包根据某种规则进行过滤处理。

二、iptables的四表和五链

四表

五链

对应关系

三、基本的用法

1、格式

2、匹配条件

• 通用匹配

  -s	匹配源地址；ip或网络地址；! 可以取反。
  -d	匹配目标地址；ip或网络地址；! 可以取反。
  -p	匹配协议{tcp|udp|icmp}
  -i	数据报文流入的接口；通常{INPUT|FORWARD|PREROUTING}
  -o	数据报文流出的接口；通常{OUTPUT|FORWARD|POSTROUTING}

• 扩展匹配

   隐含扩展：使用-p{tcp|udp|icmp}指定某特定协议后；自动能够对协议进行的扩展

       --dport m[-n]:匹配的目标端口；可以是连续的多个端口

       --sport m[-n]:匹配的目标端口；可以是连续的多个端口

       --tcp-flags:根据tcp的标志位来匹配

       --icmp-type:icmp的状态

   显式扩展：必须要明确指定的扩展模块

    -m：扩展模块名称 --专用选项1 --专用选项2...(/lib64/xtables/*)

• • multiport：多端口匹配；一次指定多个(15个以内的)离散端口
    [!] --sports port[,port|,port:port]	源端口
    [!] --dports port[,port|,port:port]	目标端口
    [!] --ports port[,port|,port:port]	不区分源与目标端口

  • string：字符串匹配
    --algo {bm|kmp}	字符匹配查找时使用算法；必选
    [!] --string pattern	要查找的字符串；可以取反
    [!] --hex-string pattern	要查找的字符；先编码成16进制的格式

  • iprange：ip地址范围
    [!] --src-range from[-to]	源IP；
    [!] --dst-range from[-to]	目标IP；

  • time：指定时间范围
    --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]	起始日期
    --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]	结束日期
    --timestart hh:mm[:ss]	起始时间
    --timestop hh:mm[:ss]	结束时间
    [!] --monthdays day[,day...]	每月几号
    [!] --weekdays day[,day...]	每周几

  • limit：报文速率控制
    --limit rate[/second|/minute|/hour|/day]	number/单位
    --limit-burst number	峰值；最大值

  • connlimit：每IP对指定服务最大并发连接数
    [!] --connlimit-above n	并发超出个数

  • state：状态匹配；根据netfilter内部会话表匹配；能建立连接的都能追踪
    	根据ip_conntrack和nf_conntrack来实现对整个系统连接追踪
    INVALID	无法识别的连接；例如：tcp-flags ALL ALL/ALL NONE
    ESTABLISHED	已建立连接的
    NEW	新建立的连接
    RELATED	相关联的；例如命令连接到数据连接

  • 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

    [Linux85] #iptables -A INPUT -d 172.16.251.85 -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT #使用state后；连接追踪模块会自动加载 [Linux85] #lsmod Module                  Size  Used by nf_conntrack_ipv4        9506   2 nf_defrag_ipv4           1483   1  nf_conntrack_ipv4 xt_state                 1492   2 nf_conntrack            79758   2  nf_conntrack_ipv4,xt_state [Linux85] #iptables -L -n -v Chain  INPUT  (policy ACCEPT  1  packets,  40  bytes)   pkts bytes target     prot opt  in      out     source               destination        50   3768  ACCEPT     tcp   - -   eth0    *        0.0 . 0.0 / 0             172.16 . 251.85        tcp dpt: 22  state NEW,ESTABLISHED Chain FORWARD (policy ACCEPT  0  packets,  0  bytes)   pkts bytes target     prot opt  in      out     source               destination    Chain OUTPUT (policy ACCEPT  35  packets,  3252  bytes)   pkts bytes target     prot opt  in      out     source               destination    [Linux85] #cat /proc/sys/net/nf_conntrack_max 15692   #定义了连接追踪的最大值;可以按需调整 [Linux85] # [Linux85] #iptables -L -n -v Chain  INPUT  (policy DROP  0  packets,  0  bytes)   pkts bytes target     prot opt  in      out     source               destination       357  25520  ACCEPT     tcp   - -   eth0    *        0.0 . 0.0 / 0             172.16 . 251.85        tcp dpt: 22  state NEW,ESTABLISHED Chain FORWARD (policy ACCEPT  0  packets,  0  bytes)   pkts bytes target     prot opt  in      out     source               destination    Chain OUTPUT (policy DROP  0  packets,  0  bytes)   pkts bytes target     prot opt  in      out     source               destination        63   6928  ACCEPT     tcp   - -   *       *        172.16 . 251.85         0.0 . 0.0 / 0            tcp spt: 22  state ESTABLISHED

    
    

四、实例演示

1、自定义一个规则链；过滤非法数据包；并被调用

2、放行本机的ssh端口给指定IP

3、本机禁ping

4、放行本机80端口

5、放行被动工作的ftp服务

6、屏蔽指定字符串的网页

五、配置nat转发在不同网络放行web等服务

NAT：网络地址转换；iptables基于SNAT和DNAT这两个目标实现地址转换技术。

SNAT：源地址转换；用于让内网主机访问互联网。在POSTROUTING或OUTPUT上写规则。

DNAT：目标地址转换；让互联网上主机访问本地内网中的某服务器上的服务。在PREROUTING上写规则。

大致规划：

配置三台虚拟机：

linux87:172.16.251.87(内网)/192.168.111.11(外网)

linux86:172.16.251.86    网关指向：172.16.251.87

linux12:192.168.111.12  

假设由192.168.111.12充当外网提供ftp和web等服务；

linux87:

linux86:

为了演示方便；这里先把192.168.111.12的网关指向111.11；后续操作时在删除这个网关

linux12:

上述配置完成后内部网络其实已经可以访问了；因为转发功能已开启；且网关都以指向251.87这台机器；所以这里可以看下效果

下面先把192.168.111.12上的网关删除；而后做SNAT转发后在查看下日志

上面的SNAT转换以成功；下面进行DNAT地址转换

至此；基本的iptables已结束；iptables规则除了要写出合适的规则；更重要的是要优化好规则才能更能提高效率。

本文转自Mr_陈 51CTO博客，原文链接：http://blog.51cto.com/chenpipi/1386184，如需转载请自行联系原作者