Linux 防火墙工具--iptables

iptables介绍

iptables是基于内核的防火墙，功能非常强大，iptables内置了“三表五链”

    三张表

    1.filter     定义允许或者不允许的

    2.nat       定义地址转换的 

     3.mangle     修改报文原数据

    五个规则链

    1.PREROUTING (路由前)

    2.INPUT (数据包流入口)

    3.FORWARD (转发管卡)

    4.OUTPUT(数据包出口)

    5.POSTROUTING（路由后）

  对于filter来讲只能做在3个链上：INPUT ，FORWARD ，OUTPUT

  对于nat来讲只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING

  对于mangle来讲5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

iptables写法及参数

iptables [-t 表名] 命令选项 ［链名］ ［条件匹配］ ［-j 动作或跳转］

所有链名必须大写，表名必须小写，动作必须大写，条件匹配必须小写

常用参数：

    -A    向规则链中添加一条规则，默认被添加到末尾

     -T    指定要操作的表，默认是filter

    -D    从规则链中删除规则，可以指定序号或者匹配的规则来删除

    -R    进行规则替换

    -I    插入一条规则，默认被插入到首部

    -F    清空所选的链，重启后恢复

    -N    新建用户自定义的规则链

    -X    删除用户自定义的规则链

    -p    用来指定协议可以是tcp，udp，icmp等也可以是数字的协议号，

    -s    指定源地址

    -d    指定目的地址

    -i    进入接口(网卡）

    -o    流出接口（网卡）

    -m    多状态

    -j    采取的动作，accept，drop，snat，dnat，masquerade

    --sport  源端口

    --dport  目的端口，端口必须和协议一起来配合使用

触发动作：（-j后面）

    ACCEPT    允许数据包通过

    DROP      丢弃数据包

    REJECT    拒绝数据包通过

    LOG      将数据包信息记录到syslog日志

    DNAT      目标地址转换

    SNAT      源地址转换

    MASQUERADE    地址欺骗

     REDIRECT    重定向

iptables示例

基本操作

    iptables -L      列出iptables规则
    iptables -F      清除iptables内置规则
    iptables -X      清除iptables自定义规则

配置ssh登录规则

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

只允许192.168.0.100的机器进行SSH连接

iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

目的地址转换，映射内部地址

iptables -t nat -A PREROUTING -i eth0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80

源地址转换，隐藏内部地址

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1

开启转发功能

iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允许已建连接及相关链接对内转发
ptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 允许对外转发

过滤某个MAC

iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP

数据包整流

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP

一次匹配多个端口

iptables -A INPUT -p tcp -m muliport --dport 21,22,25,80,110 -j ACCEPT

丢弃非法连接

iptables -A INPUT  -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables-A FORWARD -m state --state INVALID -j DROP

实例

1 将192.168.0.1主机发送给本机22端口的所有数据记录到messages日志中

iptables -I INPUT -s 192.168.0.1 -p tcp --dport 22 -j LOG

2 允许任何机器通过eth1访问本机80端口

iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

3 公司192.168.0.0/24网段通过128.166.122.1连接外网

echo "net.ipv4.ip_forward = 1" /etc/sysctl.conf

sysctl -p 加载配置

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 128.166.122.1

4 一个公有IP128.166.122.1对外开放，要求内部web服务器192.168.0.1可以被访问

iptables -t nat -I POSTROUTING -d 128.166.122.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1

5 数据包过大，被分切为多个片发送，保证数据接收后可以组合在一起用-f

iptables -A OUTPUT -f -d 192.168.1.2 -j DROP （丢弃发送到192.168.1.2上）

6 限制某个时间段内数据包的个数，超过则拒绝

iptables -I INPUT -m limit --limit 500/sec -j ACCEPT

iptables -P INPUT DROP

7 拒绝转发含有某些关键字的数据连接 --string 拒绝qq的数据包

iptables -I FORWARD -m string --algo bm --string "qq" -j REJECT

8 转发某个IP段的数据包

iptables -A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.10 -p tcp --dport 80 -j ACCEPT

本文转自super李导51CTO博客，原文链接： http://blog.51cto.com/superleedo/1886999，如需转载请自行联系原作者