iptables不完全手册

iptables简称为包过滤型防火墙一般分为2种:
    1,主机防火墙:主机防火墙是用来防止本主机内的应用服务被攻击所需要保护的防火墙
    2,网络防火墙:做为想路由功能的防火墙凡是进过此服务器的数据包都要进行规则匹配

iptables实现:

  1、iptables,这个只是方便用户编写各类规则交由netfilter处理执行。
   2、一部分是基于TCP/IP协议栈的netfilter安全框架,通过“数据报文进入主机,内核处理完成,交由用户空间处理”,数据报文的处理路径设置了各种规则链,根据规则链的顺序或者特点,又在规则链中增加功能表,通过在不同的功能表中设置具体的规则,来达到安全访问。
  我们应该知道主机之间的通信是数据流,是参考OSI七层模型来包装用户的数据,OSI七层包括了应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,每一层都有其自己的功能,


   


   netfilter就是通过识别每一层功能中的数据是否符合我们定义的规则,从而达到监控,修改,丢弃,转发的目录。

iptables的架构由功能和链组成:     功能:         filter:过滤,防火墙;         nat:地址转换nerwork address translation         mangle:拆解报文,做出修改,封装报文         raw:关闭nat表示启用的连接追踪功能(此功能非常消耗CPU)     每一种功能都会内置几种链:         PREROUTING-->路由前         INPUT-->输入一段         FORWARD-->由本机转发         OUTPUT-->本机内部发出         POSTROUTING-->在第二次路由决策
在iptables上每一种功能的实现机制都是基于上诉的几种链接:     流入:PREROUTING-->INPUT     流出:OUTPUT-->POSTROUTING     转发:PEROUTING-->FORWARD-->POSTROUTING 在功能上每一种功能都会内置几种连接     filter(过滤):INPUT,FORWARD,OUTPUT     nat(地址转换):PERROUTING(DNAT),OUTPUT,POSTROUTING(SNAT)     mangle(拆解报文,做出修改,封装报文):PEROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING     raw(关闭nat表示启用的连接追踪功能):PREROUTING,OUTPUT 功能优先级:raw>mangle>nat>filter 规则:     组成部分:报文的匹配条件,匹配到之后处理动作         匹配条件:根据协议报文特征指定匹配条件             基本匹配条件             扩展匹配条件         处理动作:             内建处理机制             自定义处理机制 iptables:规则管理工具     添加,修改,删除,显示等 iptables命令:查看linux上man配置手册里面会有详细的解释     iptables -t (按照自己的修改查看自己需要找的几个表默认为filter)     例如:     [root@localhost ~]# iptables -t mangle -L -n     Chain PREROUTING (policy ACCEPT)     target     prot opt source               destination              Chain INPUT (policy ACCEPT)     target     prot opt source               destination              Chain FORWARD (policy ACCEPT)     target     prot opt source               destination              Chain OUTPUT (policy ACCEPT)     target     prot opt source               destination              Chain POSTROUTING (policy ACCEPT)     target     prot opt source               destination 上诉为查看iptables中mangle规则          iptables命令分为2种链管理,规则管理     链管理:         -F:flush,清空规则链,省略链表示清空指定表上所有的链;         -N:new,创建新的自定义规则链;         [root@localhost ~]# iptables -t filter -N IN_public         [root@localhost ~]# iptables -L -n         Chain INPUT (policy ACCEPT)         target     prot opt source               destination                  Chain FORWARD (policy ACCEPT)         target     prot opt source               destination                  Chain OUTPUT (policy ACCEPT)         target     prot opt source               destination                  Chain IN_public (0 references)         target     prot opt source               destination                  -X:drop,删除用户自定义的规则链,必须是空链         [root@localhost ~]# iptables -X IN_public         [root@localhost ~]# iptables -L -n         Chain INPUT (policy ACCEPT)         target     prot opt source               destination                  Chain FORWARD (policy ACCEPT)         target     prot opt source               destination                  Chain OUTPUT (policy ACCEPT)         target     prot opt source               destination                  -Z:zero,置零:置零规则计数器;         -P:policy,为指定链设置默认处理策略;对filter表中的链而言,默认策略通常有accept(放行),drop(丢弃),reject(拒绝)         [root@localhost init.d]# iptables -P FORWARD DROP         [root@localhost init.d]# iptables -L -n         Chain INPUT (policy ACCEPT)         target     prot opt source               destination                  Chain FORWARD (policy DROP)         target     prot opt source               destination                  Chain OUTPUT (policy ACCEPT)         target     prot opt source               destination                -E:rename:重命名自定义链:引用计数器不为0的自定义链无法改名,也无法删除;         [root@localhost ~]# iptables -E IN_public hello         [root@localhost ~]# iptables -L -n         Chain INPUT (policy ACCEPT)         target     prot opt source               destination                  Chain FORWARD (policy ACCEPT)         target     prot opt source               destination                  Chain OUTPUT (policy ACCEPT)         target     prot opt source               destination                  Chain hello (0 references)         target     prot opt source               destination          规则管理:         -A:append,将新规则追加于指定链的尾部;         -I:insert,将新规则插入至指定链的指定位置;         -D:delete,删除指定链上的指定规则;             有两种指定方式:             (1)指定匹配条件;             (2)指定规则编号;         -R:replace,替换指定链上的指定规则:     查看:         -L:list,列出指定链上的所有规则;             -n:numberic,以数字格式显示地址和端口号;             -v:verbose,显示详细信息             --line-numbers:显示规则编号;             -x:exactly,显示计数器计数结果的精确值;     匹配条件:         基本匹配:             [!]-s,--src,--source IP|Netaddr:检查报文中源IP地址是否符合此处的指明的地址范围;             [!]-d,--dst,--destination IP|Netaddr检查报文中源IP地址是否符合此处指定的地址范围;             [!]-p,--protocol{tcp,udp,icmp}:检查报文中的协议,即ip首部中的protocols所标识的协议             -i,--ininterface IFACE:数据报文的流入接口:仅能用于PREROUTING, INPUT及FORWARD链上;             -o, --out-interface IFACE:数据报文的流出接口;仅能用于FORWARD, OUTPUT及POSTROUTING链上;     目标:         -j TARGET:jum至指定的TARGET             ACCEPT:接受             DROP:丢弃             REJECT:拒绝             RETURN:返回调用链             REDIRECT:端口重定向             LOG:记录日志             MARK:做防火墙标记             DNAT:目标地址转换             SNAT:源地址转换             MASQUERADE:地址伪装             自定义链:由自定义链上的规则进行匹配检查         例如:放行本机TCP协议         [root@localhost ~]# iptables -t filter -A INPUT -d 172.16.0.46 -p tcp -j ACCEPT         [root@localhost ~]# iptables -L -n         Chain INPUT (policy ACCEPT)         target     prot opt source               destination                  ACCEPT     tcp  --  0.0.0.0/0            172.16.0.46                  Chain FORWARD (policy ACCEPT)         target     prot opt source               destination                  Chain OUTPUT (policy ACCEPT)         target     prot opt source               destination                  [root@localhost ~]# iptables -t filter -A OUTPUT -s 172.16.0.46 -p tcp -j ACCEPT         [root@localhost ~]# iptables -L -n -v         Chain INPUT (policy ACCEPT 6 packets, 468 bytes)          pkts bytes target     prot opt in     out     source               destination                    203 14998 ACCEPT     tcp  --  *      *       0.0.0.0/0            172.16.0.46                  Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)          pkts bytes target     prot opt in     out     source               destination                  Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)          pkts bytes target     prot opt in     out     source               destination                     30  3168 ACCEPT     tcp  --  *      *       172.16.0.46          0.0.0.0/0      如果我将INPUT和OUTPUT关闭之后任然可以进行访问     [root@localhost ~]# iptables -P INPUT DROP     [root@localhost ~]# iptables -P OUTPUT DROP     [root@localhost ~]# iptables -P FORWARD DROP     [root@localhost ~]# iptables -L -n     Chain INPUT (policy DROP)     target     prot opt source               destination              ACCEPT     tcp  --  0.0.0.0/0            172.16.0.46              Chain FORWARD (policy DROP)     target     prot opt source               destination              Chain OUTPUT (policy DROP)     target     prot opt source               destination              ACCEPT     tcp  --  172.16.0.46          0.0.0.0/0            扩展匹配:-m指明扩展匹配(指明扩展名)--spec_options     例如:-m tcp --dport 22     隐式扩展:对-p protocol指明的协议进行扩展,可省略-m选项;         -p tcp             --dport PORT[-PORT]:目标端口,可以是单个端口或连续多个端口             --sport PORT[-PORT]:             --tcp-flages:         -p udp         -p icmp             --icmp-type         例如本地可以ping通任意地址,而其他主机无法ping通         ]# iptables -A INPUT -d 172.16.0.46 -p icmp --icmp-type 0 -j ACCEPT         ]# iptables -A OUTPUT -s 172.16.0.46 -p icmp --icmp-type 8 -j ACCEPT     !!!!!!这里需要提醒一下在放行http80端口的时候如果php的安装是基于fpm模式编译安装的话需要对本地的9000端口做双向的认证否则http无法调用php的fpm功能:     root@localhost etc]# iptables -L -n     Chain INPUT (policy DROP)     target     prot opt source               destination              ACCEPT     tcp  --  0.0.0.0/0            172.16.0.46         tcp dpt:22      ACCEPT     tcp  --  0.0.0.0/0            172.16.0.46         tcp dpt:80      ACCEPT     icmp --  0.0.0.0/0            172.16.0.46         icmp type 0      ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp spt:9000      ACCEPT     tcp  --  0.0.0.0/0            127.0.0.1           tcp dpt:9000      Chain FORWARD (policy ACCEPT)     target     prot opt source               destination              Chain OUTPUT (policy DROP)     target     prot opt source               destination              ACCEPT     tcp  --  172.16.0.46          0.0.0.0/0           tcp spt:22      ACCEPT     tcp  --  172.16.0.46          0.0.0.0/0           tcp spt:80      ACCEPT     icmp --  172.16.0.46          0.0.0.0/0           icmp type 8      ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp spt:9000      ACCEPT     tcp  --  0.0.0.0/0            127.0.0.1           tcp dpt:9000      显示扩展:必须使用-m选项指定使用的扩展         CentOS 6: man iptables     CentOS 7: man iptables-extensions     1,multiport扩展         以离散方式定义多端口匹配:最多匹配15个端口;         ]# iptables -I INPUT -d 172.16.0.46 -p tcp -m multiport --dport 22,80 -j ACCEPT         ]# iptables -I OUTPUT -s 172.16.0.46 -p tcp -m multiport --sport 22,80 -j ACCEPT     2,iprange扩展         指明连续的(但一般是不能扩展为整个网络)ip地址范围有效:         [!] --src-range from[-to]:指明连续的源IP地址范围;         [!] --dst-range from[-to]:指明连续的目标IP地址范围;         ~]# iptables -I INPUT -d 172.16.100.9 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 172.16.100.1-172.16.100.120 -j ACCEPT         ~]# iptables -I OUTPUT -s 172.16.100.9 -p tcp -m multiport --sports 22:23,80 -m iprange --dst-range 172.16.100.1-172.16.100.120 -j ACCEPT        3,string扩展         检查报文中出现的字符串;         ~]# iptables -I OUTPUT -m string --algo bm --string 'movie' -j REJECT     4、time扩展         根据报文到达的时间与指定的时间范围进行匹配;         --datestart          --datestop         --timestart         --timestop         --monthdays         --weekdays     5,state扩展         根据连接追踪机制检查连接间的状态         调整连接追踪功能所能够容纳的最大连接数量:         /proc/sys/net/nf_conntrack_max         已经追踪到并记录下的连接:         /proc/net/nf_conntrack         不同协议或连接类型追的时长:         /proc/sys/net/netfilter/         可追踪的连接状态:             NEW:新发出的请求;连接追踪模板中不存此连接相关的信息条目,因此,将其识别为第一次发出的请求;             ESTABLISHED:NEW状态之后,连接追踪模板中为其建立的条目失效之前期间内所进行的通信的状态;             RELATED:相关的连接;如ftp协议的命令连接与数据连接之间的关系;             INVALIED:无法识别的连接; iptables放行被动模式下的ftp服务:     (1)装载ftp追踪时专用的模块在     [root@localhost netfilter]# pwd     /lib/modules/2.6.32-358.el6.x86_64/kernel/net/netfilter     (1) 装载ftp追踪时的专用的模块:         # modprobe nf_conntrack_ftp     (2) 放行请求报文:         命令连接:NEW, ESTABLISHED         数据连接:RELATED, ESTABLISHED         # iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT         # iptables -A INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT     (3) 放行响应报文:         ESTABLISEHD         # iptables -A OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT iptables的nat的功能     如需要开启linux上的路由功能做为路由器需要开启linux的核心转发功能     [root@ns1 ~]# sysctl -w net.ipv4.ip_forward=1     net.ipv4.ip_forward = 1     [root@ns1 ~]# cat /proc/sys/net/ipv4/ip_forward      1     iptables:     nat:网络地址转换,网络层以及传输层实现     proxy:代理,应用层实现     nat:         SNAT:至修改请求报文的源地址;         DNAT:至修改请求报文的目标地址;         MASQUERADE:基于拨号的模式进行伪装     nat表:         PREROUTING:DNAT         OUTPUT         POSTROUTING:SNAT     ]# iptables -t nat -A POSTROUTING -s 192.168.56.0/24 ! -d 192.168.56.0/24 -j SNAT --to-source 172.16.0.53 tcp_wrapper:tcp包装器     对于基于TCP协议开发并且基于TCP协议提供服务应用程序,提供的一层访问控制工具:     基于库调用其功能:         库名称:libwrap     判断服务是否能够由tcp_wrapper进行访问控制:         (1)动态编译:ldd命令:         (2)静态编译:strings命令查看应用程序文件,其结果中出现下述文件:         hosts.allow         hosts.deny     在配置文件在为各服务分别定义访问控制规则实现访问控制:     /etc/hosts.allow     /etc/hosts/deny     配置文件语法:     daemon_list:client_list [:options]     daemon_list:         应用程序的文件名称。而非服务名:         应用程序文件名称列表。彼此间使用逗号分割:             例如:sshd,vsftpd                 ALL:表示所有服务:     client_list:         IP地址:         主机名:         网络地址:必须使用完整格式的掩码,不使用前缀格式掩码,所以类似于172.16.0.0/16不合法:         简短格式的网络地址:例如:172.16.表示172.16.0.0/255.255.0.0;         ALL:所有主机:         KNOWN:所有解析的主机         UNKNOWN:所有解析不到的主机         PARANOID:主机名的正反解不匹配     例如:vsftpd服务不允许172.16.100.1访问:     EXCEOT:除了         host.allow         vsftpd:      [:options]     deny: 拒绝,主要用于hosts.allow文件中     allow:允许,用于hosts.deny文件,实现allow的功能     spawn: 启动额外应用程序:     vsftpd: ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/vsftpd.deny.log     %c: client ip     %s: server ip     %d: daemon name

你可能感兴趣的:(网络)