iptables介绍
iptables是基于内核的防火墙,功能非常强大,iptables内置了“三表五链”
三张表
1.filter 定义允许或者不允许的
2.nat 定义地址转换的
3.mangle 修改报文原数据
五个规则链
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
对于filter来讲只能做在3个链上:INPUT ,FORWARD ,OUTPUT
对于nat来讲只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
对于mangle来讲5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
iptables写法及参数
iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 动作或跳转]
所有链名必须大写,表名必须小写,动作必须大写,条件匹配必须小写
常用参数:
-A 向规则链中添加一条规则,默认被添加到末尾
-T 指定要操作的表,默认是filter
-D 从规则链中删除规则,可以指定序号或者匹配的规则来删除
-R 进行规则替换
-I 插入一条规则,默认被插入到首部
-F 清空所选的链,重启后恢复
-N 新建用户自定义的规则链
-X 删除用户自定义的规则链
-p 用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,
-s 指定源地址
-d 指定目的地址
-i 进入接口(网卡)
-o 流出接口(网卡)
-m 多状态
-j 采取的动作,accept,drop,snat,dnat,masquerade
--sport 源端口
--dport 目的端口,端口必须和协议一起来配合使用
触发动作:(-j后面)
ACCEPT 允许数据包通过
DROP 丢弃数据包
REJECT 拒绝数据包通过
LOG 将数据包信息记录到syslog日志
DNAT 目标地址转换
SNAT 源地址转换
MASQUERADE 地址欺骗
REDIRECT 重定向
iptables示例
基本操作
iptables -L 列出iptables规则
iptables -F 清除iptables内置规则
iptables -X 清除iptables自定义规则
配置ssh登录规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
只允许192.168.0.100的机器进行SSH连接
iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT
目的地址转换,映射内部地址
iptables -t nat -A PREROUTING -i eth0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80
源地址转换,隐藏内部地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
开启转发功能
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允许已建连接及相关链接对内转发
ptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 允许对外转发
过滤某个MAC
iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP
数据包整流
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
一次匹配多个端口
iptables -A INPUT -p tcp -m muliport --dport 21,22,25,80,110 -j ACCEPT
丢弃非法连接
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables-A FORWARD -m state --state INVALID -j DROP
实例
1 将192.168.0.1主机发送给本机22端口的所有数据记录到messages日志中
iptables -I INPUT -s 192.168.0.1 -p tcp --dport 22 -j LOG
2 允许任何机器通过eth1访问本机80端口
iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
3 公司192.168.0.0/24网段通过128.166.122.1连接外网
echo "net.ipv4.ip_forward = 1" /etc/sysctl.conf
sysctl -p 加载配置
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 128.166.122.1
4 一个公有IP128.166.122.1对外开放,要求内部web服务器192.168.0.1可以被访问
iptables -t nat -I POSTROUTING -d 128.166.122.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
5 数据包过大,被分切为多个片发送,保证数据接收后可以组合在一起用-f
iptables -A OUTPUT -f -d 192.168.1.2 -j DROP (丢弃发送到192.168.1.2上)
6 限制某个时间段内数据包的个数,超过则拒绝
iptables -I INPUT -m limit --limit 500/sec -j ACCEPT
iptables -P INPUT DROP
7 拒绝转发含有某些关键字的数据连接 --string 拒绝qq的数据包
iptables -I FORWARD -m string --algo bm --string "qq" -j REJECT
8 转发某个IP段的数据包
iptables -A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.10 -p tcp --dport 80 -j ACCEPT