开头:资料来源网上搜索,整理成自己的笔记形式
一.IPTABLES服务状态的检查:
命令:service iptables status
情形1:防火墙服务已安装,但还未运行
[root@woxplife ~]# service iptables status
iptables: Firewall is not running.
情形2:如图表示防火墙服务已安装且已开启,但还是未配置状态。
情形3:表示防火墙服务尚未安装
二.IPTABLES服务的安装与开启等维护方式:
安装:(此处以yum为例) yum install -y iptables
2.开启: service iptables start 与此相应的关闭: service iptables stop
三.IPTABLES的基础配置知识
I:常见的参数:
-A 附加在末尾
-I 插入指定位置
-d 目的地址
-D 删除某条规则 比如:iptables -D INPUT 8
-n 只显示IP地址和端口号,不将ip解析为域名
-R 替换某条规则 比如: iptables -R INPUT 1 -s 192.168.0.1 -j DROP 把第一条规则替换为 指定源IP:192.168.0.1 不允许登录
-i 指定网卡名称如eth0 #指定进入接口,要在INPUT链上定义
-o 指定网卡名称如eth0 #指定传出接口,要在OUTPUT链上定义
-m 模块调用 模块选项加载iptables功能模块
-L 查看规则的配置信息 常与 --line-numbers 选项连用, 显示规则的序号信息
II.常见的操作:
清空所有规则: iptables -F
情况自定义的所有规则: iptables -X
屏蔽IP段:
形如:
#屏蔽整个段(A类地址)即从192.0.0.1到192.255.255.254,则添加以下规则。
-I INPUT -s 192.0.0.0/8 -j DROP
#封IP段(B类地址)即从192.168.0.1到192.168.255.254,则添加以下规则。
-I INPUT -s 192.168.0.0/16 -j DROP
#封IP段(C类地址)即从192.168.200.1到192.168.200.254,则添加以下规则。
-I INPUT -s 192.168.200.0/24 -j DROP
4.指定物理地址访问:-m mac --mac-source
形如 iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT
5.匹配数据包的字段内容: -mstring --string "想要匹配的数据包中字串"
形如:
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent"--algo kmp -j DROP
#通过UDP协议并匹配关键字
#--algo指定字符串模式匹配策略,支持KMP和BM两种字符串搜索算法,二者中任意指定一个即可。
6.网口转发配置
对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的包转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
7.端口转发配置
对于端口,我们也可以运用iptables完成转发配置:
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to 192.168.1.1:8080
以上命令将源IP:192.168.0.1的80端口的包转发到192.168.1.1的8080端口
8.指定网卡同时配置连续端口规则:iptables -A INPUT -i eth0 -p tcp -s 192.168.140.0/24 --dport 137:139 -j ACCEPT #允许访问137到139端口 备注:多端口的配置另外一种方式:通过逗号分隔端口。如 iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -j ACCEPT
四.规则保存:
1.service iptables save 或 iptables-save
另存为的方式: service iptables save > /指定目录
iptables-save > /指定目录
备注: 防火墙规则在没保存之前,重启后是不生效的
2.#添加到自启动chkconfig
chkconfig iptables on
3.还原规则的方式:
service iptables start 或 iptables-restore < /规则保存路径
备注:注意规则表的保存方式与还原方式是对应的,采用了什么方式的保存,就需要用什么方式进行还原。
五.进阶知识
规则表知识:
五个规则表nat,mangle ,filter,raw,security 通过-t选项指定,默认为 filter。规则表的功能介绍:
nat :拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转译工作(SNATDNAT),由于转译工作的特性,需进行目的地网址转译的封包,就不需要进行来源网址转译,反之亦然,因此为了提升改写封包的速率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作网址转译外,请不要做其它用途。
mangle:拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK(将封包作记号,以进行后续的过滤),这时就必须将这些工作定义在 mangle 规则中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。
filter:这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的处理动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。nat: 用于配置数据包,raw 中的数据包不会被系统跟踪。
security: 用于强制访问控制网络规则。
2.规则链:
表由链组成,链是一些按顺序排列的规则的列表。
iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。对应的规则链可表述为:
INPUT:网络数据包流向服务器
OUTPUT:网络数据包从服务器流出
FORWARD:网络数据包经服务器路由
PREROUTING, (prerouting, pre-route,预路由, 到达前)网络数据包到达服务器时可以被修改
POSTROUTING, (postrouting, post-route,流出前) 网络数据包在即将从服务器发出时可以被修改
3.规则表中的常用的处理动作:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK:
ACCEPT: 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链(natostrouting)。
REJECT: 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。简单示例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP: 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
REDIRECT: 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。这个功能可以用来实作通透式porxy 或用来保护 web 服务器。例如:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
LOG: 将封包相关讯息纪录在 /var/log 中,详细信息可以查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT: 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。对于snat,不管是几个地址,必须明确的指定要snat的IP。假如我们的计算机使用ADSL拨号方式上网,那么外网IP是动态的,这时候我们可以考虑使用MASQUERADE 相应的范例如下:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
MASQUERADE:改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
DNAT: 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规炼(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
MIRROR: 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
QUEUE: 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费.......等。
RETURN:结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当提早结束子程序并返回到主程序中。
MARK: 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
4.参考链接:
I:http://beginman.cn/python/2015/09/08/linux-firewall/ II:https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)
III:https://wiki.centos.org/zh/HowTos/Network/IPTables