一、基本匹配条件:
基本匹配条件:内建
基本匹配条件:无需加载任何模块,由iptables/netfilter自行提供;
- [!] -s, --source address[/mask][,...]:检查报文中的源IP地址是否符合此处指定的地址或范围,加!是取反;
[root@bogon ~]# iptables -t filter -A INPUT -s 192.168.0.0/16 -d 192.168.1.11 -p tcp -j ACCEPT#允许来自192.168的原地址访问本机tcp服务
[root@bogon ~]# iptables -A OUTPUT -s192.168.1.11 -d 192.168.0.0/16 -p tcp -j ACCEPT#允许本机来访问192.168的目的地址的主机tcp服务
- [!] -d, --destination address[/mask][,...]:检查报文中的目标IP地址是否符合此处指定的地址或范围,加!是取反;
所有地址:0.0.0.0/0 - [!] -p, --protocol protocol:指定协议
protocol: tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh or "all"
{tcp|udp|icmp}
[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -p icmp -j ACCEPT #允许icmp协议ping进来
[root@bogon ~]# iptables -A OUTPUT -s 192.168.1.11 -p icmp -j ACCEPT#允许icmp协议有ping返回值
- [!] -i, --in-interface name:数据报文流入的接口;只能应用于数据报文流入的环节,只能应用于PREROUTING,INPUT和FORWARD链;
- [!] -o, --out-interface name:数据报文流出的接口;只能应用于数据报文流出的环节,只能应用于FORWARD、OUTPUT和POSTROUTING链;
处理动作:-j targetname [per-target-options]
ACCEPT
DROP
REJECT
二、匹配条件中的扩展匹配条件:
- 隐式扩展:在使用-p选项指明了特定的协议时,无需再同时使用-m选项指明扩展模块的扩展机制;
- 显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制;
1、隐式扩展
- 隐式扩展:不需要手动加载扩展模块;因为它们是对协议的扩展,所以,但凡使用-p指明了协议,就表示已经指明了要扩展的模块;
tcp协议:
- [!] --source-port, --sport port[:port]:匹配报文的源端口;可以是端口范围;
[root@bogon ~]# iptables -I INPUT -s 192.168.1.0/16 -d 192.168.1.11 -p tcp --dport 22 -j ACCEPT #指定原地址范围可以访问本机的22号端口
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -d 192.168.1.0/16 -p tcp --sport 22 -j ACCEPT#
[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -j -REJECT#如果不能被上面两条匹配,主机拒绝任何访问
[root@bogon ~]# iptables -A OUTPUT -s 192.168.1.11 -j -REJECT
[root@bogon ~]# iptables -P INPUT ACCEPT
[root@bogon ~]# iptables -P OUTPUT ACCEPT
- [!] --destination-port,--dport port[:port]:匹配报文的目标端口;可以是端口范围;
- [!] --tcp-flags mask comp
mask is the flags which we should examine, written as a comma-separated list,
例如 SYN,ACK,FIN,RST
comp is a comma-separated list of flags which must be set,
例如SYN
例如:“--tcp-flags SYN,ACK,FIN,RST SYN”表示,要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余下的必须为0;
[!] --syn:用于匹配第一次握手,相当于”--tcp-flags SYN,ACK,FIN,RST SYN“;
udp协议
- [!] --source-port, --sport port[:port]:匹配报文的源端口;可以是端口范围;
- [!] --destination-port,--dport port[:port]:匹配报文的目标端口;可以是端口范围;
[root@bogon ~]# iptables -I INPUT -d 192.168.1.11 -p udp --dport 137:138 -j ACCEPT #开放可以访问本机udp的137到138端口
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -p udp --sport 137:138 -j ACCEPT #本机udp的137到138端口可出站
icmp协议:
- [!] --icmp-type {type[/code]|typename}
echo-request:8 #ping出去,回显请求
echo-reply:0 #ping响应
设置本机可以ping其他主机,其他主机不能ping本机
[root@bogon ~]# iptables -A INPUT -i eth0 -j REJECT#设置网卡,规则之外都拒绝
[root@bogon ~]# iptables -A OUTPUT -i eth0 -j REJECT
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.1 -p icmp --icmp-type 8 -j ACCEPT#设置出站ping报文
[root@bogon ~]# iptables -I INPUT 2 -d 192.168.1.1 -p icmp --icmp-type 0/0 -j ACCEPT#设置入站ping响应报文
如果允许其他主机ping则进站为8,出站为0。
2、显式扩展
- 显式扩展:必须要手动加载扩展模块, [-m matchname [per-match-options]];
- 显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制;
(1)、multiport多端口匹配
以离散或连续的 方式定义多端口匹配条件,最多15个,支持协议tcp, udp, udplite, dccp and sctp;
- [!] --source-ports,--sports port[,port|,port:port]...:指定多个源端口;
- [!] --destination-ports,--dports port[,port|,port:port]...:指定多个目标端口;
[root@bogon ~]# iptables -R INPUT -d 192.168.1.11 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT#修改入站打开多端口
[root@bogon ~]# iptables -R OUTPUT -s 192.168.1.11 -p tcp -m multiport --sports 22,80,139,445,3306 -j ACCEPT#修改出站打开多端口
(2)、iprange连接追踪匹配
以连续地址块的方式来指明多IP地址匹配条件;
- [!] --src-range from[-to]
- [!] --dst-range from[-to]
[root@bogon ~]# iptables -I INPUT 3 -d 192.168.1.11 -p tcp --dports 23 -m iprange --src-range 192.168.1.60-192.168.1.70 -j REJECT#设置一个连续的地址范围内可以访问本机23端口
[root@bogon ~]# iptables -I OUTPUT 3 -s 192.168.1.11 -p tcp --sports 23 -m iprange --src-range 192.168.1.60-192.168.1.70 -j REJECT
(3)、time扩展:基于时间区间做访问控制
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
- [!] --weekdays day[,day...]
- [!] --monthdays day[,day...]
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--kerneltz:使用内核配置的时区而非默认的UTC;
[root@bogon ~]# iptables -I OUTPUT 4 -s 192.168.1.11 -p udp --dports 123,323 -j REJECT#开启出站123,323端口
[root@bogon ~]# iptables -I INPUT 4 -d 192.168.1.11 -p udp --sports 123,323 -j REJECT#开启入站123,323端
[root@bogon ~]# iptables -R INPUT 4 -d 192.168.1.11 -p tcp --dport 23 -m iprange --src-reange 192.168.1.60-192.16.1.70 -m time --timestart 10:00:00 --timestop 16:00:00 --weekdays 1,2,3,4,5 --kerneltz -j ACCEPT#设定时间为每周1-5的10点到16点允许60-70的ip地址主机入站访问23端口
[root@bogon ~]# iptables -R OUTPUT 4 -s 192.168.1.11 -p tcp --sport 23 -m iprange --dsp-reange 192.168.1.60-192.16.1.70 -m time --timestart 10:00:00 --timestop 16:00:00 --weekdays 1,2,3,4,5 --kerneltz -j ACCEPT#设定时间为每周1-5的10点到16点允许60-70的ip地址主机访问23端口出站响应
注意:centos6不用指明--kerneltz
(4)、string字符串匹配(只能对明文编码匹配)
--algo {bm|kmp}
[!] --string pattern
[!] --hex-string pattern
--from offset
--to offset
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -m string --algo kmp --string "holle" -j REJECT#出站报文出现holle字符串,则不能发送
(5)、connlimit 单个客户端最多并发数量匹配
--connlimit-upto n #小于n允许
--connlimit-above n #大于n拒绝
[root@bogon ~]# iptables -I INPUT -s 192.168.10/16 -d 192.168.1.11 -p tcp --dport 3306 -j ACCEPT#开放入站访问3306端口
[root@bogon ~]# iptables -I OUTPUT -d 192.168.10/16 -s 192.168.1.11 -p tcp --sport 3306 -j ACCEPT#开放访问3306端口出站响应
[root@bogon ~]# iptables -R INPUT -s 192.168.10/16 -d 192.168.1.11 -p tcp --dport 3306 -m connlimit --connlimit-upto 2 -j ACCEPT#开放入站访问3306端口,每个ip只能连接2次
(6)、limit 基于限制发包速率做限制
专用选项:利用令牌桶算法
--limit rate[/second|/minute|/hour|/day] 单位时间的速率
--limit-burst number 最大收集多少令牌
[root@bogon ~]# iptables -I INPUT 6 -d 192.168.1.11 -p icmp --icmp-type 8 -m liit-burst 5 --limit 20/minute -j ACCEPT#入站限制5个令牌,每分钟20个发包速率
[root@bogon ~]# iptables -I OUTPUT 6 -s 192.168.1.11 -p icmp --icmp-type 0 -j ACCEPT#出站不限制速率
限制本机某tcp服务接收新请求的速率:--syn, -m limit
三、state扩展:追踪报文
启用连接追踪模板记录连接,并根据连接匹配连接状态的扩展;
- [!] --state state 指明那些状态
INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.
NEW: 新连接请求;
ESTABLISHED:已建立的连接;
INVALID:无法识别的连接;
RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;
UNTRACKED:未追踪的连接;
1.state扩展:
内核模块装载:
nf_conntrack
nf_conntrack_ipv4
追踪到的连接:/proc/net/nf_conntrack
调整可记录的连接数量最大值:/proc/sys/net/nf_conntrack_max
超时时长:/proc/sys/net/netfilter/timeout
[root@bogon ~]# iptables -F #清空规则
[root@bogon ~]# iptables -A INPUT -d 192.168.1.11 -p tcp -m multiport ---dports 22:23,80,139,445,3306 -m state --state NEW -j ACCEPT#新建tcp连接放行入站访问22,23,80,139,445,3306端口
[root@bogon ~]# iptables -I INPUT 2 -d 192.168.1.11 -p udp --dport 137:138 -m state --state NEW -j ACCEPT#新建udp连接放行入站访问137,138端口
[root@bogon ~]# iptables -I OUTPUT 2 -s 192.168.1.11 -p udp -m --multiport ---dport 123,323 -m state --state NEW -j ACCEPT#允许123,323出站响应
[root@bogon ~]# iptables -I INPUT -d 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT#允许已建立的入站连接访问所有端口
[root@bogon ~]# iptables -I OUTPUT -s 192.168.1.11 -m state --state ESTABLISHED -j ACCEPT#允许已建立的出站连接访问所有端口响应
[root@bogon ~]# iptables -A INPUT -d192.168.1.11 -j REJECT#默认入站规则为拒绝
[root@bogon ~]# iptables -A INPUT -s192.168.1.11 -j REJECT#默认出站为拒绝
[root@bogon ~]# iptables -vnL #查询规则
测试连接
RELATED状态的追踪:
需要手动装载状态的追踪模块:nf_conntrack_ftp
[root@bogon ~]#modprobe nf_conntrack_ftp #手动装载状态的追踪模块
[root@bogon ~]#lsmod #查询模块
[root@bogon ~]# iptables -R INPUT 3 -d 192.168.1.11 -p tcp -m multiport --dports 21:23,80,139,445,3306 -m state --state NEW -j ACCEPT#修改第三条tcp连接放行入站访问
[root@bogon ~]# iptables -R INPUT 1 -d 192.168.1.11 -m state --state ESTABLISHED,RELATED -j ACCEPT#修改第一条允许已建立的入站连接访问所有端口
2.处理动作(跳转目标):
-j targetname [per-target-options]
简单target:
ACCEPT, DROP扩展target:
REJECT
--reject-with type:拒绝类型LOG日志
--log-level
--log-prefix
[root@bogon ~]# iptables -I INPUT 3 -d 192.168.1.11 -p tcp --dport 23 -m state --state NEW -j LOG --log-prefix"access telnet"#保存入站的23端口访问日志前缀为access telnet
默认日志保存于/var/log/messages
3.自定义链做为target(处理动作):
[root@bogon ~]# iptables -N in_ping_rules#自定义一个ping处理动作
[root@bogon ~]# iptables -A in_ping_rules -d 192.168.1.11 -p icmp --icmp-type8 -j ACCEPT #设定本机可以ping其他主机
[root@bogon ~]# iptables -I in_ping_rules -d 192.168.1.11 -s 192.168.1.12 -p icmp -j REJECT #禁止68主机ping本机
#加入INPUT表里才能生效
[root@bogon ~]# iptables -I INPUT 5 -d 192.168.1.11 -p icmp -j in_ping_rules#在INPUT表中第五行加入引用自定义处理动作
- 一个主链可以调用多个自定义链,要想删除自定义链,必须先清空自定义链
[root@bogon ~]# iptables -F in_ping_rules#清空规则
[root@bogon ~]# iptables -vnL#查询
[root@bogon ~]# iptables -X in_ping_rules#删除
RETURN:返回调用者;
四、保存和载入规则:
- 保存:iptables-save > /PATH/TO/SOME_RULE_FILE
- 重载:iptabls-restore < /PATH/FROM/SOME_RULE_FILE
-n, --noflush:不清除原有规则
-t, --test:仅分析生成规则集,但不提交 - CentOS 6:
- 保存规则:
service iptables save
保存规则于/etc/sysconfig/iptables文件,覆盖保存;
重载规则:
service iptables restart
默认重载/etc/sysconfig/iptables文件中的规则
配置文件:/etc/sysconfig/iptables-config
- CentOS 7:
(1) 自定义Unit File,进行iptables-restore;
(2) firewalld服务;
(3) 自定义脚本;
五、规则优化的思路:
使用自定义链管理特定应用的相关规则,模块化管理规则;
(1) 优先放行双方向状态为ESTABLISHED的报文;
(2) 服务于不同类别的功能的规则,匹配到报文可能性更大的放前面;
(3) 服务于同一类别的功能的规则,匹配条件较严格的放在前面;
(4) 设置默认策略:白名单机制
(a) iptables -P,不建议;
(b) 建议在规则的最后定义规则做为默认策略;