Linux命令详解:iptables 命令

Linux下 iptables 配置详解

  • 一、Linux防火墙 iptables 相关知识点
    • 1、概要
      • 1.1 防火墙分类
      • 1.2 iptables基础
      • 1.3 管理和设置 iptables 规则
      • 1.4 iptables 传输数据包的过程
      • 1.5 其它
  • 二、iptables 规则设置用法
    • 1、iptables 命令的基本语法格式
    • 2、 iptables 命令的管理控制选项
    • 3、防火墙处理数据包的四种方式
    • 4、iptables 防火墙规则的保存与恢复
    • 4、iptables 防火墙常用的策略梳理
  • 三、具体配置实战 - filter表
    • (1) 查看本机关于IPTABLES的设置情况
    • (2) 清除原有规则
    • (3) 添加 ssh 规则
    • (4) 设定预设规则
    • (5) 添加其他规则
  • 四、配置一个NAT表放火墙
    • 1.查看本机关于NAT的设置情况
    • 2.添加规则
  • 五、运维工作中常用的两个规则
    • 1)白名单规则
    • 2)NAT转发设置
  • 六、运维实例设置
    • 实例1
  • 七、iptables 其他示例


一、Linux防火墙 iptables 相关知识点

1、概要

        iptables 是组成 Linux 平台下的包过滤防火墙,与大多数的 Linux 软件一样,这个包过滤防火墙是免费的,它可以替代昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常 Linux 运维工作中,经常会设置 iptables 防火墙规则,用来加固服务安全。

1.1 防火墙分类

       ①  包过滤防火墙(pack filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control table-ACL)检查数据流的源地址,目的地址,源和目的端口,IP等信息。
       ②  代理服务器型防火墙

1.2 iptables基础

(1)规则(rules):网络管理员预定义的条件
       规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
       当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加、修改和删除等规则。

       其中:
       · 匹配(match):符合指定的条件,比如指定的 IP 地址和端口。
       · 丢弃(drop):当一个包到达时,简单地丢弃,不做其它任何处理。
       · 接受(accept):和丢弃相反,接受这个包,让这个包通过。
       · 拒绝(reject):和丢弃相似,但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定,也可以自动产生。
       · 目标(target):指定的动作,说明如何处理一个包,比如:丢弃,接受,或拒绝。
       · 跳转(jump):和目标类似,不过它指定的不是一个具体的动作,而是另一个链,表示要跳转到那个链上。
       · 规则(rule):一个或多个匹配及其对应的目标。

(2)链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。

(3)表(tables):提供特定的功能,iptables 内置了 4 个表,即 filter 表、nat 表、mangle 表和 raw 表,分别用于实现包过滤、网络地址转换、包重构(修改)和数据跟踪处理的功能
         - filter表 是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。
         - nat表(网络地址转换),PREROUTING(修改即将到来的数据包),OUTPUT(修改在路由之前本地生成的数据包),POSTROUTING(修改即将出去的数据包)
         - mangle表,PREROUTING,OUTPUT,FORWORD,POSTROUTING,INPUT

          iptables 采用 “表” 和 “链” 的分层结构,在 Linux 中现在是 四张表 五个链。下面罗列一下这四张表和五个链(注意一定要明白这些表和链的关系及作用)
Linux命令详解:iptables 命令_第1张图片
   1)filter表——三个链:INPUT、FORWARD、OUTPUT
         作用:过滤数据包 内核模块:iptables_filter.
   2)Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
         作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
   3)Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
         作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
   4)Raw表——两个链:OUTPUT、PREROUTING
         作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw

规则链:
   1)INPUT——进来的数据包应用此规则链中的策略
   2)OUTPUT——外出的数据包应用此规则链中的策略
   3)FORWARD——转发数据包时应用此规则链中的策略
   4)PREROUTING——对数据包作路由选择前应用此链中的规则
      (记住!所有的数据包进来的时侯都先由这个链处理)
   5)POSTROUTING——对数据包作路由选择后应用此链中的规则
      (所有的数据包出来的时侯都先由这个链处理)

1.3 管理和设置 iptables 规则

Linux命令详解:iptables 命令_第2张图片
Linux命令详解:iptables 命令_第3张图片

1.4 iptables 传输数据包的过程

Linux命令详解:iptables 命令_第4张图片
   1)当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
   2)如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
   3)如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

如果还是不清楚数据包经过iptables的基本流程,再看下面更具体的流程图:
Linux命令详解:iptables 命令_第5张图片
从图中可将iptables数据包报文的处理过程分为三种类型:
1)目的为本机的报文
   报文以本机为目的地址时,其经过iptables的过程为:
   1.数据包从network到网卡
   2.网卡接收到数据包后,进入raw表的PREROUTING链。这个链的作用是在连接跟踪之前处理报文,能够设置一条连接不被连接跟踪处理。(注:不要在raw表上添加其他规则)
   3.如果设置了连接跟踪,则在这条连接上处理。
   4.经过raw处理后,进入mangle表的PREROUTING链。这个链主要是用来修改报文的TOS、TTL以及给报文设置特殊的MARK。(注:通常mangle表以给报文设置MARK为主,在这个表里面,千万不要做过滤/NAT/伪装这类的事情)
   5.进入nat表的PREROUTING链。这个链主要用来处理 DNAT,应该避免在这条链里面做过滤,否则可能造成有些报文会漏掉。(注:它只用来完成源/目的地址的转换)
   6.进入路由决定数据包的处理。例如决定报文是上本机还是转发或者其他地方。(注:此处假设报文交给本机处理)
   7.进入mangle表的 INPUT 链。在把报文实际送给本机前,路由之后,我们可以再次修改报文。
   8.进入filter表的 INPUT 链。在这儿我们对所有送往本机的报文进行过滤,要注意所有收到的并且目的地址为本机的报文都会经过这个链,而不管哪个接口进来的或者它往哪儿去。
   9. 进过规则过滤,报文交由本地进程或者应用程序处理,例如服务器或者客户端程序。

2)本地主机发出报文
数据包由本机发出时,其经过iptables的过程为:
   1.本地进程或者应用程序(例如服务器或者客户端程序)发出数据包。
   2.路由选择,用哪个源地址以及从哪个接口上出去,当然还有其他一些必要的信息。
   3.进入raw表的OUTPUT链。这里是能够在连接跟踪生效前处理报文的点,在这可以标记某个连接不被连接跟踪处理。
   4.连接跟踪对本地的数据包进行处理。
   5.进入 mangle 表的 OUTPUT 链,在这里我们可以修改数据包,但不要做过滤(以避免副作用)。
   6.进入 nat 表的 OUTPUT 链,可以对防火墙自己发出的数据做目的NAT(DNAT) 。
   7.进入 filter 表的 OUTPUT 链,可以对本地出去的数据包进行过滤。
   8.再次进行路由决定,因为前面的 mangle 和 nat 表可能修改了报文的路由信息。
   9.进入 mangle 表的 POSTROUTING 链。这条链可能被两种报文遍历,一种是转发的报文,另外就是本机产生的报文。
   10.进入 nat 表的 POSTROUTING 链。在这我们做源 NAT(SNAT),建议你不要在这做报文过滤,因为有副作用。即使你设置了默认策略,一些报文也有可能溜过去。
   11.进入出去的网络接口。

3)转发报文
报文经

你可能感兴趣的:(Linux,#,Linux命令详解,linux,iptables)