Linux系列-Red Hat5平台下的Iptables防火墙应用（一）

Iptables 并不是一个简单的东西，这段时间一直在想怎么才能把自己已常握的 iptables 分享给大家，如果像前面一样。上来就是一张拓扑图，再呼呼啦啦一条条策略，我想那样肯定是没有什么效果的。一条条策略如果没有强大的理论做支撑，是站不住脚的。正在苦恼之际。突然看到了自己以前学习 iptables 时的记的笔记。觉得记得还挺到位的，如果自己再整合一下，应该是很容易理解的。就这样，翻出老家底――咱们来学 Iptables 就诞生了，呵呵！来看看吧！

Iptables 和 netfilter 的关系：

这是第一个要说的地方， Iptables 和 netfilter 的关系是一个很容易让人搞不清的问题。很多的知道 iptables 却不知道 netfilter 。其实 iptables 只是 Linux 防火墙的管理工具而已，位于 /sbin/iptables 。真正实现防火墙功能的是 netfilter ，它是 Linux 内核中实现包过滤的内部结构。

Iptables 的规则表和链：

Iptables 采用“表”和“链”的分层结构。在 REHL4 中是三张表五个链。现在 REHL5 成了四张表五个链了，不过多出来的那个表用的也不太多，所以基本还是和以前一样。下面罗列一下这四张表和五个链。注意一定要明白这些表和链的关系及作用，因为很多的人就是在这一块不清楚。万一不行就把它背下来在慢慢地去体会。

规则表：

1.        filter 表――三个链： INPUT 、 FORWARD 、 OUTPUT

作用：过滤数据包    内核模块： iptables_filter.

2.        Nat 表――三个链： PREROUTING 、 POSTROUTING 、 OUTPUT

作用：用于网络地址转换（ IP 、端口）  内核模块： iptable_nat

3.        Mangle 表――五个链： PREROUTING 、 POSTROUTING 、 INPUT 、 OUTPUT 、 FORWARD

作用：修改数据包的服务类型、 TTL 、并且可以配置路由实现 QOS

内核模块： iptable_mangle

( 别看这个表这么麻烦，咱们设置策略时几乎都不会用到它 )

4.        Raw 表――两个链： OUTPUT 、 PREROUTING

作用：决定数据包是否被状态跟踪机制处理    内核模块： iptable_raw

( 这个是 REHL4 没有的，不过不用怕，用的不多 )

规则链：

1.        INPUT ――进来的数据包应用此规则链中的策略

2.        OUTPUT ――外出的数据包应用此规则链中的策略

3.        FORWARD ――转发数据包时应用此规则链中的策略

4.        PREROUTING ――对数据包作路由选择前应用此链中的规则

（记住！所有的数据包进来的时侯都先由这个链处理）

5.        POSTROUTING ――对数据包作路由选择后应用此链中的规则

（所有的数据包出来的时侯都先由这个链处理）

规则表之间的优先顺序：

Raw ―― mangle ―― nat ―― filter

规则链之间的优先顺序（分三种情况）：

第一种情况：入站数据流向

从外界到达防火墙的数据包，先被 PREROUTING 规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比如说 Internet 用户访问防火墙主机中的 web 服务器的数据包），那么内核将其传给 INPUT 链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如 Apache 服务器）进行响应。

第二冲情况：转发数据流向

来自外界的数据包到达防火墙后，首先被 PREROUTING 规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问 QQ 站点的数据包），则内核将其传递给 FORWARD 链进行处理（是否转发或拦截），然后再交给 POSTROUTING 规则链（是否修改数据包的地址等）进行处理。

第三种情况：出站数据流向

防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网 DNS 服务器时），首先被 OUTPUT 规则链处理，之后进行路由选择，然后传递给 POSTROUTING 规则链（是否修改数据包的地址等）进行处理。

管理和设置 iptables 规则

Iptables 的基本语法格式：

Iptables [-t  表名 ]  命令选项  ［链名］  ［条件匹配］  ［ -j  目标动作或跳转］

说明：表名、链名用于指定 iptables 命令所操作的表和链，命令选项用于指定管理 iptables 规则的方式（比如：插入、增加、删除、查看等；条件匹配用于指定对符合什么样条件的数据包进行处理；目标动作或跳转用于指定数据包的处理方式（比如允许通过、拒绝、丢弃、跳转（ Jump ）给其它链处理。

Iptables 命令的管理控制选项：

-A  在指定链的末尾添加（ append ）一条新的规则

-D 删除（ delete ）指定链中的某一条规则，可以按规则序号和内容删除

-I 在指定链中插入（ insert ）一条新的规则，默认在第一行添加

-R 修改、替换（ replace ）指定链中的某一条规则，可以按规则序号和内容替换

-L 列出（ list ）指定链中所有的规则进行查看

-F 清空（ flush ）

-N 新建（ new-chain ）一条用户自己定义的规则链

-X 删除指定表中用户自定义的规则链（ delete-chain ）

-P 设置指定链的默认策略（ policy ）

-n 使用数字形式（ numeric ）显示输出结果

-v 查看规则表详细信息（ verbose ）的信息

-V 查看版本 (version)

-h 获取帮助（ help ）

防火墙处理数据包的四种方式：

ACCEPT  允许数据包通过

DROP  直接丢弃数据包，不给任何回应信息

REJECT  拒绝数据包通过，必要时会给数据发送端一个响应的信息。

LOG 在 /var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则

Iptables 防火墙规则的导入和导出：

Iptables-save    // 导出（备份）

Iptables-restore  // 导入（还原）

Iptables 防火墙常用的策略：

1.        拒绝进入防火墙的所有 ICMP 协议数据包

iptables -I INPUT -p icmp -j REJECT

2.        允许防火墙转发除 ICMP 协议以外的所有数据包

iptables -A FORWARD -p ! icmp -j ACCEPT

说明：使用“！”可以将条件取反。

3.        拒绝转发来自 192.168.1.10 主机的数据，允许转发来自 192.168.0.0/24 网段的数据

iptables -A FORWARD -s 192.168.1.11 -j REJECT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

说明：注意要把拒绝的放在前面不然就不起作用了啊。

4.        丢弃从外网接口（ eth1 ）进入防火墙本机的源地址为私网地址的数据包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

iptables -A INPUT -i eth1 -s  10.0.0 .0/8 -j DROP

5.        封堵网段（ 192.168.1.0/24 ），两小时后解封。

[root@server ~]# iptables -I INPUT -s  10.20.30 .0/24 -j DROP

[root@server ~]# iptables -I FORWARD -s  10.20.30 .0/24 -j DROP

[root@server ~]# at now +2 hours

at> iptables -D INPUT 1

at> iptables -D FORWARD 1

说明：这个策略咱们借助 crond 计划任务来完成，就再好不过了。

[1]+  Stopped                 at now +2 hours

6.        只允许管理员从 202.13.0.0/16 网段使用 SSH 远程登录防火墙主机。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的 SQL 服务器需要被总公司的管理员管理时。

7.        允许本机开放从 TCP 端口 20-1024 提供的应用服务。

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.        允许转发来自 192.168.0.0/24 局域网段的 DNS 解析请求数据包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.        禁止其他主机 ping 防火墙主机，但是允许从防火墙上 ping 其他主机

iptables -A INPUT -p icmp --icmp-type Echo-Request -j DROP

iptables -A INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

10.    禁止转发来自 MAC 地址为 00 ： 0C ： 29 ： 27 ： 55 ： 3F 的和主机的数据包

iptables -A FORWARD -m mac --mac-source 00: 0c :29:27:55: 3F  -j DROP

说明： iptables 中使用“ -m  模块关键字”的形式调用显示匹配。咱们这里用“ -m mac �Cmac-source ”来表示数据包的源 MAC 地址。

11.    允许防火墙本机对外开放 TCP 端口 20 、 21 、 25 、 110 以及被动模式 FTP 端口 1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

说明：这里用“ -m multiport �Cdport ”来指定目的端口及范围

12.    禁止转发源 IP 地址为 192.168.1.20-192.168.1.99 的 TCP 数据包。

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

说明：此处用“ -m �Ciprange �Csrc-range ”指定 IP 范围。

13.    禁止转发与正常 TCP 连接无关的非 ―syn 请求数据包。

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

说明：“ -m state ”表示数据包的连接状态，“ NEW ”表示与任何连接无关的，新的嘛！

14.    拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

iptables -A INPUT -p tcp -m state --state NEW -j DROP

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

说明：“ ESTABLISHED ”表示已经响应请求或者已经建立连接的数据包，“ RELATED ”表示与已建立的连接有相关性的，比如 FTP 数据连接等。

15.    只开放本机的 web 服务（ 80 ）、 FTP(20 、 21 、 20450-20480) ，放行外部主机发住服务器其它端口的应答数据包，将其他入站数据包均予以丢弃处理。

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT

iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT

iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

    OK ！上面都是一些比较常用到的， Iptables 功能很多希望各位同仁们去挖掘。下次我们会看到 iptables 中的常用技术 SNAT 和 DNAT 的应用。

本文出自 “ zpp” 博客，请务必保留此出处 http://zpp2009.blog.51cto.com/730423/285192