iptables的用法小结
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,iptables的结构简单的说就是:iptables -> Tables-> Chains -> Rules,tables由chains组成,而chains又由rules组成。
iptables的表与链
iptables具有Filter, NAT, Mangle, Raw四种内建表和PREROUTING、OUTPUT、FORWARD、INPUT、POSTROUTING五个内建链。
使用“iptables -t 表名 -L”来查看表中包含的链
1. Filter表
Filter表示iptables的默认表,因此如果没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
INPUT链 �C 处理来自外部的数据。
FORWARD链 �C 将数据转发到本机的其他网卡设备上。
OUTPUT链 �C 处理向外发送的数据。
2. NAT表
NAT表有三种内建链:
PREROUTING链 �C 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destinationip address),通常用于DNAT(destinationNAT)。
POSTROUTING链 �C 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ipaddress),通常用于SNAT(source NAT)。
OUTPUT链 �C 处理本机产生的数据包。
3. Mangle表
Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链:
PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING
4. Raw表
Raw表用于处理异常,它具有2个内建链:
PREROUTING chain
OUTPUT chain
IPTABLES 规则(Rules)
Rules包括一个条件和一个目标(target),如果满足条件,就执行目标(target)中的规则或者特定值;如果不满足条件,就判断下一条Rules。
目标值(TargetValues):
ACCEPT �C 允许防火墙接收数据包
REJECT �C 防火墙拒绝数据包,与”DROP”相比会有回应产生
DROP �C 防火墙丢弃包
REDIRECT �C 防火墙将数据包重定向
SNAT �C 源地址翻译,将内网地址转换成公网的合法地址
DNAT �C 目标地址翻译,多用在内部服务器的发布
MASQUERADE �C 地址伪装,用在外网口地址经常发生变动(如pppoe拨号上网)的情况下
QUEUE �C 防火墙将数据包移交到用户空间
RETURN �C 防火墙停止执行当前链中的后续Rules,并返回到调用链(the calling chain)中。
IPTABLES命令参数
参数 |
功能 |
样例及说明 |
-A, --append |
新增规则(追加方式)到某个规则链中,该规则将会成为规则链中的最后一条规则。 |
iptables -A INPUT ... |
-D, --delete |
从某个规则链中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。 |
iptables -D INPUT 1 删除INPUT链中的第一条规则 |
-I, --insert |
插入一条规则 |
iptables -I INPUT 1 --dport 80 -j ACCEPT |
-R, --replace |
取代现行规则,规则被取代后并不会改变顺序 |
iptables -R INPUT 1 -s 192.168.0.1 -j DROP |
-L, --list |
列出某规则链中的所有规则。 |
iptables -L INPUT |
-S, --list-rules |
直接列出某规则链中的规则。 |
iptables -S INPUT |
-F, --flush |
删除某规则链中的所有规则。 |
iptables -F INPUT |
-Z, --zero |
将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。 |
iptables -Z INPUT |
-N, --new-chain |
定义新的规则链。 |
iptables -N allowed 定义一条名为“allowed”的新链 |
-X, --delete-chain |
删除某个规则链。 |
iptables -X allowed 删除一条名为“allowed”的新链 |
-P, --policy |
定义过滤政策。也就是未符合过滤条件之封包,预设的处理方式。 |
iptables -P INPUT DROP |
-E, --rename-chain |
修改某自订规则链的名称。 |
iptables -E allowed disallowed 将名为“allowed”的链更名为”disallowed” |
-h |
显示帮助信息 |
iptables -h |
-p, --protocol |
比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp |
iptables -A INPUT -p tcp (指定协议) -p all 所有协议, -p !tcp 去除tcp外的所有协议。 |
-s, --src,--source |
用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,比对 IP 时可以使用 ! 运算子进行反向比对 |
iptables -A INPUT -s 192.168.1.1 匹配源地址192.168.1.1 |
-d, --dst,--destination |
用来比对封包的目的地 IP,设定方式同上。 |
iptables -A INPUT -d 192.168.1.1 |
-j, --jump |
用来指定要进行的处理动作 |
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 |
-g, --goto |
用于指明包需要进行一个用户自定义链的处理。当使用--jump转到某个链中时,return不会继续后面的链中处理,而是返回至调用--jump的链中。而--goto与之不同。 |
iptables -N TESTA iptables -A FORWARD -s 192.168.1.1 -j TESTA 上面的例子中-j(jump)相当于调用,自定义链结束后返回 iptables -N TESTB iptables -A FORWARD -s 192.168.1.1 -j TESTB -g(goto)一去不复返 |
-i, --in-interface |
用来比对封包是从哪个网卡进入,可以使用通配字符 + 来做大范围比对 |
iptables -A INPUT -i eth0 -i eth+ 表示所有的 ethernet 网卡 -i ! eth0 表示eth0以外的所有ethernet网卡 |
-o, --out-interface |
用来比对封包要从哪个网卡送出,设定方式同上。 |
iptables -A FORWARD -o eth0 |
-f, --fragment |
这意味着在分片的包中,规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口(或者是ICMP类型的),这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前,表示相反的意思。 |
iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT 指定第二个及其以后的 ip 碎片的数据流向 |
-c, --set-counters |
在创建或更改规则时设置计数器 |
--set-counters 20 4000,意思是让内核把包计数器设为20,把字节计数器设为4000。 |
-v, --verbose |
在查看规则时显示详细信息 |
iptables -t filter -L -n -v --line-number |
-n, --numeric |
在查看规则时以数字形式显示 |
iptables -t filter -L -n -v --line-number |
-x, --exact |
扩展数字,显示包和字节计数器的精确值,代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。 |
iptables -t filter -L -n �Cv -x --line-number |
--sport, --source-port |
用来比对封包的来源端口号,可以比对单一端口,或是一个范围 |
:--sport 22:80,表示从 22 到 80 端口之间都算是符合件 |
--dport, -destination-port |
用来比对封包的目的端口号,设定方式同上。 |
iptables -A INPUT -p tcp --dport 22 |
--tcp-flags |
比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包括:SYN(同步)、ACK(应答)、 |
iptables -p tcp --tcp-flags SYN,FIN,ACK SYN |
--syn |
用来比对是否为要求联机之 TCP 封包 |
iptables -p tcp --syn |
-m multiport --source-port |
用来比对不连续的多个来源埠号,一次最多可以比对 15 个埠,可以使用 ! 运算进行反向比对。 |
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 |
-m multiport --destination-port |
用来比对不连续的多个目的地埠号,设定方式同上。 |
iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 |
-m multiport --port |
这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。 |
iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 注意:在本范例中,如果来源端口号为 80目的地埠号为 110,这种封包并不算符合条件。 |
--icmp-type |
用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。 |
iptables -A INPUT -p icmp --icmp-type 8 可以使用iptables -p icmp --help 来查看有哪些代码可用。 |
-m limit --limit |
用来比对某段时间内封包的平均流量 |
iptables -A INPUT -m limit --limit 3/hour 表示每小时平均流量是否超过一次 3 个封包。除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。除了进行封数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。 |
--limit-burst |
用来比对瞬间大量封包的数量 |
iptables -A INPUT -m limit --limit-burst 5 比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封将被直接丢弃。 |
-m mac --mac-source |
用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则链上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到哪个网络接口去。 |
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 |
--mark |
用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。 |
iptables -t mangle -A INPUT -m mark --mark 1 |
-m owner --uid-owner |
用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。 |
iptables -A OUTPUT -m owner --uid-owner 500 |
-m owner --gid-owner |
用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。 |
iptables -A OUTPUT -m owner --gid-owner 0 |
-m owner --sid-owner |
用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时机同上。 |
iptables -A OUTPUT -m owner --sid-owner 100 |
-m state --state |
用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。 INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。 ESTABLISHED 表示该封包属于某个已经建立的联机。 NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。 RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机。 |
iptables -A INPUT -m state --state RELATED,ESTABLISHED |
--line-numbers |
在列出规则的时候加上行号 |
iptables -t filter -L -n -v --line-number |
--modprobe |
添加规则时加载必需的模块 |
iptables -t nat -A PREROUTING -d 192.168.1.44 -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.2.100 --modprobe=ip_nat_ftp |
例子:
公司内部有2个局域网:192.168.100.0/24和192.168.200.0/24,两个网络之间互通,其中,在192.168.200.0/24网络中部署着一台应用服务器,其操作系统为linux,ip地址为192.168.200.120,应用服务器提供的服务有SSH、WEB、FTP、DNS、sendmail等服务
要求:
1、应用服务器不回应ICMP封包
2、只允许ip地址为192.168.200.129的主机访问应用服务器的ssh服务
3、只允许192.168.200.0/24网段的所有主机访问应用服务器上的ftp服务
4、开放应用服务器上的apache、sendmail、dns服务端口,但是,不允许ip地址为192.168.100.111主机访问服务器的web
设置默认策略:
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
1、
iptables -t filter -A INPUT -s 192.168.100.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
2、(基于三次握手的状态)
iptables -t filter -A INPUT -s 192.168.200.129 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -d 192.168.200.129 -p tcp --sport 22 -mstate --state ESTABLISHED -j ACCEPT
可以有效的避免反弹木马的攻击
3、
方法一:
iptables -t filter -A INPUT -s 192.168.200.0/24 -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABISHED,RELATED -j ACCEPT
主动方式:
iptables -t filter -A OUTPUT -d 192.168.200.0/24 -p tcp --sport 20 -j ACCEPT
iptables -t filter -A INTPUT -m state --state ESTABISHED -j ACCEPT
被动方式:
vim /etc/vsftpd/vsftpd.conf
添加 pasv_min_port=2000
pasv_max_port=2002
service vsftpd restart
//////////////////////////以上是添加ftp服务器所开放的数据端口/////////////////////////////////////////////////
iptables �Ct filter -A IINPUT -s 192.168.200.0/24 -p tcp -m multiport --destination-ports 20000.20001,20002 -j ACCEPT
方法二:
iptables -t filter -A INPUT -s 192.168.200.0/24 -p tcp --dport 21 -j ACCEPT --modprobe=ip_nat_ftp ////////设置规则时加载该模块来解决数据传输的问题
iptables -t filter -A OUTPUT -m state --state ESTABISHED,RELATED -j ACCEPT
4、
基于标识位的策略最好放在后面
iptables -t filter -I INPUT 5 -s ! 192.168.100.111 -p tcp -m multiport --destination-ports 80,53,25 -j ACCEPT
iptables -t filter -I INPUT 5 -s !192.168.100.111 -p udp --dport 53 -j ACCEPT