iptables 防火墙
iptables防火墙结构与原理
三个表(tables):
--------------
filter (INPUT\OUTPUT\FORWARD)
nat (PREROUTING\OUTPUT\POSTROUTING)
mangle (PREROUTING\INPUT\FORWARD\OUTPUT\POSTROUTING)
--------------
五个链(chains):
--------------
PREROUTING
INPUT
OUTPUT
FORWARD
POSTROUTING
--------------
规则(rules):
--------------
Address == (Source Address源地址)(Destination Address目的地址)(MAC Address网卡地址)
Port == (Source Port源端口)(Destiation Port目的端口)
Protoccol
Interface
Fragment
Counter
@@@@@@@@@@@@@@@@@@@@@@@@
一条或数条规则(rules)组成一个链(chains)
若干个链(chains)组成一个表
三个表(tables):
--------------
filter (INPUT\OUTPUT\FORWARD)
nat (PREROUTING\OUTPUT\POSTROUTING)
mangle (PREROUTING\INPUT\FORWARD\OUTPUT\POSTROUTING)
--------------
五个链(chains):
--------------
PREROUTING
INPUT
OUTPUT
FORWARD
POSTROUTING
--------------
规则(rules):
--------------
Address == (Source Address源地址)(Destination Address目的地址)(MAC Address网卡地址)
Port == (Source Port源端口)(Destiation Port目的端口)
Protoccol
Interface
Fragment
Counter
@@@@@@@@@@@@@@@@@@@@@@@@
一条或数条规则(rules)组成一个链(chains)
若干个链(chains)组成一个表
iptables命令格式
iptables [-t 表名] <命令> [链名] [规则号] [规则] [-j 目标]
-t选项:指定所使用的表。iptables防火墙默认的表有filter、nat、mangle 3张表,也可以是用户自定义的表。
表中包含了分布在各个位置的链,iptables命令所管理的规则就存在于各种链中的。
该选项不是必须的,如果未指定一个具体的表,则默认使用的是filter表。
iptables [-t 表名] <命令> [链名] [规则号] [规则] [-j 目标]
-t选项:指定所使用的表。iptables防火墙默认的表有filter、nat、mangle 3张表,也可以是用户自定义的表。
表中包含了分布在各个位置的链,iptables命令所管理的规则就存在于各种链中的。
该选项不是必须的,如果未指定一个具体的表,则默认使用的是filter表。
命令选项必须要有的,它告诉iptables要做什么事情,要添加规则、修改规则、还是删除规则。
有些命令选项后面要指定具体的链名成,而有些是可以省略的,此时,是对所有的链进行操作。
还有一些命令要指定规则号。
示例1:
1、A <链名> <规则>
功能:在指定链的末尾添加一条或多条规则。
eg:iptables -A INPUT -p icmp -j DROP
示例2:
2、-D <链名> <规则>
-D <链名> <规则号>
功能:从指定的链中删除一条或多条规则。可以按照规则的序号进行删除,也可以删除满足匹配条件的规则。
示例3:
3、-R <链名> <规则号> <规则>
功能:在指定的链中用新的规则置换掉某一规则号的旧规则。
示例4:
4、-I <链名> [规则号] <规则>
功能:在给出的规则序号前插入一条或多条规则,如果没有指定规则号,则默认是1。
示例5:
5、-L [链名]
功能:列出指定链中的所有规则,如果没有指定链,则所有链中的规则都将被列出。
示例6:
6、-F [链名]
功能:删除指定链中的所有规则,如果没有指定链,则所有链中的规则都将被删除。
示例7:
7、-N <链名>
功能:建立一个新的用户自定义链。
示例8:
8、-X [链名]
功能:删除指定的用户自定义链,这个链必须没有被引用,而且里面也不包含任何规则。如果没有给出链名,这条命令将试着删除每个非内建
有些命令选项后面要指定具体的链名成,而有些是可以省略的,此时,是对所有的链进行操作。
还有一些命令要指定规则号。
示例1:
1、A <链名> <规则>
功能:在指定链的末尾添加一条或多条规则。
eg:iptables -A INPUT -p icmp -j DROP
示例2:
2、-D <链名> <规则>
-D <链名> <规则号>
功能:从指定的链中删除一条或多条规则。可以按照规则的序号进行删除,也可以删除满足匹配条件的规则。
示例3:
3、-R <链名> <规则号> <规则>
功能:在指定的链中用新的规则置换掉某一规则号的旧规则。
示例4:
4、-I <链名> [规则号] <规则>
功能:在给出的规则序号前插入一条或多条规则,如果没有指定规则号,则默认是1。
示例5:
5、-L [链名]
功能:列出指定链中的所有规则,如果没有指定链,则所有链中的规则都将被列出。
示例6:
6、-F [链名]
功能:删除指定链中的所有规则,如果没有指定链,则所有链中的规则都将被删除。
示例7:
7、-N <链名>
功能:建立一个新的用户自定义链。
示例8:
8、-X [链名]
功能:删除指定的用户自定义链,这个链必须没有被引用,而且里面也不包含任何规则。如果没有给出链名,这条命令将试着删除每个非内建
的链。
示例9:
9、-P <链名> <目标>
功能:为指定的链设置规则的默认目标,当一个数据包与所有的规则都不匹配时,将采用这个默认的目标动作。
示例10:
10、-E <旧链名> <新链名>
功能:重命名链名,对链的功能没有影响。
==========================================================
iptables命令格式中的规则部分由很多选项构成,主要指定一些IP数据包的特征。例如,上一层的协议名称、源IP地址、目的IP地址、进出的
示例9:
9、-P <链名> <目标>
功能:为指定的链设置规则的默认目标,当一个数据包与所有的规则都不匹配时,将采用这个默认的目标动作。
示例10:
10、-E <旧链名> <新链名>
功能:重命名链名,对链的功能没有影响。
==========================================================
iptables命令格式中的规则部分由很多选项构成,主要指定一些IP数据包的特征。例如,上一层的协议名称、源IP地址、目的IP地址、进出的
网络接口名称等,下面列出构成规则的常见选项:
-p<协议类型>:指定上一层协议,可以在icmp、tcp、udp和all。
-s<IP地址/掩码>:指定源IP地址或子网。
-d<IP地址/掩码>:指定目的IP地址或子网。
-i<网络接口>:指定数据包进入网络接口名称。
-o<网络接口>:指定数据包出去的网络接口名称。
注意:上述选项可以进行组合,每一种选项后面的参数前可以加"!",表示取反。
-s<IP地址/掩码>:指定源IP地址或子网。
-d<IP地址/掩码>:指定目的IP地址或子网。
-i<网络接口>:指定数据包进入网络接口名称。
-o<网络接口>:指定数据包出去的网络接口名称。
注意:上述选项可以进行组合,每一种选项后面的参数前可以加"!",表示取反。
-p tcp --sport <port>:指定TCP数据包的源端口。
-p tcp --dport <port>:指定TCP数据包的目的端口。
-p tcp --syn:具有SYN标志的TCP数据包,该数据包要发起一个新的TCP连接。
-p udp --sport <port>:指定UDP数据包的源端口。
-p udp --dport <port>:指定UDP数据包的目的端口。
-p icmp --icmp-type <type>:指定icmp数据包的类型,可以是echo-reply、echo-request等。
上述选项中,port可以是单个端口号,也可以是以port1:port2表示的端口范围。每一选项后的参数可以加"!",表示取反。
-p tcp --dport <port>:指定TCP数据包的目的端口。
-p tcp --syn:具有SYN标志的TCP数据包,该数据包要发起一个新的TCP连接。
-p udp --sport <port>:指定UDP数据包的源端口。
-p udp --dport <port>:指定UDP数据包的目的端口。
-p icmp --icmp-type <type>:指定icmp数据包的类型,可以是echo-reply、echo-request等。
上述选项中,port可以是单个端口号,也可以是以port1:port2表示的端口范围。每一选项后的参数可以加"!",表示取反。
上面介绍的这些规则选项都是iptables内置的,iptables软件包还提供了一套扩展的规则选项。使用时需要通过-m选项指定模块的名称,再使
用该模块提供的选项。下面列出几个模块名称和其中的选项,大部分的选项也可以通过"!"取反。
-m multiport --sports <port, port, …>
功能:指定数据包的多个源端口,也可以以port1:port2的形式指定一个端口范围。
-m multiport --dports <port, port, …>
功能:指定数据包的多个目的端口,也可以以port1:port2的形式指定一个端口范围。
-m multiport --ports <port, port, …>
功能:指定数据包的多个端口,包括源端口和目的端口,也可以以port1:port2的形式指定一个端口范围。
-m state --state <state>
功能:指定满足某一种状态的数据包,state可以是INVALID、ESTABLISHED、NEW和RELATED等,也可以是它们的组合,用","分隔。
-m connlimit --connlimit-above <n>
功能:用于限制客户端到一台主机的TCP并发连接总数,n是一个数值。
-m mac --mac-source <address>
功能:指定数据包的源MAC地址,address是xx:xx:xx:xx:xx:xx形式的48位数。
-m multiport --sports <port, port, …>
功能:指定数据包的多个源端口,也可以以port1:port2的形式指定一个端口范围。
-m multiport --dports <port, port, …>
功能:指定数据包的多个目的端口,也可以以port1:port2的形式指定一个端口范围。
-m multiport --ports <port, port, …>
功能:指定数据包的多个端口,包括源端口和目的端口,也可以以port1:port2的形式指定一个端口范围。
-m state --state <state>
功能:指定满足某一种状态的数据包,state可以是INVALID、ESTABLISHED、NEW和RELATED等,也可以是它们的组合,用","分隔。
-m connlimit --connlimit-above <n>
功能:用于限制客户端到一台主机的TCP并发连接总数,n是一个数值。
-m mac --mac-source <address>
功能:指定数据包的源MAC地址,address是xx:xx:xx:xx:xx:xx形式的48位数。
-m选项可以提供的模块名和子选项内容非常多,为iptables提供了非常强大、细致的功能,所有的模块名和子选项可以通过"man iptables"命
令查看iptables命令的手册页获得。
最后,iptables命令中的-j选项可以对满足规则的数据包执行指定的操作,其后的"目标"可以是以下内容。
-j ACCEPT:将与规则匹配的数据包放行,并且该数据包将不再与其他规则匹配,而是跳向下一条链继续处理。
-j REJECT:拒绝所匹配的数据包,并向该数据包的发送者回复一个ICMP错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也
-j ACCEPT:将与规则匹配的数据包放行,并且该数据包将不再与其他规则匹配,而是跳向下一条链继续处理。
-j REJECT:拒绝所匹配的数据包,并向该数据包的发送者回复一个ICMP错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也
不跳向下一条链。
-j DROP:丢弃所匹配的数据包,不回复错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。
-j REDIRECT:将匹配的数据包重定向到另一个位置,该动作完成后,会继续与其他规则进行匹配。
-j LOG:将与规则匹配的数据包的相关信息记录在日志(/var/log/message)中,并继续与其他规则匹配。
-j <规则链名称>:数据包将会传递到另一规则链,并与该链中的规则进行匹配。
-j DROP:丢弃所匹配的数据包,不回复错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。
-j REDIRECT:将匹配的数据包重定向到另一个位置,该动作完成后,会继续与其他规则进行匹配。
-j LOG:将与规则匹配的数据包的相关信息记录在日志(/var/log/message)中,并继续与其他规则匹配。
-j <规则链名称>:数据包将会传递到另一规则链,并与该链中的规则进行匹配。