Linux:iptables详解
概述
iptables是一种Linux系统下的数据包过滤工具,但非真正意义上的防火墙,可以理解喂一种客户端代理,将用户的安全配置设定到底层的框架中,这个框架叫netfilter。
iptables位于用户空间,netfilter位于内核空间。
术语
| 术语 | 说明 |
|---|---|
| accept | 放行 |
| reject | 拒绝 |
| drop | 放弃 |
| SNAT | 源地址转换 |
| DNAT | 是SNAT的一种特殊形式,适用于动态的、临时会变的ip上 |
| MASQUERADE | 目标地址转换 |
| chain | 链 |
| table | 表 |
| rule | 规则 |
工作机制
iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。
规则链
规则链(chain)名包括(也被称为五个钩子函数(hook functions)):
- INPUT链 :处理输入数据包。
- OUTPUT链 :处理输出数据包。
- FORWARD链 :处理转发数据包。
- PREROUTING链 :用于目标地址转换(DNAT)。
- POSTOUTING链 :用于源地址转换(SNAT)。
数据报文的流向:
- 到本机某进程的报文:PREROUTING –> INPUT
- 由本机转发的报文:PREROUTING –> FORWARD –> POSTROUTING
- 由本机的某进程发出报文(通常为响应报文):OUTPUT –> POSTROUTING
表
我们把具有相同功能的规则的集合叫做表(table)。
不同功能的规则,我们可以放置在不同的表中进行管理。
iptables有4张表:
- filter表:负责过滤功能,防火墙;内核模块:iptables_filter
- nat表:network address translation,网络地址转换功能;内核模块:iptable_nat
- mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle
- raw表:关闭nat表上启用的连接追踪机制;iptable_raw
链和表的关系
- PREROUTING的规则可以存在于:raw表,mangle表,nat表。
- INPUT的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
- FORWARD的规则可以存在于:mangle表,filter表。
- OUTPUT的规则可以存在于:raw表mangle表,nat表,filter表。
- POSTROUTING的规则可以存在于:mangle表,nat表。
防火墙的策略
防火墙策略一般分为两种,一种叫通策略,一种叫堵策略:
- 通策略:默认入口是关的,除了符合规则的数据包,其余数据包全部丢弃;
- 堵策略:默认入口是开放的,但是你必须有身份认证,否则不能进。
我们现在用的比较多个功能有3个:
- filter 定义允许或者不允许的,只能做在3个链上:INPUT ,FORWARD ,OUTPUT
- nat 定义地址转换的,也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
- mangle功能:修改报文原数据,是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。
规则(rule)
匹配条件
匹配条件分为基本匹配条件与扩展匹配条件
基本匹配条件:
源地址Source IP,目标地址 Destination IP
上述内容都可以作为基本匹配条件。
扩展匹配条件:
除了上述的条件可以用于匹配,还有很多其他的条件可以用于匹配,这些条件泛称为扩展条件,这些扩展条件其实也是netfilter中的一部分,只是以模块的形式存在,如果想要使用这些条件,则需要依赖对应的扩展模块。
源端口Source Port, 目标端口Destination Port
上述内容都可以作为扩展匹配条件
处理动作
处理动作在iptables中被称为target(这样说并不准确,我们暂且这样称呼),动作也可以分为基本动作和扩展动作。
此处列出一些常用的动作,之后的文章会对它们进行详细的示例与总结:
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
DNAT:目标地址转换。
REDIRECT:在本机做端口映射。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。
命令
iptables
1 | Usage: iptables -[ACD] chain rule-specification [options] |
常用参数
| 参数 | 说明 |
|---|---|
| -P | 设置默认策略:iptables -P INPUT (DROP |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -n | 数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。 |
| -A | 在规则链的末尾加入新规则 |
| -I | 根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1, 规则会被插入链的头部。这也是不指定规则序号时的默认方式。 |
| -D | 从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。 |
| -s | 匹配来源地址IP/MASK,加叹号”!”表示除这个IP外。 |
| -d | 匹配目标地址 |
| -i | 网卡名称,匹配从这块网卡流入的数据 |
| -o | 网卡名称,匹配从这块网卡流出的数据 |
| -p | 匹配协议,如tcp,udp,icmp |
| –dport num | 匹配目标端口号 |
| –sport num | 匹配来源端口号 |
| –line-numbers | 当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。 |
追加规则
语法如下:
1 | iptables -A chain firewall-rule |
- -A chain:指定要追加规则的链
- firewall-rule:具体的规则参数
规则参数如下:
| 参数 | 说明 |
|---|---|
| -p | 指定规则的协议,如tcp, udp, icmp等,不指定默认为all,即所有协议 |
| -s | 指定数据包的源地址,可以是IP地址、网段、主机名,不指定默认为all |
| -d | 指定目的地址,可以是IP地址、网段、主机名,不指定默认为all |
| -j | 指定了当与规则(Rule)匹配时如何处理数据包,可以是ACCEPT, DROP, QUEUE, RETURN,MASQUERADE |
| -i | 指定了要处理来自哪个接口的数据包,例如-i eth0,不指定默认为all |
| -o | 指定了数据包由哪个接口输出,例如-o eth0,不指定默认为all |
| -m state -state | 当第一个数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED |
| -sport | 指定源端口,默认为匹配所有端口 |
| -dport | 指定目的端口,默认为匹配所有端口 |
常用命令
修改规则后,记得保存!
默认配置
当我们使用-L选项验证当前规则是发现,所有的链旁边都有 policy ACCEPT标注,这表明当前链的默认策略为ACCEPT。通常情况一下,建议INPUT默认为DROP
1 | iptables -P INPUT DROP |
查看规则
1 | # 列出一个或所有链的规则,只显示IP和端口,不显示域名和服务名 |
清除规则
1 | iptables -F # 清除所有规则 |
保存规则
1 | # 保存iptables规则 |
开放指定端口
1 | iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许访问22端口 |
屏蔽IP
1 | iptables -I INPUT -s 123.45.6.7 -j DROP # 屏蔽单个IP的命令 |
删除已添加的规则
1 | iptables -L -n --line-numbers # 查看规则的序号 |
允许ping
1 | iptables –A INPUT –p icmp –icmp-type any –j ACCEPT |
保存和恢复
1 | iptables-save >/etc/sysconfig/iptables_save # 保存到指定文件 |