概述

iptables是一种Linux系统下的数据包过滤工具,但非真正意义上的防火墙,可以理解喂一种客户端代理,将用户的安全配置设定到底层的框架中,这个框架叫netfilter。

iptables位于用户空间,netfilter位于内核空间。

术语

术语 说明
accept 放行
reject 拒绝
drop 放弃
SNAT 源地址转换
DNAT 是SNAT的一种特殊形式,适用于动态的、临时会变的ip上
MASQUERADE 目标地址转换
chain
table
rule 规则

工作机制

iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。

规则链

规则链(chain)名包括(也被称为五个钩子函数(hook functions)):

  • INPUT链 :处理输入数据包。
  • OUTPUT链 :处理输出数据包。
  • FORWARD链 :处理转发数据包。
  • PREROUTING链 :用于目标地址转换(DNAT)。
  • POSTOUTING链 :用于源地址转换(SNAT)。

数据报文的流向:

  • 到本机某进程的报文:PREROUTING –> INPUT
  • 由本机转发的报文:PREROUTING –> FORWARD –> POSTROUTING
  • 由本机的某进程发出报文(通常为响应报文):OUTPUT –> POSTROUTING

我们把具有相同功能的规则的集合叫做表(table)。

不同功能的规则,我们可以放置在不同的表中进行管理。

iptables有4张表:

  • filter表:负责过滤功能,防火墙;内核模块:iptables_filter
  • nat表:network address translation,网络地址转换功能;内核模块:iptable_nat
  • mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle
  • raw表:关闭nat表上启用的连接追踪机制;iptable_raw

链和表的关系

  • PREROUTING的规则可以存在于:raw表,mangle表,nat表。
  • INPUT的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
  • FORWARD的规则可以存在于:mangle表,filter表。
  • OUTPUT的规则可以存在于:raw表mangle表,nat表,filter表。
  • POSTROUTING的规则可以存在于:mangle表,nat表。

防火墙的策略

防火墙策略一般分为两种,一种叫策略,一种叫策略:

  • 通策略:默认入口是关的,除了符合规则的数据包,其余数据包全部丢弃;
  • 堵策略:默认入口是开放的,但是你必须有身份认证,否则不能进。

我们现在用的比较多个功能有3个:

  1. filter 定义允许或者不允许的,只能做在3个链上:INPUT ,FORWARD ,OUTPUT
  2. nat 定义地址转换的,也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
  3. mangle功能:修改报文原数据,是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。

规则(rule)

匹配条件

匹配条件分为基本匹配条件与扩展匹配条件

基本匹配条件:

源地址Source IP,目标地址 Destination IP

上述内容都可以作为基本匹配条件。

扩展匹配条件:

除了上述的条件可以用于匹配,还有很多其他的条件可以用于匹配,这些条件泛称为扩展条件,这些扩展条件其实也是netfilter中的一部分,只是以模块的形式存在,如果想要使用这些条件,则需要依赖对应的扩展模块。

源端口Source Port, 目标端口Destination Port

上述内容都可以作为扩展匹配条件

处理动作

处理动作在iptables中被称为target(这样说并不准确,我们暂且这样称呼),动作也可以分为基本动作和扩展动作。

此处列出一些常用的动作,之后的文章会对它们进行详细的示例与总结:

ACCEPT:允许数据包通过。

DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。

REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。

SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。

MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。

DNAT:目标地址转换。

REDIRECT:在本机做端口映射。

LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。

命令

iptables

1
2
3
4
5
6
7
8
9
Usage: iptables -[ACD] chain rule-specification [options]
iptables -I chain [rulenum] rule-specification [options]
iptables -R chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LS] [chain [rulenum]] [options]
iptables -[FZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]

常用参数

参数 说明
-P 设置默认策略:iptables -P INPUT (DROP
-F 清空规则链
-L 查看规则链
-n 数字输出。IP地址和端口会以数字的形式打印。默认情况下,程序试显示主机名、网络名或者服务(只要可用)。
-A 在规则链的末尾加入新规则
-I 根据给出的规则序号向所选链中插入一条或更多规则。所以,如果规则序号为1, 规则会被插入链的头部。这也是不指定规则序号时的默认方式。
-D 从所选链中删除一条或更多规则。这条命令可以有两种方法:可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
-s 匹配来源地址IP/MASK,加叹号”!”表示除这个IP外。
-d 匹配目标地址
-i 网卡名称,匹配从这块网卡流入的数据
-o 网卡名称,匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
–dport num 匹配目标端口号
–sport num 匹配来源端口号
–line-numbers 当列表显示规则时,在每个规则的前面加上行号,与该规则在链中的位置相对应。

追加规则

语法如下:

1
iptables -A chain firewall-rule
  • -A chain:指定要追加规则的链
  • firewall-rule:具体的规则参数

规则参数如下:

参数 说明
-p 指定规则的协议,如tcp, udp, icmp等,不指定默认为all,即所有协议
-s 指定数据包的源地址,可以是IP地址、网段、主机名,不指定默认为all
-d 指定目的地址,可以是IP地址、网段、主机名,不指定默认为all
-j 指定了当与规则(Rule)匹配时如何处理数据包,可以是ACCEPT, DROP, QUEUE, RETURN,MASQUERADE
-i 指定了要处理来自哪个接口的数据包,例如-i eth0,不指定默认为all
-o 指定了数据包由哪个接口输出,例如-o eth0,不指定默认为all
-m state -state 当第一个数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED
-sport 指定源端口,默认为匹配所有端口
-dport 指定目的端口,默认为匹配所有端口

常用命令

修改规则后,记得保存!

默认配置

当我们使用-L选项验证当前规则是发现,所有的链旁边都有 policy ACCEPT标注,这表明当前链的默认策略为ACCEPT。通常情况一下,建议INPUT默认为DROP

1
iptables -P INPUT DROP 

查看规则

1
2
3
4
5
# 列出一个或所有链的规则,只显示IP和端口,不显示域名和服务名
iptables -nL

# 在-nL的基础上,显示详细信息,包括每条规则匹配包数量和匹配字节数,进制自动单位换算(K,M)
iptables -nLxv

清除规则

1
2
3
iptables -F   # 清除所有规则
iptables -X # 删除自定义的链
iptables -z # 链计数器清零

保存规则

1
2
3
4
5
# 保存iptables规则 
service iptables save

# 重启iptables服务
service iptables restart

开放指定端口

1
2
3
4
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    # 允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT # 允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT # 允许FTP服务的20端口

屏蔽IP

1
2
iptables -I INPUT -s 123.45.6.7 -j DROP       # 屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP # 屏蔽网段

删除已添加的规则

1
2
iptables -L -n --line-numbers   # 查看规则的序号
iptables -D INPUT 5 # 删除序号为5的规则

允许ping

1
iptables –A INPUT –p icmp –icmp-type any –j ACCEPT

保存和恢复

1
2
iptables-save >/etc/sysconfig/iptables_save    # 保存到指定文件
iptables-restore</etc/sysconfig/iptables_save # 从指定文件恢复