如何進行iptables的使用

這篇文章給大家介紹如何進行iptables的使用，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

一.iptables 簡介

   當一臺主機接入至一個網絡中的時候，就不可避免的會受到來至網絡的可能***，為了解決這一問題，誕生了防火墻（Firewall）的技術，通過防火墻可以阻隔絕大多數的來路不明的網絡請求，從而保護自己的主機。

   防火墻可以分為硬件防火墻和軟件防火墻，軟件防火墻即是通過軟件處理邏輯對通過主機的各種報文，信息等進行監(jiān)控阻隔等，而硬件防火墻則可以基于硬件直接進行阻隔，硬件防火墻中部分功能也需要基于軟件實現。

    Iptables是基于軟件實現的防火墻，主要有兩個部分組成。內核空間中的netfilter，提供了整個防火墻框架，而iptables則位于用戶空間，主要是給用戶提供一個接口，使得用戶可以根據需要對位于內核的netfilter進行管理操作。

    Netfilter主要是通過5個hookfunction（鉤子函數）在內核級別實現報文的監(jiān)控修改等操作，他們分別為prerouting,input,forward,output,postrouting。而用戶空間的iptables則分別使用5條鏈對應這五個hookfunction。為了便于管理iptables還設定了4個不同的功能（tables）

    filter：過濾，防火墻；

    nat：networkaddress translation；用于修改報文的源地址或目標地址，甚至是端口；

    mangle：拆解報文，做出修改，并重新封裝起來；

    raw：關閉nat表上啟用的連接追蹤機制；

        優(yōu)先級次序(由高而低)：

                              raw--> mangle --> nat --> filte

        其中功能與鉤子的關系為：

功能<-->鉤子：

raw：PREROUTING，OUTPUT

mangle：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

nat：PREROUTING，INPUT，OUTPUT，POSTRUTING

filter：INPUT，FORWARD，OUTPUT

二.iptables 設置

   獲取幫助：

      CentOS7：man iptables-extensions

      CentOS6：man iptables

   使用格式

      iptables [-t table] COMMAND chain[-m matchname [per-match-options]] [-j targetname [per-target-options]]

      -t table：默認為filter；其它可用的有raw, mangle, nat；

      COMMAND:

      對鏈操作：

         -P：policy，策略，定義默認策略； 一般有兩種選擇，ACCEPT和DROP；

         -N：new，新建一條自定義的規(guī)則鏈；被內建鏈上的規(guī)則調用才能生效

         -X：drop，刪除自定義的引用計數為0的空鏈；

         -F：flush，清空指定的鏈；

         -E：重命名自定義的引用計數和為0的鏈；

      管理規(guī)則：

         -A：append，追加，在指定鏈的尾部追加一條規(guī)則；

         -I：insert，插入，在指定的位置（省略位置時表示鏈首）插入一條規(guī)則；

         -D：delelte，刪除，刪除指定的規(guī)則；

         -R：replace，替換，將指定的規(guī)則替換為新規(guī)則；不能僅修改規(guī)則中的部分，而是整條規(guī)則完全替換；

      查看：

         -L：list，列出表中的鏈上的規(guī)則；

           -n：numeric，以數值格式顯示；

           -v：verbose，顯示詳細格式信息；

           -vv,-vvv

           -x：exactly，計數器的精確結果；

           --line-numbers：顯示鏈中的規(guī)則編號；

         計數器：

        規(guī)則，以及默認策略有專用的計數器；

        記錄被當前規(guī)則所匹配到的：

            (1)報文個數；

            (2)字節(jié)總數；

        重置規(guī)則計數器：

             -Z：zero，置0；

      chain：

      (1)內建鏈；PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

      (2)自定義鏈；

      匹配條件：

      一條規(guī)則中存在多條匹配規(guī)則時，邏輯關系為“與”

        1）基本匹配條件：

          [!]-s, --source address[/mask][,...]：檢查報文中的源IP地址是否符合此處指定的地址或范圍；

          [!]-d, --destination address[/mask][,...]：檢查報文中的目標IP地址是否符合此處指定的地址或范圍；

         e.g.禁止172.16.10.17連接172.16.10.7主機

       ~]#iptables -A INPUT -s 172.16.10.17 -d 172.16.10.7 -j DROP

          [!]-p, --protocol protocol：

          protocol：{tcp|udp|icmp}

          [!]-i, --in-interface name：數據報文的流入接口；INPUT, FORWARD,PREROUTING

          [!]-o, --out-interface name:數據報文的流出接口:FORWARD,OUTPUT, POSTROUTING

        e.g. 將通過eno16777736網卡的所有請求全都拒絕

       ~]#iptables -A INPUT -i eno16777736 -j REJECT

       2）擴展匹配條件

         隱式擴展：不用-m選項指出matchname即可使用此match的專用選項進行匹配；

          -p tcp：隱含了-m tcp；

          [!]--source-port,--sport port[:port]：匹配報文中傳輸層的源端口；

      e.g.禁止所有請求訪問tcp的23端口

       ~]#iptables -A INPUT -p tcp --dport 23 -j DROP

          [!]--destination-port,--dport port[:port]：匹配報文中傳輸層的目標端口；

          [!]--tcp-flags mask comp

          標識位：SYN，ACK，FIN，RST，URG，PSH；        

             mask：要檢查的標志位列表，以逗號分隔；

             comp：必須為1的標志位，余下的出現在mask列表中的標志位則必須為0；

              --tcp-flags  SYN,ACK,FIN,RST  SYN

          [!]--syn：

          相當于--tcp-flags  SYN,ACK,FIN,RST  SYN

          -p udp：隱含了-m udp：

          [!]--source-port,--sport port[:port]：匹配報文中傳輸層的源端口；

          [!]--destination-port,--dport port[:port]：匹配報文中傳輸層的目標端口；

          -p icmp：隱含了-m icmp:

          [!] --icmp-type{type[/code]|typename}

            8：echo-request  用于請求

            0：echo-reply   用于應答

          e.g.禁止除172.16.10.17外的所有主機對本機進行ping操作

          ~]#iptables -A INPUT ! -s 172.16.10.17 -d 172.16.10.7 -p icmp --icmp-type 8 -jDROP

          ~]#iptables -A OUTPUT ! -d 172.16.10.17 -s 172.16.10.7 -p icmp --icmp-type 0 -j DROP

       顯式擴展：必須使用-m選項指出matchname，有的match可能存在專用的選項；

          multiport擴展

          以離散或連續(xù)的方式定義多端口匹配條件；

          [!]--source-ports,--sports port[,port|,port:port]...：指定多個源端口；

          [!]--destination-ports,--dports port[,port|,port:port]...：指定多個目標端口；

       e.g.禁止所有請求訪問tcp的21,22，23，80端口

       ~]#iptables -A INPUT -p tcp –m multiport --dports 21:23,80 -j DROP

          [!] --portsport[,port|,port:port]...：指定多個端口；

          iprange擴展

          以連續(xù)的ip地址范圍指明連續(xù)的多地址匹配條件；

          [!]--src-range from[-to]：源IP地址；

          [!]--dst-range from[-to]：目標IP地址；

          string擴展

          對報文中的應用層數據做字符串匹配檢測；

          [!]--string pattern：要檢測字符串模式；

          [!]--hex-string pattern：要檢測的字符串模式，16進制編碼；

          --algo{bm|kmp}

          time擴展

          根據報文到達的時間與指定的時間范圍進行匹配度檢測；

          --datestartYYYY[-MM[-DD[Thh[:mm[:ss]]]]]：起始日期時間；

          --datestopYYYY[-MM[-DD[Thh[:mm[:ss]]]]]：結束日期時間；

          --timestarthh:mm[:ss]  開始時間

          --timestop  hh:mm[:ss] 結束時間

          [!]--monthdays day[,day...]  開始日

          [!]--weekdays day[,day...]   結束日

         e.g.在周二，四，六的工作時間開放23號端口

         ~]#iptables -I INPUT -d 172.16.10.7 -p tcp --dport 23 -m time --timestart 09:00:00--timestop 18:00:00 --weekdays Tue,Thu,Sat -j ACCEPT

          connlimit擴展

          根據每客戶端IP做并發(fā)連接數匹配； 

          --connlimit-upton：連接數數量小于等于n，此時應該允許；

          --connlimit-aboven：連接數數量大于n，此時應該拒絕； 

         ~]#iptables -A INPUT -d 172.16.100.67 -p tcp --dport 23 -m connlimit --connlimit-upto2 -j ACCEPT

          limit擴展

            基于收發(fā)報文的速率進行匹配；

          --limitrate[/second|/minute|/hour|/day]：平均速率

          --limit-burstnumber：峰值速率

          state擴展

          state STATE

          狀態(tài)檢測；連接追蹤機制（conntrack）；

               INVALID：無法識別的狀態(tài)；

               ESTABLISHED：已建立的連接；

               NEW：新連接；

               RELATED：相關聯的連接；

               UNTRACKED：未追蹤的連接；

          狀態(tài)追蹤需要掛載nf_conntrack內核模塊；

          追蹤到的連接：/proc/net/nf_conntrack文件中 

          能追蹤的最大連接數量定義在：/proc/sys/net/nf_conntrack_max

          此值可自行定義，建議必要時調整到足夠大；

          不同的協議的連接追蹤的時長：/proc/sys/net/netfilter/  

        e.g.如何開放被模式的ftp服務：

        裝載追蹤ftp協議的模塊；

        ~]#modprobe nf_conntrack_ftp 

        放行命令連接

        ~]# iptables -A INPUT -d 172.16.100.67 -p tcp -m state --state ESTABLISHED -jACCEPT

        ~]# iptables -A INPUT -d 172.16.100.67 -p tcp --dport 21 -m state --state NEW -jACCEPT

        放行數據連接

        ~]iptables -A INPUT -d 172.16.100.67 -p tcp -m state --state RELATED -j ACCEPT

     在FORWARD鏈上定義時需要注意下列幾個問題：

       (1)請求-響應均經由FORWARD鏈，要注意規(guī)則的方向性；

       (2)如果可以啟用conntrack機制，建議將雙方向的狀態(tài)為ESTABLISHED的報文直接放行；

         e.g.僅讓外部主機僅能訪問192.168.10.27主機的httpd服務以及ftpd服務

         1）~]# iptables-A FORWARD 1 -d 192.168.10.27 -p tcp -m multiport --dports 21,80 -m state--state NEW -j ACCEPT

         2）~]# iptables-A FORWARD 3 -d 192.168.10.27 -m state --state ESTABLISHED,RELATED -j ACCEPT

         3）~]# iptables-A FORWARD -s 172.16.0.0/16 -d 192.168.10.27 -j DROP

         4）~]# modprobenf_conntrack_ftp

      自定義鏈：

         iptables-N chain_name  添加一條自定義鏈

         iptables-X chian_name    刪除自定義鏈（刪除前需要清空規(guī)則）

         iptables-E old_name new_name  重命名自定義鏈

         -j  chain_name  引用指定的自定義鏈

           通常自定義鏈最后需要添加一條RETURN已回到之前的主鏈

     處理動作

         ACCEPT：接收

         DROP：丟棄

         REJECT：拒絕

         REDIRECT：重定目標端口，只能使用在nat表上，以及PREROUTING,OUTPUT鏈上面，其他地方要使用則必須引用

         --to-portsport[-port]：映射至哪個目標端口；

         e.g.  將httpd服務的80端口映射至8088端口

         ~]#iptables -t nat -A PREROUTING -d 192.168.10.27 -p tcp --dport 80 -j REDIRECT--to-port 8088

        SNAT：修改源地址，只能使用在nat表上，以及POSTROUTING,INPUT鏈上面，其他地方要使用則必須引用，如果IP地址為動態(tài)引用則使用MASQUERADE

        --to-source  [ipaddr[-ipaddr]][:port[-port]]

        ~]#iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source172.16.10.17

      設置上述規(guī)則后，192.168.0.0網段的主機經過該路由時IP地址都會被轉換為172.16.10.17，從而可以實現內網對外網的各種服務的訪問

       DNAT：修改源地址，只能使用在nat表上，以及PREROUTING,OUTPUT鏈上面，其他地方要使用則必須引用

        --to-destination[ipaddr[-ipaddr]][:port[-port]]

        ~]#iptables -t nat -A PREROUTING -d 172.16.10.17 -p tcp --dport 80 -j DNAT--to-destination 192.168.10.27:8088

      當外部主機訪問172.16.10.17主機的tcp協議的80端口時，會自動轉至內網中的192.168.10.27主機的8088端口

       LOG：日志功能，日志保存在/var/log/messages中

         --log-prefix：給日志添加前綴

         --log-ip-options：日志中記錄IP首部的信息

         e.g.將訪問172.16.10.7主機tcp協議80端口情況記錄日志

         ~]#iptables -A INPUT -d 172.16.10.7 -p tcp --dport 80 -j LOG --log-prefix "STRING"--log-ip-options

三.總結

   添加規(guī)則之時需要考量的問題：

      (1)報文的流經路徑，判斷添加規(guī)則至哪個鏈上；

      (2)確定要實現的功能，判斷添加規(guī)則至哪個表上；

      (3)要指定的匹配條件，以用于匹配目標報文；

    添加規(guī)則后注意優(yōu)化：

      (1)可安全放行所有入站及出站，且狀態(tài)為ESTABLISHED的連接；

      (2)服務于同一類功能的規(guī)則，匹配條件嚴格的放前面，寬松放后面；

      (3)服務于不同類功能的規(guī)則，匹配報文可能性較大擴前面，較小放后面；

      (4)設置默認策略；

        (a)最后一條規(guī)則設定,在每個表的最后添加一條拒絕或接受的默認規(guī)則；

           iptables–A INPUT –d 172.16.10.17 –j DROP

        (b)默認策略設定；

關于如何進行iptables的使用就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。