iptables 防火墙

• iptables 防火墙功能
  • 工作于网络或主机边缘
  • 进出本主机的网络数据包按照事先定义好的匹配规则进行检查
  • 对能够被规则所匹配的数据包按照规则定义的处理机制进行处理

1.0 4表5链对应关系和规则的功能和属性

4表	5链
filter [过滤表]	INPUT	FORWARD	OUTPUT
nat [地址转换表]	PREROUTING	POSTROUTING	OUTPUT
mangle [包标记表]	PREROUTING [路由前]	POSTROUTING [路由后]	INPUT [进入防火墙服务器的数据包]	OUTPUT [从防火墙出去的数据包]	FORWARD [转发]
raw [状态跟踪]	PREROUTING	OUTPUT
网络层协议属性	ip
传输层协议属性	tcp、udp、icmp

2.0 iptables [filter 过滤表]

- 选项
- 语法
- 标准匹配
  - 通用匹配
  - 扩展匹配
    - 隐含扩展
    - 显示扩展

iptables 选项

-t {filter|nat|mangle|raw}      # 4个表
-L: list
    -n: 			# 数字格式显示IP和PORT
    -v: 			# 显示详细信息 -vv, -vvv
    --line-numbers: 		# 显示链规则的行号
    -x: 			# 显示精确值,不要单位换算
# 其它子命令
管理链:
    -F:      			# 清空链中规则
    -P:      			# 设定默认策略
        iptables -t filter -P INPUT {DROP|AEECPT}
    -N:      			# 新建一条自定义链
        iptables -N FILTER_WEB
    -X:      			# 删除自定义的空链
    -Z:      			# 计算器清零
        iptables -Z
    -E:      			# 重命名自定义链
管理规则:
    -A:      			# 附加
    -I [n]:  			# 插入到第n条
    -D [n]:  			# 删除第n条规则
    -R [n]:  			# 替换第n条规则

iptables 语法

iptables [-t 表] 大写选项子命令 [规则号] 链名 匹配标准 -j 目标
    目标:(也可以是自定义链)
        DROP:   		# 丢弃
        REJECT: 		# 拒绝
        ACCEPT: 		# 接受
        RETURN: 		# 由自定义链返回主链
        REDIRECT:   		# 端口重定向
        DNAT:       		# 目标地址转换
        SNAT:       		# 源地址转换
        LOG:        		# 查看记录日志
        MARK:       		# 打防火墙标记

标准匹配: 通用匹配

通用匹配
    # s 源地址
    -s|--src|--source [!] IP		# ! 指反选
    # d 目标地址
    -d|--dst|--destination [!] IP/NETWORK
        例: iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.100 -j ACCEPT
        
    -i  incoming_interface: 指定数据包流入接口    [INPUT PREROURTING FORWARD]
        例: iptables -R INPUT 1 -s 172.16.0.0/16 -d 172.16.100.100 -i eth0 -j ACCEPT
        
    -o  outing_interface: 指定数据包流出接口  [OUTPUT POSTROUTING FORWARD]
    # p 协议
    -p  (tcp|udp|icmp)
        例: iptables -R INPUT 1 -s 172.16.0.0/16 -d 172.16.100.100 -i eth0 -p tcp -j ACCEPT

标准匹配: 扩展匹配_隐含扩展

扩展匹配: 要使用"-m 扩展名称"来引用,而每个扩展模块一般都会有自己特有的专用选项;这些选项有些是必备的
    隐含扩展: (使用时不用使用-m指定,但可以使用)(隐含扩展就是对3种协议使用-p指定以后,不再使用-m这种方式指定的一种称呼)
        -p tcp
          --sport 21-25|80,90 或者 --sport ! 22		# 21-25连续端口|80,90不连续端口
          --dport
          --tcp-flags 要检查的标志 必须为1的标记
            --tcp-flages SYN,ACK,RST,FIN SYN		# 检查SYN,ACK,RST,FIN标志位,但SYN为1
            --tcp-flages ALL NONE			# 所有标志位都检查,但所有都为0
            --syn

        	例: 放行本机对web服务的访问
        	    iptables -A INPUT -d 172.16.100.100 -p tcp --dport 80 -j ACCEPT
        	    iptables -A OUTPUT -s 172.16.100.100 -p tcp --sport 80 -j ACCEPT
        	例: 放行22服务端口
        	    iptables -I INPUT 1 -s 172.16.0.0/16 -d 172.16.100.100 -p tcp --dport 22 -j ACCEPT
        	    iptables -D INPUT 2
        -p udp  # udp只有端口匹配,没有其它扩展
        	--sport
            --dport
        	例: 本机DNS服务器, 要为本地客户端做递归解析 iptables的INPUT, OUTPUT默认为DROP,本机地址: 172.16.100.100
        	    # 别人响应自己(自己请求别人)
        	    iptables -A OUTPUT -s 172.16.100.100 -p udp --sport 53 -j ACCEPT
        	    iptables -A INPUT -d 172.16.100.100 -p udp --dport 53 -j ACCEPT
        	    # 自己响应别人(被别人请求我)
        	    iptables -A INPUT -d 172.16.100.100 -p udp --dport 53 -j ACCEPT
        	    iptables -A OUTPUT -s 172.16.100.100 -p udp --sport 53 -j ACCEPT
        -p icmp
        	--icmp-type
            	请求: 8
            	响应: 0
        	例: ping作为客户端和作为服务端的区别(自己ping别人和别人ping自己的区别)
        	    # 自己ping别人
        	    iptables -A OUTPUT -s 172.16.100.100 -d 172.16.0.0/16 -p icmp --icmp-type 8 -j ACCEPT
        	    iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.100 -p -icmp --icmp-type 0 -j ACCEPT
        	    # 别人ping自己
        	    iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.100 -p icmp --icmp-type 8 -j ACCEPT
        	    iptables -A OUTPUT -s 172.16.100.100 -d 172.16.0.0/16 -p icmp --icmp-type 0 -j ACCEPT

标准匹配: 扩展匹配_显示扩展

显示扩展: (使用时一定要使用-m指定)
	-m state --state 				# 指定状态(state),常用选项(--state)
    	NEW, ESTABLISHED, RELATED, INVALID
        	-m state --state INVALID		# 非法的,无法识别的连接(所有标志位都为0和1的,都为无法识别的连接)
            -m state --state RELATED			# 所有的数据连接跟此前的命令连接,建立过关系的
                iptables -I INPUT 1 -s 172.16.0.0/16 -d 172.16.100.100 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
                iptables -I OUTPUT 1 -s 172.16.100.100 -d 172.16.0.0/16 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
            
        # 状态检测
            iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
            iptables -R OUTPUT 2 -s 172.16.100.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
        # 多端口匹配
        -m multiport (可以指定15个以内的非连续端口)
            --source-ports				# 匹配源端口
            --destination-ports				# 匹配目标端口
            --ports					# 不分源和目标
                iptables -I INPUT 2 -s 172.16.0.0/16 -d 172.16.100.100 -p tcp -m state --state NEW -m multiport --destination-ports 22,80 -j ACCEPT
        -m iprange (指定IP范围[172.16.100.1-172.16.100.100])
            --src-range
            --dst-range
        -m limit (速率匹配)
            --limit 20/min				# 每分钟多少个请求进来
            --limit-burst 2				# 每一个批次多少个请求进来
                # ping的请求每分钟20个,每一个批次只允许5个进来
                iptables -I INPUT 2 -s 172.16.0.0/16 -d 172.16.100.100 -p -icmp --icmp-type 8 -m limit 20/min --limit-burst 5 -j ACCEPT	

3.0 保持规则与导入规则

# 保存规则
service iptables save
iptables-save > /etc/sysconfig/iptables

# 从备份规则文件导入配置
iptables-restore < /path/to/iptables.rules

微信

加微信,入技术群

微信

• 本文作者： [email protected]
• 本文链接： https://www.ink8s.com/2023/01/05/iptables-防火墙/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！