作者:洋芋居士
iptables的結構:
iptables由上而下,由Tables,Chains,Rules組成。
一、iptables的表tables與鍊chains
iptables有Filter, NAT, Mangle, Raw四種内建表:
1. Filter表
Filter是iptables的預設表,它有以下三種内建鍊(chains):
INPUT鍊
OUTPUT鍊
FORWARD鍊
2. NAT表
NAT表有三種内建鍊:
PREROUTING鍊
POSTROUTING鍊
OUTPUT鍊
3. Mangle表
Mangle表用于指定如何處理資料包。它能改變TCP頭中的QoS位。Mangle表具有5個内建鍊(chains):
- PREROUTING
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
4. Raw表
Raw表用于處理異常,它具有2個内建鍊:
PREROUTING chain
OUTPUT chain
5.小結
二、IPTABLES 規則(Rules)
規則的關鍵知識點:
Rules包括一個條件和一個目标(target)
如果滿足條件,就執行目标(target)中的規則或者特定值。
如果不滿足條件,就判斷下一條Rules。
目标值(Target Values)
在target裡指定的特殊值:
ACCEPT
DROP
QUEUE
RETURN
檢視各表中的規則指令
# iptables -t filter --list 檢視mangle表:
# iptables -t mangle --list 檢視NAT表:
# iptables -t nat --list 檢視RAW表:
# iptables -t raw --list 以下例子表明在filter表的input鍊, forward鍊, output鍊中存在規則:
# iptables --list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 以上輸出包含下列字段:
num – 指定鍊中的規則編号
target – 前面提到的target的特殊值prot – 協定:tcp, udp, icmp等source – 資料包的源IP位址destination – 資料包的目标IP位址
三、清空所有iptables規則
在配置iptables之前,你通常需要用iptables --list指令或者iptables-save指令檢視有無現存規則,因為有時需要删除現有的iptables規則:
iptables --flush
或者
iptables -F 下面指令是清除iptables nat表規則。
iptables -t nat -F 四、永久生效
當你删除、添加規則後,這些更改并不能永久生效,這些規則很有可能在系統重新開機後恢複原樣。如下配置讓配置永久生效。
# 儲存iptables規則
service iptables save
# 重新開機iptables服務
service iptables stop
service iptables start 檢視目前規則:
cat /etc/sysconfig/iptables 五、追加iptables規則
可以使用iptables -A指令追加新規則,其中-A表示Append。是以,新的規則将追加到鍊尾。一般而言,最後一條規則用于丢棄(DROP)所有資料包。如果你已經有這樣的規則了,并且使用-A參數添加新規則,那麼就是無用功。
1.文法
iptables -A chain firewall-rule -A chain – 指定要追加規則的鍊
firewall-rule – 具體的規則參數
2.描述規則的基本參數
以下這些規則參數用于描述資料包的協定、源位址、目的位址、允許經過的網絡接口,以及如何處理這些資料包。這些描述是對規則的基本描述。
-p 協定(protocol)
指定規則的協定,如tcp, udp, icmp等,可以使用all來指定所有協定。
如果不指定-p參數,則預設是all值。這并不明智,請總是明确指定協定名稱。
可以使用協定名(如tcp),或者是協定值(比如6代表tcp)來指定協定。映射關系請檢視/etc/protocols
還可以使用–protocol參數代替-p參數
-s 源位址(source)
指定資料包的源位址
參數可以使IP位址、網絡位址、主機名
例如:-s 192.168.1.101指定IP位址
例如:-s 192.168.1.10/24指定網絡位址
如果不指定-s參數,就代表所有位址
還可以使用–src或者–source
-d 目的位址(destination)
指定目的位址
參數和-s相同
還可以使用–dst或者–destination
-j 執行目标(jump to target)
-j代表”jump to target”
-j指定了當與規則(Rule)比對時如何處理資料包
可能的值是ACCEPT, DROP, QUEUE, RETURN
還可以指定其他鍊(Chain)作為目标
-i 輸入接口(input interface)
-i代表輸入接口(input interface)
-i指定了要處理來自哪個接口的資料包
這些資料包即将進入INPUT, FORWARD, PREROUTE鍊
例如:-i eth0指定了要處理經由eth0進入的資料包
如果不指定-i參數,那麼将處理進入所有接口的資料包
如果出現! -i eth0,那麼将處理所有經由eth0以外的接口進入的資料包
如果出現-i eth+,那麼将處理所有經由eth開頭的接口進入的資料包
還可以使用–in-interface參數
-o 輸出(out interface)
-o代表”output interface”
-o指定了資料包由哪個接口輸出
這些資料包即将進入FORWARD, OUTPUT, POSTROUTING鍊
如果不指定-o選項,那麼系統上的所有接口都可以作為輸出接口
如果出現! -o eth0,那麼将從eth0以外的接口輸出
如果出現-i eth+,那麼将僅從eth開頭的接口輸出
還可以使用–out-interface參數 3.描述規則的擴充參數
對規則有了一個基本描述之後,有時候我們還希望指定端口、TCP标志、ICMP類型等内容。
–sport 源端口(source port)針對 -p tcp 或者 -p udp
預設情況下,将比對所有端口
可以指定端口号或者端口名稱,例如”–sport 22″與”–sport ssh”。
/etc/services檔案描述了上述映射關系。
從性能上講,使用端口号更好
使用冒号可以比對端口範圍,如”–sport 22:100″
還可以使用”–source-port”
–-dport 目的端口(destination port)針對-p tcp 或者 -p udp
參數和–sport類似
還可以使用”–destination-port”
-–tcp-flags TCP标志 針對-p tcp
可以指定由逗号分隔的多個參數
有效值可以是:SYN, ACK, FIN, RST, URG, PSH
可以使用ALL或者NONE
-–icmp-type ICMP類型 針對-p icmp
–icmp-type 0 表示Echo Reply
–icmp-type 8 表示Echo 4.追加規則的完整執行個體:僅允許SSH服務
本例實作的規則将僅允許SSH資料包通過本地計算機,其他一切連接配接(包括ping)都将被拒絕。
# 1.清空所有iptables規則
iptables -F
# 2.接收目标端口為22的資料包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# 3.拒絕所有其他資料包
iptables -A INPUT -j DROP 六、更改預設政策
上例的例子僅對接收的資料包過濾,而對于要發送出去的資料包卻沒有任何限制。本節主要介紹如何更改鍊政策,以改變鍊的行為。
1. 預設鍊政策
/!\警告:請勿在遠端連接配接的伺服器、虛拟機上測試!
當我們使用-L選項驗證目前規則是發現,所有的鍊旁邊都有policy ACCEPT标注,這表明目前鍊的預設政策為ACCEPT:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination 這種情況下,如果沒有明确添加DROP規則,那麼預設情況下将采用ACCEPT政策進行過濾。除非:a)為以上三個鍊單獨添加DROP規則:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP b)更改預設政策:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP 糟糕!!如果你嚴格按照上一節的例子配置了iptables,并且現在使用的是SSH進行連接配接的,那麼會話恐怕已經被迫終止了!
為什麼呢?因為我們已經把OUTPUT鍊政策更改為DROP了。此時雖然伺服器能接收資料,但是無法發送資料:
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination 七、配置應用程式規則
盡管5.4節已經介紹了如何初步限制除SSH以外的其他連接配接,但是那是在鍊預設政策為ACCEPT的情況下實作的,并且沒有對輸出資料包進行限制。本節在上一節基礎上,以SSH和HTTP所使用的端口為例,教大家如何在預設鍊政策為DROP的情況下,進行防火牆設定。在這裡,我們将引進一種新的參數-m state,并檢查資料包的狀态字段。
1.SSH
# 1.允許接收遠端主機的SSH請求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2.允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT - -m state:
- –-state:
- –sport 22:
- –dport 22:
如果伺服器也需要使用SSH連接配接其他遠端主機,則還需要增加以下配置:
# 1.送出的資料包目的端口為22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2.接收的資料包源端口為22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 2.HTTP
HTTP的配置與SSH類似:
# 1.允許接收遠端主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# 1.允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT 3.完整的配置
# 1.删除現有規則
iptables -F
# 2.配置預設鍊政策
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 3.允許遠端主機進行SSH連接配接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 4.允許本地主機進行SSH連接配接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT 配置轉發端口示例
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE NAT規則實戰舉例:
需求
把本地的mysql 3306端口映射出去變成63306,外面連接配接的語句是
mysql -uroot -p'password' -h xxxxx -P 63306 注:當通路63306的時候,會自動去請求3306,然後傳回資料。
實作
先允許資料包轉發
echo 1 >/proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.conf.eth0.route_localnet=1
sysctl -w net.ipv4.conf.default.route_localnet=1 nat規則
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1 注:這是允許所有外來的IP通路,慎用。
我們來做個ip限制,限制單個來源IP
iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306
iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1 檢視nat規則
iptables -L -t nat --line-number 删除nat規則
iptables -t nat -D POSTROUTING 1
-A 追加規則-->iptables -A INPUT
-D 删除規則-->iptables -D INPUT 1(編号)
-R 修改規則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現行規則,順序不變(1是位置)
-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則,原本位置上的規則将會往後移動一個順位
-L 檢視規則-->iptables -L INPUT 列出規則鍊中的所有規則
-N 新的規則-->iptables -N allowed 定義新的規則 ![【網絡篇】第五篇——網絡套接字程式設計(一)(socket詳解)socket程式設計LINUX下socket程式的示範[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)