作        者 |   土豆居士

微信公眾號 | 一口Linux

iptables的結構:

iptables由上而下,由Tables,Chains,Rules組成。

一、iptables的表tables與鏈chains

iptables有Filter, NAT, Mangle, Raw四種內建表:

1． Filter表

Filter是iptables的默認表,它有以下三種內建鏈(chains):

INPUT鏈 – 處理來自外部的數據。

OUTPUT鏈 – 處理向外發送的數據。

FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。

2． NAT表

NAT表有三種內建鏈:

PREROUTING鏈 – 處理剛到達本機并在路由轉發前的數據包。它會轉換數據包中的目標IP地址(destination ip address),通常用于DNAT(destination NAT)。

POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址(source ip address),通常用于SNAT(source NAT)。

OUTPUT鏈 – 處理本機產生的數據包。

3． Mangle表

Mangle表用于指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈(chains):

PREROUTING

OUTPUT

FORWARD

INPUT

POSTROUTING

4． Raw表

Raw表用于處理異常,它具有2個內建鏈:

PREROUTING chain

OUTPUT chain

5．小結二、IPTABLES 規則(Rules)

規則的關鍵知識點:

Rules包括一個條件和一個目標(target)

如果滿足條件,就執行目標(target)中的規則或者特定值。

如果不滿足條件,就判斷下一條Rules。

目標值(Target Values)

在target里指定的特殊值:

ACCEPT – 允許防火墻接收數據包

DROP – 防火墻丟棄包

QUEUE – 防火墻將數據包移交到用戶空間

RETURN – 防火墻停止執行當前鏈中的后續Rules,并返回到調用鏈(the calling chain)中。

查看各表中的規則命令

# iptables -t filter --list

查看mangle表:

# iptables -t mangle --list

查看NAT表:

# iptables -t nat --list

查看RAW表:

# iptables -t raw --list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則:

# iptables --list
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0．0．0．0/0            0．0．0．0/0
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    RH-Firewall-1-INPUT  all  --  0．0．0．0/0            0．0．0．0/0
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
Chain RH-Firewall-1-INPUT (2 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  0．0．0．0/0            0．0．0．0/0
2    ACCEPT     icmp --  0．0．0．0/0            0．0．0．0/0           icmp type 255
3    ACCEPT     esp  --  0．0．0．0/0            0．0．0．0/0
4    ACCEPT     ah   --  0．0．0．0/0            0．0．0．0/0
5    ACCEPT     udp  --  0．0．0．0/0            224．0．0．251         udp dpt:5353
6    ACCEPT     udp  --  0．0．0．0/0            0．0．0．0/0           udp dpt:631
7    ACCEPT     tcp  --  0．0．0．0/0            0．0．0．0/0           tcp dpt:631
8    ACCEPT     all  --  0．0．0．0/0            0．0．0．0/0           state RELATED,ESTABLISHED
9    ACCEPT     tcp  --  0．0．0．0/0            0．0．0．0/0           state NEW tcp dpt:22
10   REJECT     all  --  0．0．0．0/0            0．0．0．0/0           reject-with icmp-host-prohibited

以上輸出包含下列字段:

num – 指定鏈中的規則編號
target – 前面提到的target的特殊值prot – 協議:tcp, udp, icmp等source – 數據包的源IP地址destination – 數據包的目標IP地址

三、清空所有iptables規則

在配置iptables之前,你通常需要用iptables --list命令或者iptables-save命令查看有無現存規則,因為有時需要刪除現有的iptables規則:

iptables --flush
或者
iptables -F

下面命令是清除iptables nat表規則。

iptables -t nat -F
四、永久生效

當你刪除、添加規則后,這些更改并不能永久生效,這些規則很有可能在系統重啟后恢復原樣。如下配置讓配置永久生效。

# 保存iptables規則
service iptables save
# 重啟iptables服務
service iptables stop
service iptables start

查看當前規則:

cat  /etc/sysconfig/iptables
五、追加iptables規則

可以使用iptables -A命令追加新規則,其中-A表示Append。因此,新的規則將追加到鏈尾。
一般而言,最后一條規則用于丟棄(DROP)所有數據包。如果你已經有這樣的規則了,并且使用-A參數添加新規則,那么就是無用功。

1．語法iptables -A chain firewall-rule

-A chain – 指定要追加規則的鏈

firewall-rule – 具體的規則參數

2．描述規則的基本參數

以下這些規則參數用于描述數據包的協議、源地址、目的地址、允許經過的網絡接口,以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議(protocol)  指定規則的協議,如tcp, udp, icmp等,可以使用all來指定所有協議。  如果不指定-p參數,則默認是all值。這并不明智,請總是明確指定協議名稱。  可以使用協議名(如tcp),或者是協議值(比如6代表tcp)來指定協議。映射關系請查看/etc/protocols  還可以使用–protocol參數代替-p參數-s 源地址(source)  指定數據包的源地址  參數可以使IP地址、網絡地址、主機名  例如:-s 192．168．1．101指定IP地址  例如:-s 192．168．1．10/24指定網絡地址  如果不指定-s參數,就代表所有地址  還可以使用–src或者–source-d 目的地址(destination)  指定目的地址  參數和-s相同  還可以使用–dst或者–destination-j 執行目標(jump to target)  -j代表”jump to target”  -j指定了當與規則(Rule)匹配時如何處理數據包  可能的值是ACCEPT, DROP, QUEUE, RETURN  還可以指定其他鏈(Chain)作為目標-i 輸入接口(input interface)  -i代表輸入接口(input interface)  -i指定了要處理來自哪個接口的數據包    這些數據包即將進入INPUT, FORWARD, PREROUTE鏈  例如:-i eth0指定了要處理經由eth0進入的數據包  如果不指定-i參數,那么將處理進入所有接口的數據包  如果出現! -i eth0,那么將處理所有經由eth0以外的接口進入的數據包  如果出現-i eth+,那么將處理所有經由eth開頭的接口進入的數據包  還可以使用–in-interface參數-o 輸出(out interface)  -o代表”output interface”  -o指定了數據包由哪個接口輸出  這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈  如果不指定-o選項,那么系統上的所有接口都可以作為輸出接口  如果出現! -o eth0,那么將從eth0以外的接口輸出  如果出現-i eth+,那么將僅從eth開頭的接口輸出  還可以使用–out-interface參數

3．描述規則的擴展參數

對規則有了一個基本描述之后,有時候我們還希望指定端口、TCP標志、ICMP類型等內容。

–sport 源端口(source port)針對 -p tcp 或者 -p udp  缺省情況下,將匹配所有端口  可以指定端口號或者端口名稱,例如”–sport 22″與”–sport ssh”。  /etc/services文件描述了上述映射關系。  從性能上講,使用端口號更好  使用冒號可以匹配端口范圍,如”–sport 22:100″  還可以使用”–source-port”–-dport 目的端口(destination port)針對-p tcp 或者 -p udp  參數和–sport類似  還可以使用”–destination-port”-–tcp-flags TCP標志 針對-p tcp  可以指定由逗號分隔的多個參數  有效值可以是:SYN, ACK, FIN, RST, URG, PSH  可以使用ALL或者NONE-–icmp-type ICMP類型 針對-p icmp  –icmp-type 0 表示Echo Reply  –icmp-type 8 表示Echo

4．追加規則的完整實例:僅允許SSH服務

本例實現的規則將僅允許SSH數據包通過本地計算機,其他一切連接(包括ping)都將被拒絕。

# 1．清空所有iptables規則
iptables -F
# 2．接收目標端口為22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# 3．拒絕所有其他數據包
iptables -A INPUT -j DROP
六、更改默認策略

上例的例子僅對接收的數據包過濾,而對于要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略,以改變鏈的行為。

1． 默認鏈策略

/!警告:請勿在遠程連接的服務器、虛擬機上測試!
當我們使用-L選項驗證當前規則是發現,所有的鏈旁邊都有policy ACCEPT標注,這表明當前鏈的默認策略為ACCEPT:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

這種情況下,如果沒有明確添加DROP規則,那么默認情況下將采用ACCEPT策略進行過濾。除非:
a)為以上三個鏈單獨添加DROP規則:

iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

b)更改默認策略:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

糟糕!!如果你嚴格按照上一節的例子配置了iptables,并且現在使用的是SSH進行連接的,那么會話恐怕已經被迫終止了!
為什么呢?因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然服務器能接收數據,但是無法發送數據:

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
DROP       all  --  anywhere             anywhere            
Chain FORWARD (policy DROP)
target     prot opt source               destination        
Chain OUTPUT (policy DROP)
target     prot opt source               destination
七、配置應用程序規則

盡管5．4節已經介紹了如何初步限制除SSH以外的其他連接,但是那是在鏈默認策略為ACCEPT的情況下實現的,并且沒有對輸出數據包進行限制。本節在上一節基礎上,以SSH和HTTP所使用的端口為例,教大家如何在默認鏈策略為DROP的情況下,進行防火墻設置。在這里,我們將引進一種新的參數-m state,并檢查數據包的狀態字段。

1．SSH# 1．允許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2．允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

-m state: 啟用狀態匹配模塊(state matching module)

–-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時,狀態字段為NEW;建立連接后數據包的狀態字段都是ESTABLISHED

–sport 22: sshd監聽22端口,同時也通過該端口和客戶端建立連接、傳送數據。因此對于SSH服務器而言,源端口就是22

–dport 22: ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對于SSH客戶端而言,目的端口就是22

如果服務器也需要使用SSH連接其他遠程主機,則還需要增加以下配置:

# 1．送出的數據包目的端口為22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2．接收的數據包源端口為22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
2．HTTP

HTTP的配置與SSH類似:

# 1．允許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# 1．允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
3．完整的配置# 1．刪除現有規則
iptables -F
# 2．配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 3．允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 4．允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 5．允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

配置轉發端口示例

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38．X25．X．X02
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADENAT規則實戰舉例:需求

把本地的mysql 3306端口映射出去變成63306,外面連接的語句是

mysql -uroot -p'password' -h xxxxx -P 63306

注:當訪問63306的時候,會自動去請求3306,然后返回數據。

實現

先允許數據包轉發

echo 1 >/proc/sys/net/ipv4/ip_forwardsysctl -w net．ipv4．conf．eth0．route_localnet=1sysctl -w net．ipv4．conf．default．route_localnet=1

nat規則

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127．0．0．1:3306iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127．0．0．1

注:這是允許所有外來的IP訪問,慎用。

我們來做個ip限制,限制單個來源IP

iptables -t nat -R PREROUTING 4 -s 192．168．40．154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127．0．0．1:3306iptables -t nat -R POSTROUTING 4 -s 192．168．40．154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127．0．0．1

注:這是只給外網的192．168．40．154連接, 其他的都連不上,

修改規則(4代表編號, --line-number可查看對應編號, -s 指定來源IP)。

查看nat規則iptables -L -t nat --line-number刪除nat規則

iptables -t nat -D POSTROUTING 1-A 追加規則-->iptables -A INPUT-D 刪除規則-->iptables -D INPUT 1(編號)-R 修改規則-->iptables -R INPUT 1 -s 192．168．12．0 -j DROP 取代現行規則,順序不變(1是位置)-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則,原本位置上的規則將會往后移動一個順位-L 查看規則-->iptables -L INPUT 列出規則鏈中的所有規則-N 新的規則-->iptables -N allowed 定義新的規則