iptable

iptables防火牆可以用於創建過濾(filter)與NAT規則。所有Linux發行版都能使用iptables，因此理解如何配置iptables將會幫助你更有效地管理Linux防火牆。如果你是第一次接觸iptables，你會覺得它很複雜，但是一旦你理解iptables的工作原理，你會發現其實它很簡單。


一 iptables介紹
首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。iptables-table-chain-rule-structure
圖: IPTables Table, Chain, and Rule Structure
一、iptables的表與鏈
iptables具有Filter, NAT, Mangle, Raw四種內建表：
1. Filter表
Filter表示iptables的默認表，因此如果你沒有自定義表，那麼就默認使用filter表，它具有以下三種內建鏈：

    INPUT鏈 – 處理來自外部的數據。

    OUTPUT鏈 – 處理向外發送的數據。

    FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。

2. NAT表
NAT表有三種內建鏈：

    PREROUTING鏈 – 處理剛到達本機並在路由轉發前的數據包。它會轉換數據包中的目標IP地址（destination ip address），通常用於DNAT(destination NAT)。

    POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址（source ip address），通常用於SNAT（source NAT）。

    OUTPUT鏈 – 處理本機產生的數據包。

3. Mangle表
Mangle表用於指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈：

    PREROUTING

    OUTPUT

    FORWARD

    INPUT

    POSTROUTING

4. Raw表
Raw表用於處理異常，它具有2個內建鏈：

    PREROUTING chain

    OUTPUT chain

5.小結
下圖展示了iptables的三個內建表：
iptables-filter-nat-mangle-tables
spacer.gif                        圖: IPTables 內建表


二 iptables傳輸數據包的過程

① 當一個數據包進入網卡時，它首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否需要轉送出去。
② 如果數據包就是進入本機的，它就會沿着圖向下移動，到達INPUT鏈。數據包到了INPUT鏈後，任何進程都會收到它。本機上運行的程序可以發送數據包，這些數據包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。
③ 如果數據包是要轉發出去的，且內核允許轉發，數據包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

2012081915413532.png



三 iptables的規則表和鏈：

   表（tables）提供特定的功能，iptables內置了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網絡地址轉換、包重構(修改)和數據跟蹤處理。

鏈（chains）是數據包傳播的路徑，每一條鏈其實就是衆多規則中的一個檢查清單，每一條鏈中可以有一條或數條規則。當一個數據包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鏈中任一條規則，iptables就會根據該鏈預先定義的默認策略來處理數據包。

   Iptables採用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈。現在REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關係及作用。

2012081915423341.png


規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾數據包  內核模塊：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用於網絡地址轉換（IP、端口） 內核模塊：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改數據包的服務類型、TTL、並且可以配置路由實現QOS內核模塊：iptable_mangle(別看這個表這麼麻煩，咱們設置策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定數據包是否被狀態跟蹤機制處理  內核模塊：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)
規則鏈：


1.INPUT——進來的數據包應用此規則鏈中的策略
2.OUTPUT——外出的數據包應用此規則鏈中的策略
3.FORWARD——轉發數據包時應用此規則鏈中的策略
4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則
（記住！所有的數據包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對數據包作路由選擇後應用此鏈中的規則
（所有的數據包出來的時侯都先由這個鏈處理）

規則表之間的優先順序：

Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種情況）：

第一種情況：入站數據流向

   從外界到達防火牆的數據包，先被PREROUTING規則鏈處理（是否修改數據包地址等），之後會進行路由選擇（判斷該數據包應該發往何處），如果數據包的目標主機是防火牆本機（比如說Internet用戶訪問防火牆主機中的web服務器的數據包），那麼內核將其傳給INPUT鏈進行處理（決定是否允許通過等），通過以後再交給系統上層的應用程序（比如Apache服務器）進行響應。

第二衝情況：轉發數據流向

   來自外界的數據包到達防火牆後，首先被PREROUTING規則鏈處理，之後會進行路由選擇，如果數據包的目標地址是其它外部地址（比如局域網用戶通過網關訪問QQ站點的數據包），則內核將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然後再交給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

第三種情況：出站數據流向
    防火牆本機向外部地址發送的數據包（比如在防火牆主機中測試公網DNS服務器時），首先被OUTPUT規則鏈處理，之後進行路由選擇，然後傳遞給POSTROUTING規則鏈（是否修改數據包的地址等）進行處理。

管理和設置iptables規則

2012081915432543.jpg

2012081915433774.jpg


二、IPTABLES 規則(Rules)
牢記以下三點式理解iptables規則的關鍵：

    Rules包括一個條件和一個目標(target)

    如果滿足條件，就執行目標(target)中的規則或者特定值。

    如果不滿足條件，就判斷下一條Rules。

目標值（Target Values）
下面是你可以在target裏指定的特殊值：

    ACCEPT – 允許防火牆接收數據包

    DROP – 防火牆丟棄包

    QUEUE – 防火牆將數據包移交到用戶空間

    RETURN – 防火牆停止執行當前鏈中的後續Rules，並返回到調用鏈(the calling chain)中。

如果你執行iptables –list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆，你可以看到，它顯示了默認的filter表，以及表內默認的input鏈, forward鏈, output鏈。
# iptables -t filter –list
Chain INPUT (policy ACCEPT)
target    prot opt source              destination


Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination
查看mangle表：
# iptables -t mangle –list
查看NAT表：
# iptables -t nat –list
查看RAW表：
# iptables -t raw –list
!注意：如果不指定-t選項，就只會顯示默認的filter表。因此，以下兩種命令形式是一個意思：
# iptables -t filter –list
(or)
# iptables –list
以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：
# iptables –list
Chain INPUT (policy ACCEPT)
num        target                 prot    opt        source            destination
1    RH-Firewall-1-INPUT     all       —         0.0.0.0/0         0.0.0.0/0


Chain FORWARD (policy ACCEPT)
num        target                 prot    opt        source            destination
1      RH-Firewall-1-INPUT   all        –      0.0.0.0/0           0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source              destination

Chain RH-Firewall-1-INPUT (2 references)
num  target    prot opt source              destination
1    ACCEPT    all  –  0.0.0.0/0            0.0.0.0/0
2    ACCEPT    icmp –  0.0.0.0/0            0.0.0.0/0          icmp type 255
3    ACCEPT    esp  –  0.0.0.0/0            0.0.0.0/0
4    ACCEPT    ah  –  0.0.0.0/0            0.0.0.0/0
5    ACCEPT    udp  –  0.0.0.0/0            224.0.0.251        udp dpt:5353
6    ACCEPT    udp  –  0.0.0.0/0            0.0.0.0/0          udp dpt:631
7    ACCEPT    tcp  –  0.0.0.0/0            0.0.0.0/0          tcp dpt:631
8    ACCEPT    all  –  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
9    ACCEPT    tcp  –  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
10  REJECT    all  –  0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited
以上輸出包含下列字段：

    num – 指定鏈中的規則編號
    target – 前面提到的target的特殊值
    prot – 協議：tcp, udp, icmp等
    source – 數據包的源IP地址
    destination – 數據包的目標IP地址

三、清空所有iptables規則
在配置iptables之前，你通常需要用iptables –list命令或者iptables-save命令查看有無現存規則，因爲有時需要刪除現有的iptables規則：
iptables –flush
或者
iptables -F
這兩條命令是等效的。但是並非執行後就萬事大吉了。你仍然需要檢查規則是不是真的清空了，因爲有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：
iptables -t NAT -F
四、永久生效
當你刪除、添加規則後，這些更改並不能永久生效，這些規則很有可能在系統重啓後恢復原樣。爲了讓配置永久生效，根據平臺的不同，具體操作也不同。下面進行簡單介紹：
1.Ubuntu
首先，保存現有的規則：
iptables-save > /etc/iptables.rules
然後新建一個bash腳本，並保存到/etc/network/if-pre-up.d/目錄下：
#!/bin/bash
iptables-restore < /etc/iptables.rules
這樣，每次系統重啓後iptables規則都會被自動加載。
！注意：不要嘗試在.bashrc或者.profile中執行以上命令，因爲用戶通常不是root，而且這只能在登錄時加載iptables規則。
2.CentOS, RedHat
# 保存iptables規則
service iptables save


# 重啓iptables服務
service iptables stop
service iptables start
查看當前規則：
cat  /etc/sysconfig/iptables
五、追加iptables規則
可以使用iptables -A命令追加新規則，其中-A表示Append。因此，新的規則將追加到鏈尾。
一般而言，最後一條規則用於丟棄(DROP)所有數據包。如果你已經有這樣的規則了，並且使用-A參數添加新規則，那麼就是無用功。
1.語法
iptables -A chain firewall-rule

    -A chain – 指定要追加規則的鏈

    firewall-rule – 具體的規則參數

2.描述規則的基本參數
以下這些規則參數用於描述數據包的協議、源地址、目的地址、允許經過的網絡接口，以及如何處理這些數據包。這些描述是對規則的基本描述。
-p 協議（protocol）

    指定規則的協議，如tcp, udp, icmp等，可以使用all來指定所有協議。

    如果不指定-p參數，則默認是all值。這並不明智，請總是明確指定協議名稱。

    可以使用協議名(如tcp)，或者是協議值（比如6代表tcp）來指定協議。映射關係請查看/etc/protocols

    還可以使用–protocol參數代替-p參數

-s 源地址（source）

    指定數據包的源地址

    參數可以使IP地址、網絡地址、主機名

    例如：-s 192.168.1.101指定IP地址

    例如：-s 192.168.1.10/24指定網絡地址

    如果不指定-s參數，就代表所有地址

    還可以使用–src或者–source

-d 目的地址（destination）

    指定目的地址

    參數和-s相同

    還可以使用–dst或者–destination

-j 執行目標（jump to target）

    -j代表”jump to target”

    -j指定了當與規則(Rule)匹配時如何處理數據包

    可能的值是ACCEPT, DROP, QUEUE, RETURN

    還可以指定其他鏈（Chain）作爲目標

-i 輸入接口（input interface）

    -i代表輸入接口(input interface)

    -i指定了要處理來自哪個接口的數據包

    這些數據包即將進入INPUT, FORWARD, PREROUTE鏈

    例如：-i eth0指定了要處理經由eth0進入的數據包

    如果不指定-i參數，那麼將處理進入所有接口的數據包

    如果出現! -i eth0，那麼將處理所有經由eth0以外的接口進入的數據包

    如果出現-i eth+，那麼將處理所有經由eth開頭的接口進入的數據包

    還可以使用–in-interface參數

-o 輸出（out interface）

    -o代表”output interface”

    -o指定了數據包由哪個接口輸出

    這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈

    如果不指定-o選項，那麼系統上的所有接口都可以作爲輸出接口

    如果出現! -o eth0，那麼將從eth0以外的接口輸出

    如果出現-i eth+，那麼將僅從eth開頭的接口輸出

    還可以使用–out-interface參數

3.描述規則的擴展參數
對規則有了一個基本描述之後，有時候我們還希望指定端口、TCP標誌、ICMP類型等內容。
–sport 源端口（source port）針對 -p tcp 或者 -p udp

    缺省情況下，將匹配所有端口

    可以指定端口號或者端口名稱，例如”–sport 22″與”–sport ssh”。

    /etc/services文件描述了上述映射關係。

    從性能上講，使用端口號更好

    使用冒號可以匹配端口範圍，如”–sport 22:100″

    還可以使用”–source-port”

–-dport 目的端口（destination port）針對-p tcp 或者 -p udp

    參數和–sport類似

    還可以使用”–destination-port”

-–tcp-flags TCP標誌 針對-p tcp

    可以指定由逗號分隔的多個參數

    有效值可以是：SYN, ACK, FIN, RST, URG, PSH

    可以使用ALL或者NONE

-–icmp-type ICMP類型 針對-p icmp

    –icmp-type 0 表示Echo Reply

    –icmp-type 8 表示Echo

4.追加規則的完整實例：僅允許SSH服務
本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。
# 1.清空所有iptables規則
iptables -F


# 2.接收目標端口爲22的數據包
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

# 3.拒絕所有其他數據包
iptables -A INPUT -j DROP
六、更改默認策略
上例的例子僅對接收的數據包過濾，而對於要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行爲。
1. 默認鏈策略
/!\警告：請勿在遠程連接的服務器、虛擬機上測試！
當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有policy ACCEPT標註，這表明當前鏈的默認策略爲ACCEPT：
# iptables -L
Chain INPUT (policy ACCEPT)
target    prot opt source              destination
ACCEPT    tcp  –  anywhere            anywhere            tcp dpt:ssh
DROP      all  –  anywhere            anywhere


Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination
這種情況下，如果沒有明確添加DROP規則，那麼默認情況下將採用ACCEPT策略進行過濾。除非：
a)爲以上三個鏈單獨添加DROP規則：
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP
b)更改默認策略：
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
糟糕！！如果你嚴格按照上一節的例子配置了iptables，並且現在使用的是SSH進行連接的，那麼會話恐怕已經被迫終止了！
爲什麼呢？因爲我們已經把OUTPUT鏈策略更改爲DROP了。此時雖然服務器能接收數據，但是無法發送數據：
# iptables -L
Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  –  anywhere            anywhere            tcp dpt:ssh
DROP      all  –  anywhere            anywhere


Chain FORWARD (policy DROP)
target    prot opt source              destination

Chain OUTPUT (policy DROP)
target    prot opt source              destination
七、配置應用程序規則
儘管5.4節已經介紹瞭如何初步限制除SSH以外的其他連接，但是那是在鏈默認策略爲ACCEPT的情況下實現的，並且沒有對輸出數據包進行限制。本節在上一節基礎上，以SSH和HTTP所使用的端口爲例，教大家如何在默認鏈策略爲DROP的情況下，進行防火牆設置。在這裏，我們將引進一種新的參數-m state，並檢查數據包的狀態字段。
1.SSH
# 1.允許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT


# 2.允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

    -m state: 啓用狀態匹配模塊（state matching module）

    –-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時，狀態字段爲NEW；建立連接後數據包的狀態字段都是ESTABLISHED

    –sport 22: sshd監聽22端口，同時也通過該端口和客戶端建立連接、傳送數據。因此對於SSH服務器而言，源端口就是22

    –dport 22: ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對於SSH客戶端而言，目的端口就是22

如果服務器也需要使用SSH連接其他遠程主機，則還需要增加以下配置：
# 1.送出的數據包目的端口爲22
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT


# 2.接收的數據包源端口爲22
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
2.HTTP
HTTP的配置與SSH類似：
# 1.允許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT


# 1.允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
3.完整的配置
# 1.刪除現有規則
iptables -F


# 2.配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 3.允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 4.允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
References
[1] Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals
[2] IPTables Flush: Delete / Remove All Rules On RedHat and CentOS Linux
[3] Linux IPTables: How to Add Firewall Rules (With Allow SSH Example)
[4] Linux IPTables: Incoming and Outgoing Rule Examples (SSH and HTTP)
[5] 25 Most Frequently Used Linux IPTables Rules Examples
[6] man 8 iptables