linux下防火牆iptables原理及使用 iptables簡介 netfilter/iptables(簡稱爲iptables)組成Linux平臺下的包過濾防火牆,與大多數的Linux軟件一樣,這個包過濾防火牆是免費的,它可以代替昂貴的商業防火牆解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。 iptables基礎
iptables和netfilter的關係: 這是第一個要說的地方,Iptables和netfilter的關係是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是 netfilter,它是Linux內核中實現包過濾的內部結構。 iptables傳輸數據包的過程 ① 當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否需要轉送出去。
表(tables)提供特定的功能,iptables內置了4個表,即filter表、nat表、mangle表和raw表,分別用於實現包過濾,網絡地址轉換、包重構(修改)和數據跟蹤處理。 鏈(chains)是數據包傳播的路徑,每一條鏈其實就是衆多規則中的一個檢查清單,每一條鏈中可以有一 條或數條規則。當一個數據包到達一個鏈時,iptables就會從鏈中第一條規則開始檢查,看該數據包是否滿足規則所定義的條件。如果滿足,系統就會根據 該條規則所定義的方法處理該數據包;否則iptables將繼續檢查下一條規則,如果該數據包不符合鏈中任一條規則,iptables就會根據該鏈預先定 義的默認策略來處理數據包。
1.filter表——三個鏈:INPUT、FORWARD、OUTPUT 規則鏈:
Raw——mangle——nat——filter 第一種情況:入站數據流向 從外界到達防火牆的數據包,先被PREROUTING規則鏈處理(是否修改數據包地址等),之後會進行路由選擇(判斷該數據包應該發往何處),如果數據包 的目標主機是防火牆本機(比如說Internet用戶訪問防火牆主機中的web服務器的數據包),那麼內核將其傳給INPUT鏈進行處理(決定是否允許通 過等),通過以後再交給系統上層的應用程序(比如Apache服務器)進行響應。 第二衝情況:轉發數據流向 第三種情況:出站數據流向 管理和設置iptables規則
iptables的基本語法格式 iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉] iptables命令的管理控制選項 -A 在指定鏈的末尾添加(append)一條新的規則 -D 刪除(delete)指定鏈中的某一條規則,可以按規則序號和內容刪除 -I 在指定鏈中插入(insert)一條新的規則,默認在第一行添加 -R 修改、替換(replace)指定鏈中的某一條規則,可以按規則序號和內容替換 -L 列出(list)指定鏈中所有的規則進行查看 防火牆處理數據包的四種方式 ACCEPT 允許數據包通過
iptables防火牆規則的保存與恢復 iptables-save把規則保存到文件中,再由目錄rc.d下的腳本(/etc/rc.d/init.d/iptables)自動裝載 使用命令iptables-save來保存規則。一般用 iptables-save > /etc/sysconfig/iptables 生成保存規則的文件 /etc/sysconfig/iptables, 也可以用 service iptables save 它能把規則自動保存在/etc/sysconfig/iptables中。 當計算機啓動時,rc.d下的腳本將用命令iptables-restore調用這個文件,從而就自動恢復了規則。
刪除INPUT鏈的第一條規則 iptables -D INPUT 1 iptables防火牆常用的策略
iptables -I INPUT -p icmp -j REJECT
2.允許防火牆轉發除ICMP協議以外的所有數據包 iptables -A FORWARD -p ! icmp -j ACCEPT 說明:使用“!”可以將條件取反。
3.拒絕轉發來自192.168.1.10主機的數據,允許轉發來自192.168.0.0/24網段的數據 iptables -A FORWARD -s 192.168.1.11 -j REJECT 說明:注意要把拒絕的放在前面不然就不起作用了啊。
4.丟棄從外網接口(eth1)進入防火牆本機的源地址爲私網地址的數據包 iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
5.封堵網段(192.168.1.0/24),兩小時後解封。 # iptables -I INPUT -s 10.20.30.0/24 -j DROP 說明:這個策略咱們藉助crond計劃任務來完成,就再好不過了。
6.只允許管理員從202.13.0.0/16網段使用SSH遠程登錄防火牆主機。 iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT 說明:這個用法比較適合對設備進行遠程管理時使用,比如位於分公司中的SQL服務器需要被總公司的管理員管理時。
7.允許本機開放從TCP端口20-1024提供的應用服務。 iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
8.允許轉發來自192.168.0.0/24局域網段的DNS解析請求數據包。 iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
9.禁止其他主機ping防火牆主機,但是允許從防火牆上ping其他主機 iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
10.禁止轉發來自MAC地址爲00:0C:29:27:55:3F的和主機的數據包 iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP 說明:iptables中使用“-m 模塊關鍵字”的形式調用顯示匹配。咱們這裏用“-m mac –mac-source”來表示數據包的源MAC地址。
11.允許防火牆本機對外開放TCP端口20、21、25、110以及被動模式FTP端口1250-1280 iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT 說明:這裏用“-m multiport –dport”來指定目的端口及範圍
12.禁止轉發源IP地址爲192.168.1.20-192.168.1.99的TCP數據包。 iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP 說明:此處用“-m –iprange –src-range”指定IP範圍。
13.禁止轉發與正常TCP連接無關的非—syn請求數據包。 iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP 說明:“-m state”表示數據包的連接狀態,“NEW”表示與任何連接無關的,新的嘛!
14.拒絕訪問防火牆的新數據包,但允許響應連接或與已有連接相關的數據包 iptables -A INPUT -p tcp -m state --state NEW -j DROP 說明:“ESTABLISHED”表示已經響應請求或者已經建立連接的數據包,“RELATED”表示與已建立的連接有相關性的,比如FTP數據連接等。 15.只開放本機的web服務(80)、FTP(20、21、20450-20480),放行外部主機發住服務器其它端口的應答數據包,將其他入站數據包均予以丟棄處理。 iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT |
http://user.qzone.qq.com/1547462309/blog/1455606919