Linux下 iptables 超詳細教程和使用示例
iptables的結構:
iptables由上而下,由Tables,Chains,Rules組成。
一、iptables的表tables與鏈chains
iptables有Filter, NAT, Mangle, Raw四種內建表:
1. Filter表
Filter是iptables的默認表,它有以下三種內建鏈(chains):
INPUT鏈 – 處理來自外部的數據。
OUTPUT鏈 – 處理向外發送的數據。
FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。
2. NAT表
NAT表有三種內建鏈:
PREROUTING鏈 – 處理剛到達本機并在路由轉發前的數據包。它會轉換數據包中的目標IP地址(destination ip address),通常用于DNAT(destination NAT)。
POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
OUTPUT鏈 – 處理本機產生的數據包。
3. Mangle表
Mangle表用于指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈(chains):
- PREROUTING
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
4. Raw表
Raw表用于處理異常,它具有2個內建鏈:
PREROUTING chain
OUTPUT chain
5.小結
二、IPTABLES 規則(Rules)
規則的關鍵知識點:
Rules包括一個條件和一個目標(target)
如果滿足條件,就執行目標(target)中的規則或者特定值。
如果不滿足條件,就判斷下一條Rules。
目標值(Target Values)
在target里指定的特殊值:
ACCEPT – 允許防火墻接收數據包
DROP – 防火墻丟棄包
QUEUE – 防火墻將數據包移交到用戶空間
RETURN – 防火墻停止執行當前鏈中的后續Rules,并返回到調用鏈(the calling chain)中。
查看各表中的規則命令
# iptables -t filter --list
查看mangle表:
# iptables -t mangle --list
查看NAT表:
# iptables -t nat --list
查看RAW表:
# iptables -t raw --list
以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則:
# iptables --list Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
以上輸出包含下列字段:
- num – 指定鏈中的規則編號
- target – 前面提到的target的特殊值prot – 協議:tcp, udp, icmp等source – 數據包的源IP地址destination – 數據包的目標IP地址
三、清空所有iptables規則
在配置iptables之前,你通常需要用iptables --list命令或者iptables-save命令查看有無現存規則,因為有時需要刪除現有的iptables規則:
iptables --flush 或者 iptables -F
下面命令是清除iptables nat表規則。
iptables -t nat -F
四、永久生效
當你刪除、添加規則后,這些更改并不能永久生效,這些規則很有可能在系統重啟后恢復原樣。如下配置讓配置永久生效。
# 保存iptables規則 service iptables save # 重啟iptables服務 service iptables stop service iptables start
查看當前規則:
cat /etc/sysconfig/iptables
五、追加iptables規則
可以使用iptables -A命令追加新規則,其中-A表示Append。因此,新的規則將追加到鏈尾。
一般而言,最后一條規則用于丟棄(DROP)所有數據包。如果你已經有這樣的規則了,并且使用-A參數添加新規則,那么就是無用功。
1.語法
iptables -A chain firewall-rule
- -A chain – 指定要追加規則的鏈
- firewall-rule – 具體的規則參數
2.描述規則的基本參數
以下這些規則參數用于描述數據包的協議、源地址、目的地址、允許經過的網絡接口,以及如何處理這些數據包。這些描述是對規則的基本描述。
-p 協議(protocol)
指定規則的協議,如tcp, udp, icmp等,可以使用all來指定所有協議。
如果不指定-p參數,則默認是all值。這并不明智,請總是明確指定協議名稱。
可以使用協議名(如tcp),或者是協議值(比如6代表tcp)來指定協議。映射關系請查看/etc/protocols
還可以使用–protocol參數代替-p參數
-s 源地址(source)
指定數據包的源地址
參數可以使IP地址、網絡地址、主機名
例如:-s 192.168.1.101指定IP地址
例如:-s 192.168.1.10/24指定網絡地址
如果不指定-s參數,就代表所有地址
還可以使用–src或者–source
-d 目的地址(destination)
指定目的地址
參數和-s相同
還可以使用–dst或者–destination
-j 執行目標(jump to target)
-j代表”jump to target”
-j指定了當與規則(Rule)匹配時如何處理數據包
可能的值是ACCEPT, DROP, QUEUE, RETURN
還可以指定其他鏈(Chain)作為目標
-i 輸入接口(input interface)
-i代表輸入接口(input interface)
-i指定了要處理來自哪個接口的數據包
這些數據包即將進入INPUT, FORWARD, PREROUTE鏈
例如:-i eth0指定了要處理經由eth0進入的數據包
如果不指定-i參數,那么將處理進入所有接口的數據包
如果出現! -i eth0,那么將處理所有經由eth0以外的接口進入的數據包
如果出現-i eth+,那么將處理所有經由eth開頭的接口進入的數據包
還可以使用–in-interface參數
-o 輸出(out interface)
-o代表”output interface”
-o指定了數據包由哪個接口輸出
這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈
如果不指定-o選項,那么系統上的所有接口都可以作為輸出接口
如果出現! -o eth0,那么將從eth0以外的接口輸出
如果出現-i eth+,那么將僅從eth開頭的接口輸出
還可以使用–out-interface參數
3.描述規則的擴展參數
對規則有了一個基本描述之后,有時候我們還希望指定端口、TCP標志、ICMP類型等內容。
–sport 源端口(source port)針對 -p tcp 或者 -p udp 缺省情況下,將匹配所有端口 可以指定端口號或者端口名稱,例如”–sport 22″與”–sport ssh”。 /etc/services文件描述了上述映射關系。 從性能上講,使用端口號更好 使用冒號可以匹配端口范圍,如”–sport 22:100″ 還可以使用”–source-port” –-dport 目的端口(destination port)針對-p tcp 或者 -p udp 參數和–sport類似 還可以使用”–destination-port” -–tcp-flags TCP標志 針對-p tcp 可以指定由逗號分隔的多個參數 有效值可以是:SYN, ACK, FIN, RST, URG, PSH 可以使用ALL或者NONE -–icmp-type ICMP類型 針對-p icmp –icmp-type 0 表示Echo Reply –icmp-type 8 表示Echo
4.追加規則的完整實例:僅允許SSH服務
本例實現的規則將僅允許SSH數據包通過本地計算機,其他一切連接(包括ping)都將被拒絕。
# 1.清空所有iptables規則 iptables -F # 2.接收目標端口為22的數據包 iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # 3.拒絕所有其他數據包 iptables -A INPUT -j DROP
六、更改默認策略
上例的例子僅對接收的數據包過濾,而對于要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略,以改變鏈的行為。
1. 默認鏈策略
/!\警告:請勿在遠程連接的服務器、虛擬機上測試!
當我們使用-L選項驗證當前規則是發現,所有的鏈旁邊都有policy ACCEPT標注,這表明當前鏈的默認策略為ACCEPT:
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh DROP all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
這種情況下,如果沒有明確添加DROP規則,那么默認情況下將采用ACCEPT策略進行過濾。除非:
a)為以上三個鏈單獨添加DROP規則:
iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP
b)更改默認策略:
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
糟糕!!如果你嚴格按照上一節的例子配置了iptables,并且現在使用的是SSH進行連接的,那么會話恐怕已經被迫終止了!
為什么呢?因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然服務器能接收數據,但是無法發送數據:
# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh DROP all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination
七、配置應用程序規則
盡管5.4節已經介紹了如何初步限制除SSH以外的其他連接,但是那是在鏈默認策略為ACCEPT的情況下實現的,并且沒有對輸出數據包進行限制。本節在上一節基礎上,以SSH和HTTP所使用的端口為例,教大家如何在默認鏈策略為DROP的情況下,進行防火墻設置。在這里,我們將引進一種新的參數-m state,并檢查數據包的狀態字段。
1.SSH
# 1.允許接收遠程主機的SSH請求 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # 2.允許發送本地主機的SSH響應 iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
- -m state: 啟用狀態匹配模塊(state matching module)
- –-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時,狀態字段為NEW;建立連接后數據包的狀態字段都是ESTABLISHED
- –sport 22: sshd監聽22端口,同時也通過該端口和客戶端建立連接、傳送數據。因此對于SSH服務器而言,源端口就是22
- –dport 22: ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對于SSH客戶端而言,目的端口就是22
如果服務器也需要使用SSH連接其他遠程主機,則還需要增加以下配置:
# 1.送出的數據包目的端口為22 iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # 2.接收的數據包源端口為22 iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
2.HTTP
HTTP的配置與SSH類似:
# 1.允許接收遠程主機的HTTP請求 iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT # 1.允許發送本地主機的HTTP響應 iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
3.完整的配置
# 1.刪除現有規則 iptables -F # 2.配置默認鏈策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # 3.允許遠程主機進行SSH連接 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 4.允許本地主機進行SSH連接 iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 5.允許HTTP請求 iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
配置轉發端口示例
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02 iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE
NAT規則實戰舉例:
需求
把本地的mysql 3306端口映射出去變成63306,外面連接的語句是
mysql -uroot -p'password' -h xxxxx -P 63306
注:當訪問63306的時候,會自動去請求3306,然后返回數據。
實現
先允許數據包轉發
echo 1 >/proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.conf.eth0.route_localnet=1 sysctl -w net.ipv4.conf.default.route_localnet=1
nat規則
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306 iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1
注:這是允許所有外來的IP訪問,慎用。
我們來做個ip限制,限制單個來源IP
iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306 iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1
注:這是只給外網的192.168.40.154連接, 其他的都連不上,
修改規則(4代表編號, --line-number可查看對應編號, -s 指定來源IP)。
查看nat規則
iptables -L -t nat --line-number
刪除nat規則
iptables -t nat -D POSTROUTING 1-A 追加規則-->iptables -A INPUT-D 刪除規則-->iptables -D INPUT 1(編號)-R 修改規則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現行規則,順序不變(1是位置)-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則,原本位置上的規則將會往后移動一個順位-L 查看規則-->iptables -L INPUT 列出規則鏈中的所有規則-N 新的規則-->iptables -N allowed 定義新的規
