Iptables防火墙

1、Ip tables防火墙 netfilter :指的是Linux内核中实现包过滤防火墙的内部结构，属 于“内核态”。 ip tables :指的是用来管理Linux防火墙的命令程序，通常位于 /sbin/iptables，属于“用户态”。 Ip tables的表、链结构 四个规则表 表名 作用 包含的链 filter 用来对数据包进行过滤 INPUT FORWARD OUTPUT nat NAT地址转换 P REROUTING P OSTROUTING OUTPUT mangle 用来修改数据包的TO（服务类型）、 TTL,或者为数据包设置Mark标记 P REROUTING POSTROUT

2、ING INPUT OUT PUT FORWARD raw 对数据包进行状态跟踪 OUT PUT P REROUTING 五个规则链 INPUT链：入站时，应用链中规则 OUT PUT链：出站时，应用链中规则 FORWARD链：转发数据时，应用链中规则 P REROUTING!:数据包路由前，应用链中规则 PO STROUTIN（链：数据包路由后，应用链中规则 规则表之间的顺序 当数据抵达防火墙时，将依次应用rawf manglef natf filter 表中规则 规则链之间的顺序 入站数据流向： PREROUTINGf INPUT 转发数据流向： PREROUTINGf FORWARDf

3、POSTROUTING 出站数据流向： OUTPUTf POPSTROUTING 控制命令 iptables 基本语法 iptables -t 表名 管理选项 链名 匹配条件 -j 动作 如果是 filter 表，表名可以省略，而省略链名则表示所有链。 动作类型有 ACCEP：T 运行 DROP丢弃 REJECT 拒绝，必要时会发送响应信息 LOG记录日志 所有链的默认规则都是 ACCEPT 例如：拒绝给本机发送 ICMP 请求 iptables -t filter -I INPUT -p icmp -j DROP 管理选项 -A 在指定链尾插入 -I 在指定链首插入 -D 删除指定的规则，可

4、以用规则序号或具体内容 -R 修改、替换指定链中的某一条规则 -L 查看指定链，若没指定链名，则列出表中所有链 -F 清空指定链，若没指定链名，则清空表中所有链 -P 设置指定链的默认规则 -n 以数字形式显示输出结果 -v 详细查看 -h 查看命令帮助信息 -li ne-nu mbers 显示序号，可以简写成-line 查看filter表中INPUT链，以数字形式显示，并显示序号 ip tables -L -n INPUT -line/-n、丄可以简写成-nL 删除filter表INPUT中第三条规则 ip tables -D INPUT 3 清空filter表中INPUT链 ip tabl

5、es -F INPUT 设置filter表中INPUT链的默认规则为 DROP ip tables -P INPUT DROP 、编写数据过滤匹配规则 1、协议匹配 使用“ -p”匹配协议 丢弃ICMP协议数据包，允许转发除ICMP协议以外的数据包 iptables -I INPUT -p icmp -j DROP iptables -A FORWARD -p! icmp -j ACCEPT / “!”表示取反 2、地址匹配 -s 源地址”或“ -d 目标地址”， IP 地址、网段、主机名、 域名都是可以的。 拒绝目标地址为 /24 的所有请求 iptables -I I

6、NPUT -d 2/ 4 -j DROP 3、网络接口匹配 -i 接口名”和“ -o 接口名”，用于检查数据包从防火墙的 哪个接口进入或发出（-i在INPUT链使用，-0在OUT PUT链使用） 丢弃从 eth1 进来且地址为 0 的所有数据 iptables -A INPUT -i eth1 -s 0 -j DROP 允许从 eth1 出去地址为 的数据 iptables -A OUTPUT -o eth1 -s -j DROP 4、端口匹配 -sport 源端口”或“ -dpo

7、rt 目标端口”，连续的端口可以 用“ :”分割端口范围，但不能表示不连续的多个端口 开放本机的 20、21、22、23 端口的连接请求 iptables -A INPUT -p tcp -dport 20:23 -j ACCEPT 5、多端口匹配 使用“ -m multiport -dports-sports ”匹配多个端口， 多个端 口以逗号分隔。 iptables -A INPUT -p tcp -m multiport -dports 22,80 -j ACCEPT 6、ip 范围匹配 使用“ -m iprange -src-range -dst-range” 匹配地址段 iptabl

8、es -A FORWARD -p tcp -m iprange -src-range 1-0 -j ACCEPT 7、MAC地址匹配 使用“ -m mac -mac-source” 匹酉己 iptables -A INPUT -m mac -mac-source 00:00:ff:ff:ff:ff -j ACCEPT 8、状态匹配 使用“ -m state -tate”匹配连接状态，常见的连接状态有 NET （与任何连接无关的，即新连接）、ESTABLISHED向应请求或已 建立连接 ）、 RELATED（ 与已有连接有关的，如 ftp 数据连接 ）

9、 iptables -A INPUT -p tcp -m state -state ESTABLISHED,RELATED -j ACCEPT 二、FORWARD链 当服务器开启转发功能， 在转发数据包时会应用此链中的规 则。 1、启用 ipv4 路由转发功能。 vi /etc/sysctl.conf net.ipv4.ip_forward=1 / 0为关闭， 1为开启 syscti -p / 重新读取配置 2、临时启用路由转发 echo 1 /proc/sys/net/ipv4/ip_forward 或者： syscti -w net.ipv4.ip_forward=1 三、配置NAT功能

10、首先需要开启路由转发功能。 1、SNAT策略的应用 SNAT策略只能在 nat表的 POSTROUTING链，使用 “-to-source ”来指定修改后的源地址 共享固定 ip 地址 iptabies -t nat -A POSTROUTING-s /24 -o eth0 -j SNAT -to-source 1 共享动态 ip 地址 使用MASQUERADED装策略，对于拨号连接来说，连接名称 通常为 ppp0， ppp1 等。 iptabies -t nat -A POSTROUTING-s /24 -o ppp0 -j

11、MASQUERADE 2、DNAT策略概述 DNAT和 SNAT非常相似，不过应用方向反过来了， DNAT用来 修改目标ip地、目标端口，类似路由器中的端口映射；DNAT只 能在nat表的PREROUTING链和OUTPUT链。 ip tables -t nat -A P REROUTINGi ethO -d 1 -p tcp -dport 80 -j DNAT -to-dest ination ip tables -t nat -A P REROUTINGi eth0 -d 1 -p tcp -dport 2345 -j DN

12、AT -to-desti nation :22 一些特殊服务，通过DNAT进行发布时，为了保持网络连接的 相关性，需要额外加载一些内核模块方可正常使用。例如，在发 布内网的ftp时，除了针对20，21及被动模块的端口设置 DNAT 策略以外，还需加载ip_nat_ftP、ip_conntrack_ftp模块 mod probe ip_n at_ft p mod probe ip_c onn track_ft p 保存、还原配置 只能保存filter表 配己置文件：/etc/sysc on fig/i ptables 中，重启会读取其中的 将规贝y写入 cat /etc/sysconfig/iptables 配置 iptables-save -t 表名 / 查看某表配置，默认是