Linux 下 iptables 超詳細教程和使用示例
iptables 的結構:
iptables 由上而下,由 Tables,Chains,Rules 組成。
一、iptables 的表 tables 與鏈 chains
iptables 有 Filter, NAT, Mangle, Raw 四種內建表:
1. Filter 表
OUTPUT 鏈 – 處理向外發送的數據。
FORWARD 鏈 – 將數據轉發到本機的其他網卡設備上。
2. NAT 表
NAT 表有三種內建鏈:
PREROUTING 鏈 – 處理剛到達本機並在路由轉發前的數據包。它會轉換數據包中的目標 IP 地址(destination ip address),通常用於 DNAT(destination NAT)。
POSTROUTING 鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源 IP 地址(source ip address),通常用於 SNAT(source NAT)。
OUTPUT 鏈 – 處理本機產生的數據包。
3. Mangle 表
Mangle 表用於指定如何處理數據包。它能改變 TCP 頭中的 QoS 位。Mangle 表具有 5 個內建鏈(chains):
-
PREROUTING
-
OUTPUT
-
FORWARD
-
INPUT
-
POSTROUTING
4. Raw 表
Raw 表用於處理異常,它具有 2 個內建鏈:
PREROUTING chain
OUTPUT chain
5. 小結
二、IPTABLES 規則 (Rules)
規則的關鍵知識點:
Rules 包括一個條件和一個目標 (target)
如果滿足條件,就執行目標 (target) 中的規則或者特定值。
如果不滿足條件,就判斷下一條 Rules。
目標值(Target Values)
在 target 裏指定的特殊值:
ACCEPT – 允許防火牆接收數據包
DROP – 防火牆丟棄包
QUEUE – 防火牆將數據包移交到用戶空間
RETURN – 防火牆停止執行當前鏈中的後續 Rules,並返回到調用鏈 (the calling chain) 中。
查看各表中的規則命令
# iptables -t filter --list查看 mangle 表:
# iptables -t mangle --list查看 NAT 表:
# iptables -t nat --list查看 RAW 表:
# iptables -t raw --list以下例子表明在 filter 表的 input 鏈, forward 鏈, output 鏈中存在規則:
# iptables --list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited以上輸出包含下列字段:
- num – 指定鏈中的規則編號
target – 前面提到的 target 的特殊值 prot – 協議:tcp, udp, icmp 等 source – 數據包的源 IP 地址 destination – 數據包的目標 IP 地址
三、清空所有 iptables 規則
在配置 iptables 之前,你通常需要用 iptables --list 命令或者 iptables-save 命令查看有無現存規則,因爲有時需要刪除現有的 iptables 規則:
iptables --flush
或者
iptables -F下面命令是清除 iptables nat 表規則。
iptables -t nat -F四、永久生效
當你刪除、添加規則後,這些更改並不能永久生效,這些規則很有可能在系統重啓後恢復原樣。如下配置讓配置永久生效。
# 保存iptables規則
service iptables save
# 重啓iptables服務
service iptables stop
service iptables start查看當前規則:
cat /etc/sysconfig/iptables五、追加 iptables 規則
可以使用 iptables -A 命令追加新規則,其中 -A 表示 Append。因此,新的規則將追加到鏈尾。
一般而言,最後一條規則用於丟棄 (DROP) 所有數據包。如果你已經有這樣的規則了,並且使用 -A 參數添加新規則,那麼就是無用功。
1. 語法
iptables -A chain firewall-rule-
-A chain – 指定要追加規則的鏈
-
firewall-rule – 具體的規則參數
2. 描述規則的基本參數
以下這些規則參數用於描述數據包的協議、源地址、目的地址、允許經過的網絡接口,以及如何處理這些數據包。這些描述是對規則的基本描述。
-p 協議(protocol)
指定規則的協議,如tcp, udp, icmp等,可以使用all來指定所有協議。
如果不指定-p參數,則默認是all值。這並不明智,請總是明確指定協議名稱。
可以使用協議名(如tcp),或者是協議值(比如6代表tcp)來指定協議。映射關係請查看/etc/protocols
還可以使用–protocol參數代替-p參數
-s 源地址(source)
指定數據包的源地址
參數可以使IP地址、網絡地址、主機名
例如:-s 192.168.1.101指定IP地址
例如:-s 192.168.1.10/24指定網絡地址
如果不指定-s參數,就代表所有地址
還可以使用–src或者–source
-d 目的地址(destination)
指定目的地址
參數和-s相同
還可以使用–dst或者–destination
-j 執行目標(jump to target)
-j代表”jump to target”
-j指定了當與規則(Rule)匹配時如何處理數據包
可能的值是ACCEPT, DROP, QUEUE, RETURN
還可以指定其他鏈(Chain)作爲目標
-i 輸入接口(input interface)
-i代表輸入接口(input interface)
-i指定了要處理來自哪個接口的數據包
這些數據包即將進入INPUT, FORWARD, PREROUTE鏈
例如:-i eth0指定了要處理經由eth0進入的數據包
如果不指定-i參數,那麼將處理進入所有接口的數據包
如果出現! -i eth0,那麼將處理所有經由eth0以外的接口進入的數據包
如果出現-i eth+,那麼將處理所有經由eth開頭的接口進入的數據包
還可以使用–in-interface參數
-o 輸出(out interface)
-o代表”output interface”
-o指定了數據包由哪個接口輸出
這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈
如果不指定-o選項,那麼系統上的所有接口都可以作爲輸出接口
如果出現! -o eth0,那麼將從eth0以外的接口輸出
如果出現-i eth+,那麼將僅從eth開頭的接口輸出
還可以使用–out-interface參數3. 描述規則的擴展參數
對規則有了一個基本描述之後,有時候我們還希望指定端口、TCP 標誌、ICMP 類型等內容。
–sport 源端口(source port)針對 -p tcp 或者 -p udp
缺省情況下,將匹配所有端口
可以指定端口號或者端口名稱,例如”–sport 22″與”–sport ssh”。
/etc/services文件描述了上述映射關係。
從性能上講,使用端口號更好
使用冒號可以匹配端口範圍,如”–sport 22:100″
還可以使用”–source-port”
–-dport 目的端口(destination port)針對-p tcp 或者 -p udp
參數和–sport類似
還可以使用”–destination-port”
-–tcp-flags TCP標誌 針對-p tcp
可以指定由逗號分隔的多個參數
有效值可以是:SYN, ACK, FIN, RST, URG, PSH
可以使用ALL或者NONE
-–icmp-type ICMP類型 針對-p icmp
–icmp-type 0 表示Echo Reply
–icmp-type 8 表示Echo4. 追加規則的完整實例:僅允許 SSH 服務
本例實現的規則將僅允許 SSH 數據包通過本地計算機,其他一切連接(包括 ping)都將被拒絕。
# 1.清空所有iptables規則
iptables -F
# 2.接收目標端口爲22的數據包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# 3.拒絕所有其他數據包
iptables -A INPUT -j DROP六、更改默認策略
上例的例子僅對接收的數據包過濾,而對於要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略,以改變鏈的行爲。
1. 默認鏈策略
/!\ 警告:請勿在遠程連接的服務器、虛擬機上測試!
當我們使用 - L 選項驗證當前規則是發現,所有的鏈旁邊都有 policy ACCEPT 標註,這表明當前鏈的默認策略爲 ACCEPT:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination這種情況下,如果沒有明確添加 DROP 規則,那麼默認情況下將採用 ACCEPT 策略進行過濾。除非:
a) 爲以上三個鏈單獨添加 DROP 規則:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROPb) 更改默認策略:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP糟糕!!如果你嚴格按照上一節的例子配置了 iptables,並且現在使用的是 SSH 進行連接的,那麼會話恐怕已經被迫終止了!
爲什麼呢?因爲我們已經把 OUTPUT 鏈策略更改爲 DROP 了。此時雖然服務器能接收數據,但是無法發送數據:
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination七、配置應用程序規則
儘管 5.4 節已經介紹瞭如何初步限制除 SSH 以外的其他連接,但是那是在鏈默認策略爲 ACCEPT 的情況下實現的,並且沒有對輸出數據包進行限制。本節在上一節基礎上,以 SSH 和 HTTP 所使用的端口爲例,教大家如何在默認鏈策略爲 DROP 的情況下,進行防火牆設置。在這裏,我們將引進一種新的參數 - m state,並檢查數據包的狀態字段。
1.SSH
# 1.允許接收遠程主機的SSH請求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2.允許發送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT-
-m state: 啓用狀態匹配模塊(state matching module)
-
–-state: 狀態匹配模塊的參數。當 SSH 客戶端第一個數據包到達服務器時,狀態字段爲 NEW;建立連接後數據包的狀態字段都是 ESTABLISHED
-
–sport 22: sshd 監聽 22 端口,同時也通過該端口和客戶端建立連接、傳送數據。因此對於 SSH 服務器而言,源端口就是 22
-
–dport 22: ssh 客戶端程序可以從本機的隨機端口與 SSH 服務器的 22 端口建立連接。因此對於 SSH 客戶端而言,目的端口就是 22
如果服務器也需要使用 SSH 連接其他遠程主機,則還需要增加以下配置:
# 1.送出的數據包目的端口爲22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 2.接收的數據包源端口爲22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT2.HTTP
HTTP 的配置與 SSH 類似:
# 1.允許接收遠程主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# 1.允許發送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT3. 完整的配置
# 1.刪除現有規則
iptables -F
# 2.配置默認鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 3.允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 4.允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT配置轉發端口示例
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADENAT 規則實戰舉例:
需求
把本地的 mysql 3306 端口映射出去變成 63306,外面連接的語句是
mysql -uroot -p'password' -h xxxxx -P 63306注:當訪問 63306 的時候,會自動去請求 3306,然後返回數據。
實現
先允許數據包轉發
echo 1 >/proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.conf.eth0.route_localnet=1
sysctl -w net.ipv4.conf.default.route_localnet=1nat 規則
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1注:這是允許所有外來的 IP 訪問,慎用。
我們來做個 ip 限制,限制單個來源 IP
iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306
iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1注:這是隻給外網的 192.168.40.154 連接, 其他的都連不上,
修改規則 (4 代表編號, --line-number 可查看對應編號, -s 指定來源 IP)。
查看 nat 規則
iptables -L -t nat --line-number刪除 nat 規則
iptables -t nat -D POSTROUTING 1
-A 追加規則-->iptables -A INPUT
-D 刪除規則-->iptables -D INPUT 1(編號)
-R 修改規則-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代現行規則,順序不變(1是位置)
-I 插入規則-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一條規則,原本位置上的規則將會往後移動一個順位
-L 查看規則-->iptables -L INPUT 列出規則鏈中的所有規則
-N 新的規則-->iptables -N allowed 定義新的規則本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/nK1tq3ED3xiLCnLSHvYyXA