iptables的简单使用

作为出题人，考虑到学弟们不会肝通宵猝死，就需要关闭web题目。当时百度说用iptables结果华丽的失败了，最后还是潇洒的断网来拒绝服务。后来还是重新看了一下这个命令，发现还真是好用啊…

原理来自老师ppt，命令详解转自http://blog.chinaunix.net/uid-26495963-id-3279216.html

基本原理

先回顾一下防火墙的原理吧

• 防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。
• 包过滤分为：静态包过滤、状态包过滤.
• 静态包过滤：在IP层只根据IP包的源及目的地址，协议类型，端口号进行过滤，安全性较差，不能应对现在复杂的网络应用

iptables相关概念：

• netfilter/iptabels是与Linux内核集成的包过滤防火墙系统，简称iptables。
• 几乎所有的linux发行版本都会包含iptables的功能，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。
• 在linux 内核中的模块被称为 netfilter。

tables相关概念：
iptables内置了filter，nat和mangle三张表,分别用于实现包过滤，网络地址转换和包重构的功能。

• filter负责过滤数据包，包括的规则链有input，output和forward。
• nat则涉及到网络地址转换，包括的规则链有prerouting，postrouting和output；
• mangle表则主要应用在修改数据包内容上，用来做流量整形的，默认的规则链有：INPUT，OUTPUT，NAT，POSTROUTING，PREROUTING
• input匹配目的IP是本机的数据包。
• output匹配源IP是本机的数据包。
• forward匹配流经本机的数据包。
• prerouting用来修改目的地址用来做DNAT。
• postrouting用来修改源地址用来做SNAT。

chains相关概念：

• 链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。
• 如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

rules相关概念：

• 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。
• 配置防火墙的主要工作就是添加、修改和删除这些规则。
• 注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。
  
  

iptables传输数据包的过程：

1. 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据路由表和数据包目的IP判断是否需要转送出去。
2. 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
3. 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。
   
   

iptables操作

规则写法：

格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

• -t table ：3个filter nat mangle，默认是filter
• COMMAND：定义如何对规则进行管理
• chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的
• CRETIRIA:指定匹配标准
• -j ACTION :指定如何进行处理

比如：不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
当然你如果想拒绝的更彻底：
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT
查看定义规则的详细信息:
iptables -L -n -v

COMMAND详解：

chains管理：

-P :设置默认策略的，默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的
比如：
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。

-F: FLASH，
清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有链
        
-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
   
-X: 用于删除用户自定义的空链
使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了
     
-E：用来Rename chain主要是用来给用户自定义的链重命名
       
-Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）

rules管理：

-A：追加规则
         
-I num : 插入规则。比如说：-I 3 表示插入为第三条
         
-R num：替换/修改第几条规则
         
-D num：删除第几条规则

查看管理：

参数是-L，子命令如下：

-n：
以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。
	 
-v：显示详细信息
	 
-vv
	 
-vvv :越多越详细
	 
-x：在计数器上显示精确值
	 
--line-numbers : 显示规则的行号
	 
-t nat：显示所有的关卡的信息

CRETIRIA详解：

地址匹配：

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反，加一个“!”表示除了哪个IP之外
 
-d：表示匹配目标地址，使用同-s

-p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）
	 
-i eth0：从这块网卡流入的数据，流入一般用在INPUT和PREROUTING上

-o eth0：从这块网卡流出的数据，流出一般在OUTPUT和POSTROUTING上

协议扩展：

• -p tcp :TCP协议的扩展。一般有三种扩展

  --dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如:--dport 21  或者 --dport 21-23 (此时表示21,22,23)
  --sport：指定源端口
  --tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）
  	    对于它，一般要跟两个参数：
  		1.检查的标志位
  		2.必须为1的标志位
  		--tcp-flags syn,ack,fin,rst syn   =    --syn
  		表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn

• -p udp：UDP协议的扩展

  --dport
  --sport

• -p icmp：icmp数据报文的扩展

  --icmp-type：
  echo-request(请求回显)，一般用8 来表示
  所以 --icmp-type 8 匹配请求回显数据包
  echo-reply （响应的数据包）一般用0来表示

显式扩展(-m)

扩展各种模块

• -m multiport:表示启用多端口扩展

  打开21，23,80这三个不连续端口
  -m multiport --dports 21,23,80

• -m mac –mac-source:表示mac源地址

  源mac地址为00:0c:29:27:55:3F
  -m mac --mac-source 00:0c:29:27:55:3F

• -m –iprange –src-range:表示源IP范围

  源IP地址为192.168.1.20-192.168.1.99
  -m iprange --src-range 192.168.1.20-192.168.1.99

• -m state –state：表示数据包连接状态

  新的数据包
  -m state --state NEW

ACTION详解：

常用的ACTION：

• DROP：悄悄丢弃，一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表
• REJECT：明示拒绝
• ACCEPT：接受
• custom_chain：转向一个自定义的链
• MASQUERADE：源地址伪装
• REDIRECT：重定向：主要用于实现端口重定向
• MARK：打防火墙标记的
• RETURN：返回，在自定义链执行完毕后使用返回，来返回原规则链
  
  

记录一下常见的命令：

• 只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务
  分析：首先肯定是在允许表中定义的。因为不需要做NAT地址转换之类的，然后查看我们SSHD服务，在22号端口上，处理机制是接受，对于这个表，需要有一来一回两个规则，如果我们允许也好，拒绝也好，对于访问本机服务，我们最好是定义在INPUT链上，而OUTPUT再予以定义就好。(会话的初始端先定义)，所以加规则就是：

  定义进来的： iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT
  定义出去的： iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT
  将默认策略改成DROP:
  	iptables -P INPUT DROP
  	iptables -P OUTPUT DROP
  	iptables -P FORWARD DROP

• 假如我们允许自己ping别人，但是别人ping自己ping不通如何实现呢？
  分析：对于ping这个协议，进来的为8（ping），出去的为0(响应).我们为了达到目的，需要8出去,允许0进来，也就相当于我们要求我们只发送请求包，接收响应包(符合ping别人的要求，不符合别人ping自己的要求)

  在出去的端口上：iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
  在进来的端口上：iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

结果如下：
没设规则之前，双方都能ping通


设了规则

此时只能ping别人，别人ping不到了

• 拒绝进入防火墙的所有ICMP协议数据包

  iptables -I INPUT -p icmp -j REJECT

• 允许防火墙转发出ICMP协议外所有数据包

  iptables -A FORWARD -p !icmp -j ACCEPT

• 拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段

  iptables -A FORWARD -s 192.168.1.11 -j REJECT 
  iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

说明：注意要把拒绝的放在前面不然就不起作用了啊。

• 封堵网段(192.168.1.0/24)，两小时后解封

  # iptables -I INPUT -s 192.168.1.0/24 -j DROP 
  # iptables -I FORWARD -s 192.168.1.0/24 -j DROP 
  # at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

• 只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

  iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -j DROP

• 允许本机开放从TCP端口20-1024提供的应用服务。

  iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
  iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

• 允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

  iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT 
  iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

• 禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包

  iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。

• 允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

  iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

说明：这里用“-m multiport –dport”来指定目的端口及范围

• 禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。

  iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP

说明：此处用“-m –iprange –src-range”指定IP范围。

• 禁止转发与正常TCP连接无关的非—syn请求数据包。

  iptables -A FORWARD -p tcp -m state --state NEW ! --syn -j DROP

说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的，新的嘛！

• 拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

  iptables -A INPUT -p tcp -m state --state NEW -j DROP
  iptalbes -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

赏

×

纯属好玩

扫码打赏，你说多少就多少

打开支付宝扫一扫，即可进行扫码打赏哦