如何进行iptables的使用

发布时间:2021-11-23 10:10:16 作者:柒染
来源:亿速云 阅读:140

这篇文章给大家介绍如何进行iptables的使用,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

一.iptables 简介

   当一台主机接入至一个网络中的时候,就不可避免的会受到来至网络的可能***,为了解决这一问题,诞生了防火墙(Firewall)的技术,通过防火墙可以阻隔绝大多数的来路不明的网络请求,从而保护自己的主机。

   防火墙可以分为硬件防火墙和软件防火墙,软件防火墙即是通过软件处理逻辑对通过主机的各种报文,信息等进行监控阻隔等,而硬件防火墙则可以基于硬件直接进行阻隔,硬件防火墙中部分功能也需要基于软件实现。

    Iptables是基于软件实现的防火墙,主要有两个部分组成。内核空间中的netfilter,提供了整个防火墙框架,而iptables则位于用户空间,主要是给用户提供一个接口,使得用户可以根据需要对位于内核的netfilter进行管理操作。

    Netfilter主要是通过5个hookfunction(钩子函数)在内核级别实现报文的监控修改等操作,他们分别为prerouting,input,forward,output,postrouting。而用户空间的iptables则分别使用5条链对应这五个hookfunction。为了便于管理iptables还设定了4个不同的功能(tables)

    filter:过滤,防火墙;

    nat:networkaddress translation;用于修改报文的源地址或目标地址,甚至是端口;

    mangle:拆解报文,做出修改,并重新封装起来;

    raw:关闭nat表上启用的连接追踪机制;

        优先级次序(由高而低):

                              raw--> mangle --> nat --> filte

        其中功能与钩子的关系为:

功能<-->钩子:

raw:PREROUTING,OUTPUT

mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

nat:PREROUTING,INPUT,OUTPUT,POSTRUTING

filter:INPUT,FORWARD,OUTPUT

二.iptables 设置

   获取帮助:

      CentOS7:man iptables-extensions

      CentOS6:man iptables

   使用格式

      iptables [-t table] COMMAND chain[-m matchname [per-match-options]] [-j targetname [per-target-options]]

      -t table:默认为filter;其它可用的有raw, mangle, nat;

      COMMAND:

      对链操作:

         -P:policy,策略,定义默认策略; 一般有两种选择,ACCEPT和DROP;

         -N:new,新建一条自定义的规则链;被内建链上的规则调用才能生效

         -X:drop,删除自定义的引用计数为0的空链;

         -F:flush,清空指定的链;

         -E:重命名自定义的引用计数和为0的链;

      管理规则:

         -A:append,追加,在指定链的尾部追加一条规则;

         -I:insert,插入,在指定的位置(省略位置时表示链首)插入一条规则;

         -D:delelte,删除,删除指定的规则;

         -R:replace,替换,将指定的规则替换为新规则;不能仅修改规则中的部分,而是整条规则完全替换;

      查看:

         -L:list,列出表中的链上的规则;

           -n:numeric,以数值格式显示;

           -v:verbose,显示详细格式信息;

           -vv,-vvv

           -x:exactly,计数器的精确结果;

           --line-numbers:显示链中的规则编号;

         计数器:

        规则,以及默认策略有专用的计数器;

        记录被当前规则所匹配到的:

            (1)报文个数;

            (2)字节总数;

        重置规则计数器:

             -Z:zero,置0;

      chain:

      (1)内建链;PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

      (2)自定义链;

      匹配条件:

      一条规则中存在多条匹配规则时,逻辑关系为“与”

        1)基本匹配条件:

          [!]-s, --source address[/mask][,...]:检查报文中的源IP地址是否符合此处指定的地址或范围;

          [!]-d, --destination address[/mask][,...]:检查报文中的目标IP地址是否符合此处指定的地址或范围;

         e.g.禁止172.16.10.17连接172.16.10.7主机

       ~]#iptables -A INPUT -s 172.16.10.17 -d 172.16.10.7 -j DROP

          [!]-p, --protocol protocol:

          protocol:{tcp|udp|icmp}

          [!]-i, --in-interface name:数据报文的流入接口;INPUT, FORWARD,PREROUTING

          [!]-o, --out-interface name:数据报文的流出接口:FORWARD,OUTPUT, POSTROUTING

        e.g. 将通过eno16777736网卡的所有请求全都拒绝

       ~]#iptables -A INPUT -i eno16777736 -j REJECT

       2)扩展匹配条件

         隐式扩展:不用-m选项指出matchname即可使用此match的专用选项进行匹配;

          -p tcp:隐含了-m tcp;

          [!]--source-port,--sport port[:port]:匹配报文中传输层的源端口;

      e.g.禁止所有请求访问tcp的23端口

       ~]#iptables -A INPUT -p tcp --dport 23 -j DROP

          [!]--destination-port,--dport port[:port]:匹配报文中传输层的目标端口;

          [!]--tcp-flags mask comp

          标识位:SYN,ACK,FIN,RST,URG,PSH;        

             mask:要检查的标志位列表,以逗号分隔;

             comp:必须为1的标志位,余下的出现在mask列表中的标志位则必须为0;

              --tcp-flags  SYN,ACK,FIN,RST  SYN

          [!]--syn:

          相当于--tcp-flags  SYN,ACK,FIN,RST  SYN

          -p udp:隐含了-m udp:

          [!]--source-port,--sport port[:port]:匹配报文中传输层的源端口;

          [!]--destination-port,--dport port[:port]:匹配报文中传输层的目标端口;

          -p icmp:隐含了-m icmp:

          [!] --icmp-type{type[/code]|typename}

            8:echo-request  用于请求

            0:echo-reply   用于应答

          e.g.禁止除172.16.10.17外的所有主机对本机进行ping操作

          ~]#iptables -A INPUT ! -s 172.16.10.17 -d 172.16.10.7 -p icmp --icmp-type 8 -jDROP

          ~]#iptables -A OUTPUT ! -d 172.16.10.17 -s 172.16.10.7 -p icmp --icmp-type 0 -j DROP

       显式扩展:必须使用-m选项指出matchname,有的match可能存在专用的选项;

          multiport扩展

          以离散或连续的方式定义多端口匹配条件;

          [!]--source-ports,--sports port[,port|,port:port]...:指定多个源端口;

          [!]--destination-ports,--dports port[,port|,port:port]...:指定多个目标端口;

       e.g.禁止所有请求访问tcp的21,22,23,80端口

       ~]#iptables -A INPUT -p tcp –m multiport --dports 21:23,80 -j DROP

          [!] --portsport[,port|,port:port]...:指定多个端口;

          iprange扩展

          以连续的ip地址范围指明连续的多地址匹配条件;

          [!]--src-range from[-to]:源IP地址;

          [!]--dst-range from[-to]:目标IP地址;

          string扩展

          对报文中的应用层数据做字符串匹配检测;

          [!]--string pattern:要检测字符串模式;

          [!]--hex-string pattern:要检测的字符串模式,16进制编码;

          --algo{bm|kmp}

          time扩展

          根据报文到达的时间与指定的时间范围进行匹配度检测;

          --datestartYYYY[-MM[-DD[Thh[:mm[:ss]]]]]:起始日期时间;

          --datestopYYYY[-MM[-DD[Thh[:mm[:ss]]]]]:结束日期时间;

          --timestarthh:mm[:ss]  开始时间

          --timestop  hh:mm[:ss] 结束时间

          [!]--monthdays day[,day...]  开始日

          [!]--weekdays day[,day...]   结束日

         e.g.在周二,四,六的工作时间开放23号端口

         ~]#iptables -I INPUT -d 172.16.10.7 -p tcp --dport 23 -m time --timestart 09:00:00--timestop 18:00:00 --weekdays Tue,Thu,Sat -j ACCEPT

          connlimit扩展

          根据每客户端IP做并发连接数匹配; 

          --connlimit-upton:连接数数量小于等于n,此时应该允许;

          --connlimit-aboven:连接数数量大于n,此时应该拒绝; 

         ~]#iptables -A INPUT -d 172.16.100.67 -p tcp --dport 23 -m connlimit --connlimit-upto2 -j ACCEPT

          limit扩展

            基于收发报文的速率进行匹配;

          --limitrate[/second|/minute|/hour|/day]:平均速率

          --limit-burstnumber:峰值速率

          state扩展

          state STATE

          状态检测;连接追踪机制(conntrack);

               INVALID:无法识别的状态;

               ESTABLISHED:已建立的连接;

               NEW:新连接;

               RELATED:相关联的连接;

               UNTRACKED:未追踪的连接;

          状态追踪需要挂载nf_conntrack内核模块;

          追踪到的连接:/proc/net/nf_conntrack文件中 

          能追踪的最大连接数量定义在:/proc/sys/net/nf_conntrack_max

          此值可自行定义,建议必要时调整到足够大;

          不同的协议的连接追踪的时长:/proc/sys/net/netfilter/  

        e.g.如何开放被模式的ftp服务:

        装载追踪ftp协议的模块;

        ~]#modprobe nf_conntrack_ftp 

        放行命令连接

        ~]# iptables -A INPUT -d 172.16.100.67 -p tcp -m state --state ESTABLISHED -jACCEPT

        ~]# iptables -A INPUT -d 172.16.100.67 -p tcp --dport 21 -m state --state NEW -jACCEPT

        放行数据连接

        ~]iptables -A INPUT -d 172.16.100.67 -p tcp -m state --state RELATED -j ACCEPT

     在FORWARD链上定义时需要注意下列几个问题:

       (1)请求-响应均经由FORWARD链,要注意规则的方向性;

       (2)如果可以启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行;

         e.g.仅让外部主机仅能访问192.168.10.27主机的httpd服务以及ftpd服务

         1)~]# iptables-A FORWARD 1 -d 192.168.10.27 -p tcp -m multiport --dports 21,80 -m state--state NEW -j ACCEPT

         2)~]# iptables-A FORWARD 3 -d 192.168.10.27 -m state --state ESTABLISHED,RELATED -j ACCEPT

         3)~]# iptables-A FORWARD -s 172.16.0.0/16 -d 192.168.10.27 -j DROP

         4)~]# modprobenf_conntrack_ftp

      自定义链:

         iptables-N chain_name  添加一条自定义链

         iptables-X chian_name    删除自定义链(删除前需要清空规则)

         iptables-E old_name new_name  重命名自定义链

         -j  chain_name  引用指定的自定义链

           通常自定义链最后需要添加一条RETURN已回到之前的主链

     处理动作

         ACCEPT:接收

         DROP:丢弃

         REJECT:拒绝

         REDIRECT:重定目标端口,只能使用在nat表上,以及PREROUTING,OUTPUT链上面,其他地方要使用则必须引用

         --to-portsport[-port]:映射至哪个目标端口;

         e.g.  将httpd服务的80端口映射至8088端口

         ~]#iptables -t nat -A PREROUTING -d 192.168.10.27 -p tcp --dport 80 -j REDIRECT--to-port 8088

        SNAT:修改源地址,只能使用在nat表上,以及POSTROUTING,INPUT链上面,其他地方要使用则必须引用,如果IP地址为动态引用则使用MASQUERADE

        --to-source  [ipaddr[-ipaddr]][:port[-port]]

        ~]#iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source172.16.10.17

      设置上述规则后,192.168.0.0网段的主机经过该路由时IP地址都会被转换为172.16.10.17,从而可以实现内网对外网的各种服务的访问

       DNAT:修改源地址,只能使用在nat表上,以及PREROUTING,OUTPUT链上面,其他地方要使用则必须引用

        --to-destination[ipaddr[-ipaddr]][:port[-port]]

        ~]#iptables -t nat -A PREROUTING -d 172.16.10.17 -p tcp --dport 80 -j DNAT--to-destination 192.168.10.27:8088

      当外部主机访问172.16.10.17主机的tcp协议的80端口时,会自动转至内网中的192.168.10.27主机的8088端口

       LOG:日志功能,日志保存在/var/log/messages中

         --log-prefix:给日志添加前缀

         --log-ip-options:日志中记录IP首部的信息

         e.g.将访问172.16.10.7主机tcp协议80端口情况记录日志

         ~]#iptables -A INPUT -d 172.16.10.7 -p tcp --dport 80 -j LOG --log-prefix "STRING"--log-ip-options

三.总结

   添加规则之时需要考量的问题:

      (1)报文的流经路径,判断添加规则至哪个链上;

      (2)确定要实现的功能,判断添加规则至哪个表上;

      (3)要指定的匹配条件,以用于匹配目标报文;

    添加规则后注意优化:

      (1)可安全放行所有入站及出站,且状态为ESTABLISHED的连接;

      (2)服务于同一类功能的规则,匹配条件严格的放前面,宽松放后面;

      (3)服务于不同类功能的规则,匹配报文可能性较大扩前面,较小放后面;

      (4)设置默认策略;

        (a)最后一条规则设定,在每个表的最后添加一条拒绝或接受的默认规则;

           iptables–A INPUT –d 172.16.10.17 –j DROP

        (b)默认策略设定;

关于如何进行iptables的使用就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

推荐阅读:
  1. Iptables下TCPMSS使用
  2. iptables详解使用

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

iptables

上一篇:Nagios XI多个漏洞分析预警的示例分析

下一篇:c语言怎么实现含递归清场版扫雷游戏

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》