一、iptables概述

iptables防火墻是Linux系統(tǒng)防火墻的一種，實(shí)際上由兩個(gè)組件netfilter和iptables組成。

netfilters與iptables的關(guān)系：

• netfilter：屬于“內(nèi)核態(tài)”的防火墻功能體系。是內(nèi)核的一部分，由一些數(shù)據(jù)包過(guò)濾表組成，這些表包含內(nèi)核用來(lái)控制數(shù)據(jù)包過(guò)濾處理的規(guī)則集。
• iptables：屬于“用戶態(tài)”的防火墻管理體系。是一種用來(lái)管理Linux防火墻的命令程序，它使插入、修改和刪除數(shù)據(jù)包過(guò)濾表中的規(guī)則變得容易，通常位于/sbin/iptables文件下。

netfilter/iptables后期簡(jiǎn)稱為iptables。iptables是基于內(nèi)核的防護(hù)墻，其中內(nèi)置了raw、mangle、nat、filter四個(gè)規(guī)則表。表中所有規(guī)則配置后，立即生效，不需要重啟服務(wù)。

二、規(guī)則表與規(guī)則鏈結(jié)構(gòu)（四表五鏈）

1.簡(jiǎn)述

• 規(guī)則表（四表）的作用：容納各種規(guī)則鏈。
• 規(guī)則鏈（五鏈）的作用：容納各種防火墻規(guī)則。

總結(jié)：表中有鏈，鏈中有規(guī)則。

2.四表（規(guī)則表）

• raw表：確定是否對(duì)該數(shù)據(jù)包進(jìn)行狀態(tài)跟蹤。包含兩個(gè)規(guī)則鏈 - OUTPUT、PREROUTING。
• mangle表：修改數(shù)據(jù)包內(nèi)容，用于流量整形，給數(shù)據(jù)包設(shè)置標(biāo)記。包含五個(gè)規(guī)則鏈 - INPUT、OUTPUT、FORWARD、PREROUING、POSTROUTING。
• nat表：負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換，用來(lái)的修改數(shù)據(jù)包中的源、目標(biāo)IP地址或端口。包含三個(gè)規(guī)則鏈 - OUTPUT、PREROUTING、POSTROUTING。
• filter表：負(fù)責(zé)過(guò)濾數(shù)據(jù)包，確定是否放行該數(shù)據(jù)包（過(guò)濾）。包含三個(gè)規(guī)則鏈，INPUT、FORWARD、OUTPUT。

數(shù)據(jù)包到達(dá)防火墻時(shí)，數(shù)據(jù)表之間的優(yōu)先順序：

raw -> mangle -> nat -> filter

3.五鏈（規(guī)則鏈）

• INPUT：處理入站數(shù)據(jù)包，匹配目標(biāo)IP為本機(jī)的數(shù)據(jù)包。
• OUTPUT：處理出戰(zhàn)數(shù)據(jù)包，匹配從本機(jī)發(fā)出的數(shù)據(jù)包。
• FORWARD：處理轉(zhuǎn)發(fā)數(shù)據(jù)包，匹配流經(jīng)本機(jī)的數(shù)據(jù)包。
• PREROUTING：在進(jìn)行路由選擇前處理數(shù)據(jù)包，用來(lái)修改目的地址，用來(lái)做DNET。相當(dāng)于把內(nèi)網(wǎng)服務(wù)器的IP和端口映射到路由器的外網(wǎng)IP和端口上。
• POSTROUTIING：在進(jìn)行路由選擇后處理數(shù)據(jù)包，用來(lái)修改源地址，用來(lái)做SNAT。相當(dāng)于內(nèi)網(wǎng)通過(guò)路由器NAT轉(zhuǎn)換功能實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)通過(guò)一個(gè)公網(wǎng)IP地址上網(wǎng)。

三、數(shù)據(jù)鏈過(guò)濾的匹配流程

• 入站數(shù)據(jù)：PREROUTING -> INPUT -> 本機(jī)的應(yīng)用程序
• 出站數(shù)據(jù)：本機(jī)的應(yīng)用程序 -> OUTPUT -> POSTROUTING
• 轉(zhuǎn)發(fā)數(shù)據(jù)：PREROUTING -> FORWARD -> POSTROUTING

四、iptables命令行配置方法

1.命令格式

iptables -t "表名" "管理選項(xiàng)" "鏈名" "匹配條件" -j "控制類型"

• 不指定表名時(shí)，默認(rèn)指filter表
• 不指定鏈名時(shí)，默認(rèn)值表內(nèi)所有鏈

2.基本匹配條件

3.隱含匹配

需以特定的協(xié)議匹配作為前提。

3.1.端口匹配

例：

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

ps：--sport 和 --dport 必須配合-p "協(xié)議類型"使用

3.2 TCP標(biāo)志位匹配

例：

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

拒絕來(lái)自22端口的SYN之外的tcp包（只接收SYN包）

3.2 ICMP類型匹配

例:

iptables -A INPUT -p icmp --icmp-type 8 -j -DROP
#禁止其他主機(jī)ping本機(jī)

3.3 顯示匹配

要求以“-m 擴(kuò)展模塊”的形式明確指出類型，包括多端口、MAC地址、IP范圍、數(shù)據(jù)包狀態(tài)等條件。

3.3.1 多端口匹配：

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

例：

iptables -A INPUT -p tcp -m multiport --dport 80,22,21 -j ACCEPT

3.3.2 IP范圍匹配：

-m iprange --src-range 源ip范圍
-m iprange --dst-range 目的ip范圍

例：

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-19.2169.80.200

3.3.3 mac地址匹配

-m mace --mace-source "mac地址"

3.3.4 狀態(tài)匹配

-m state --state "連接狀態(tài)"

例：

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

五、SNAT與DNAT

均需網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)：

臨時(shí)打開(kāi) echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forward=1

永久打開(kāi)：

vim /etc/sysctl.conf

....
net.ipv4.ip_forward=1    #將此行寫入配置文件


sysctl -p    #載入配置

1.SNAT

SNAT用于在網(wǎng)絡(luò)中修改數(shù)據(jù)包的源地址。

SNAT轉(zhuǎn)換前提條件：

• 局域網(wǎng)各主機(jī)已正確設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址
• Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10

2.DNAT

DNAT用于在網(wǎng)絡(luò)中修改數(shù)據(jù)包的目的地址，通常是為了保護(hù)內(nèi)網(wǎng)服務(wù)器的安全。

DNAT轉(zhuǎn)換前提條件：

• 局域網(wǎng)的服務(wù)器能夠訪問(wèn)Internet
• 網(wǎng)關(guān)的外網(wǎng)地址有正確的DNS解析記錄
• Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論