一、iptables概述

iptables防火墻是Linux系統(tǒng)防火墻的一種，實際上由兩個組件netfilter和iptables組成。

netfilters與iptables的關系：

• netfilter：屬于“內核態(tài)”的防火墻功能體系。是內核的一部分，由一些數(shù)據(jù)包過濾表組成，這些表包含內核用來控制數(shù)據(jù)包過濾處理的規(guī)則集。
• iptables：屬于“用戶態(tài)”的防火墻管理體系。是一種用來管理Linux防火墻的命令程序，它使插入、修改和刪除數(shù)據(jù)包過濾表中的規(guī)則變得容易，通常位于/sbin/iptables文件下。

netfilter/iptables后期簡稱為iptables。iptables是基于內核的防護墻，其中內置了raw、mangle、nat、filter四個規(guī)則表。表中所有規(guī)則配置后，立即生效，不需要重啟服務。

二、規(guī)則表與規(guī)則鏈結構（四表五鏈）

1.簡述

• 規(guī)則表（四表）的作用：容納各種規(guī)則鏈。
• 規(guī)則鏈（五鏈）的作用：容納各種防火墻規(guī)則。

總結：表中有鏈，鏈中有規(guī)則。

2.四表（規(guī)則表）

• raw表：確定是否對該數(shù)據(jù)包進行狀態(tài)跟蹤。包含兩個規(guī)則鏈 - OUTPUT、PREROUTING。
• mangle表：修改數(shù)據(jù)包內容，用于流量整形，給數(shù)據(jù)包設置標記。包含五個規(guī)則鏈 - INPUT、OUTPUT、FORWARD、PREROUING、POSTROUTING。
• nat表：負責網(wǎng)絡地址轉換，用來的修改數(shù)據(jù)包中的源、目標IP地址或端口。包含三個規(guī)則鏈 - OUTPUT、PREROUTING、POSTROUTING。
• filter表：負責過濾數(shù)據(jù)包，確定是否放行該數(shù)據(jù)包（過濾）。包含三個規(guī)則鏈，INPUT、FORWARD、OUTPUT。

數(shù)據(jù)包到達防火墻時，數(shù)據(jù)表之間的優(yōu)先順序：

raw -> mangle -> nat -> filter

3.五鏈（規(guī)則鏈）

• INPUT：處理入站數(shù)據(jù)包，匹配目標IP為本機的數(shù)據(jù)包。
• OUTPUT：處理出戰(zhàn)數(shù)據(jù)包，匹配從本機發(fā)出的數(shù)據(jù)包。
• FORWARD：處理轉發(fā)數(shù)據(jù)包，匹配流經(jīng)本機的數(shù)據(jù)包。
• PREROUTING：在進行路由選擇前處理數(shù)據(jù)包，用來修改目的地址，用來做DNET。相當于把內網(wǎng)服務器的IP和端口映射到路由器的外網(wǎng)IP和端口上。
• POSTROUTIING：在進行路由選擇后處理數(shù)據(jù)包，用來修改源地址，用來做SNAT。相當于內網(wǎng)通過路由器NAT轉換功能實現(xiàn)內網(wǎng)主機通過一個公網(wǎng)IP地址上網(wǎng)。

三、數(shù)據(jù)鏈過濾的匹配流程

• 入站數(shù)據(jù)：PREROUTING -> INPUT -> 本機的應用程序
• 出站數(shù)據(jù)：本機的應用程序 -> OUTPUT -> POSTROUTING
• 轉發(fā)數(shù)據(jù)：PREROUTING -> FORWARD -> POSTROUTING

四、iptables命令行配置方法

1.命令格式

iptables -t "表名" "管理選項" "鏈名" "匹配條件" -j "控制類型"

• 不指定表名時，默認指filter表
• 不指定鏈名時，默認值表內所有鏈

2.基本匹配條件

3.隱含匹配

需以特定的協(xié)議匹配作為前提。

3.1.端口匹配

例：

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

ps：--sport 和 --dport 必須配合-p "協(xié)議類型"使用

3.2 TCP標志位匹配

例：

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

拒絕來自22端口的SYN之外的tcp包（只接收SYN包）

3.2 ICMP類型匹配

例:

iptables -A INPUT -p icmp --icmp-type 8 -j -DROP
#禁止其他主機ping本機

3.3 顯示匹配

要求以“-m 擴展模塊”的形式明確指出類型，包括多端口、MAC地址、IP范圍、數(shù)據(jù)包狀態(tài)等條件。

3.3.1 多端口匹配：

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

例：

iptables -A INPUT -p tcp -m multiport --dport 80,22,21 -j ACCEPT

3.3.2 IP范圍匹配：

-m iprange --src-range 源ip范圍
-m iprange --dst-range 目的ip范圍

例：

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-19.2169.80.200

3.3.3 mac地址匹配

-m mace --mace-source "mac地址"

3.3.4 狀態(tài)匹配

-m state --state "連接狀態(tài)"

例：

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

五、SNAT與DNAT

均需網(wǎng)關開啟IP路由轉發(fā)：

臨時打開 echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forward=1

永久打開：

vim /etc/sysctl.conf

....
net.ipv4.ip_forward=1    #將此行寫入配置文件


sysctl -p    #載入配置

1.SNAT

SNAT用于在網(wǎng)絡中修改數(shù)據(jù)包的源地址。

SNAT轉換前提條件：

• 局域網(wǎng)各主機已正確設置IP地址、子網(wǎng)掩碼、默認網(wǎng)關地址
• Linux網(wǎng)關開啟IP路由轉發(fā)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10

2.DNAT

DNAT用于在網(wǎng)絡中修改數(shù)據(jù)包的目的地址，通常是為了保護內網(wǎng)服務器的安全。

DNAT轉換前提條件：

• 局域網(wǎng)的服務器能夠訪問Internet
• 網(wǎng)關的外網(wǎng)地址有正確的DNS解析記錄
• Linux網(wǎng)關開啟IP路由轉發(fā)

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11

總結

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論