linux防火墻iptables詳細教程

1、linux防火墻iptables詳細教程2.1 框架圖->PREROUTING->ROUTE->FORWARD->POSTROUTING->mangle | mangle manglenat | filter | nat| | |v |INPUT OUTPUT| mangle mangle| filter | natv ->local->| filter2.2 鏈和表表filter:顧名思義,用于過濾的時候nat:顧名思義,用于做NAT 的時候NAT:Network Address Translator鏈INPUT:位于filter 表,匹配目的IP

2、是本機的數(shù)據(jù)包FORWARD:位于filter 表,匹配穿過本機的數(shù)據(jù)包,PREROUTING:位于nat 表,用于修改目的地址(DNATPOSTROUTING:位于nat 表,用于修改源地址(SNAT3.1 iptables 語法概述iptables -t 要操作的表<操作命令>要操作的鏈規(guī)則號碼匹配條件-j 匹配到以后的動作3.2 命令概述操作命令(-A、-I、-D、-R、-P、-F查看命令(-vnxL-A <鏈名>APPEND,追加一條規(guī)則(放到最后例如:iptables -t filter -A INPUT -j DROP在filter 表的INPUT 鏈里追加

3、一條規(guī)則(作為最后一條規(guī)則匹配所有訪問本機IP 的數(shù)據(jù)包,匹配到的丟棄-I <鏈名> 規(guī)則號碼INSERT,插入一條規(guī)則例如:iptables -I INPUT -j DROP在filter 表的INPUT 鏈里插入一條規(guī)則(插入成第1 條iptables -I INPUT 3 -j DROP在filter 表的INPUT 鏈里插入一條規(guī)則(插入成第3 條注意:1、-t filter 可不寫,不寫則自動默認是filter 表2、-I 鏈名規(guī)則號碼,如果不寫規(guī)則號碼,則默認是13、確保規(guī)則號碼 (已有規(guī)則數(shù)+ 1,否則報錯-D <鏈名> <規(guī)則號碼| 具體規(guī)則內(nèi)容&

4、gt;DELETE,刪除一條規(guī)則例如:iptables -D INPUT 3(按號碼匹配刪除filter 表INPUT 鏈中的第三條規(guī)則(不管它的內(nèi)容是什么(不管其位置在哪里注意:1、若規(guī)則列表中有多條相同的規(guī)則時,按內(nèi)容匹配只刪除序號最小的一條2、按號碼匹配刪除時,確保規(guī)則號碼 已有規(guī)則數(shù),否則報錯3、按內(nèi)容匹配刪除時,確保規(guī)則存在,否則報錯-R <鏈名> <規(guī)則號碼> <具體規(guī)則內(nèi)容>REPLACE,替換一條規(guī)則例如:iptables -R INPUT 3 -j ACCEPT將原來編號為3 的規(guī)則內(nèi)容替換為“-j ACCEPT”注意:確保規(guī)則號碼 已有規(guī)

5、則數(shù),否則報錯-P <鏈名> <動作>POLICY,設置某個鏈的默認規(guī)則例如:iptables -P INPUT DROP設置filter 表INPUT 鏈的默認規(guī)則是DROP注意:當數(shù)據(jù)包沒有被規(guī)則列表里的任何規(guī)則匹配到時,按此默認規(guī)則處理-F 鏈名FLUSH,清空規(guī)則例如:iptables -F INPUT清空filter 表INPUT 鏈中的所有規(guī)則iptables -t nat -F PREROUTING清空nat 表PREROUTING 鏈中的所有規(guī)則注意:1、-F 僅僅是清空鏈中規(guī)則,并不影響-P 設置的默認規(guī)則2、-P 設置了DROP 后,使用-F 一定要

6、小心!3、如果不寫鏈名,默認清空某表里所有鏈里的所有規(guī)則-L 鏈名LIST,列出規(guī)則v:顯示詳細信息,包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)x:在v 的基礎上,禁止自動單位換算(K、Mn:只顯示IP 地址和端口號碼,不顯示域名和服務名稱例如:iptables -L粗略列出filter 表所有鏈及所有規(guī)則iptables -t nat -vnL用詳細方式列出nat 表所有鏈的所有規(guī)則,只顯示IP 地址和端口號 iptables -t nat -vxnL PREROUTING用詳細方式列出nat 表PREROUTING 鏈的所有規(guī)則以及詳細數(shù)字,不反解3.3 匹配條件流入、流出接口(-i、-o來源、

7、目的地址(-s、-d協(xié)議類型(-p來源、目的端口(-sport、-dport-i <匹配數(shù)據(jù)進入的網(wǎng)絡接口>例如:-i eth0匹配是否從網(wǎng)絡接口eth0 進來-i ppp0匹配是否從網(wǎng)絡接口ppp0 進來-o 匹配數(shù)據(jù)流出的網(wǎng)絡接口例如:-o eth0-o ppp0-s <匹配來源地址>可以是IP、NET、DOMAIN,也可空(任何地址例如:-d <匹配目的地址>可以是IP、NET、DOMAIN,也可以空例如:-p <匹配協(xié)議類型>可以是TCP、UDP、ICMP 等,也可為空例如:-p tcp-p udp-p icmp -icmp-type 類

8、型ping: type 8 pong: type 0-sport <匹配源端口>可以是個別端口,可以是端口范圍例如:-sport 1000 匹配源端口是1000 的數(shù)據(jù)包-sport 1000:3000 匹配源端口是1000-3000 的數(shù)據(jù)包(含1000、3000 -sport :3000 匹配源端口是3000 以下的數(shù)據(jù)包(含3000-sport 1000: 匹配源端口是1000 以上的數(shù)據(jù)包(含1000-dport <匹配目的端口>可以是個別端口,可以是端口范圍例如:-dport 80 匹配源端口是80 的數(shù)據(jù)包-dport 6000:8000 匹配源端口是600

9、0-8000 的數(shù)據(jù)包(含6000、8000 -dport :3000 匹配源端口是3000 以下的數(shù)據(jù)包(含3000-dport 1000: 匹配源端口是1000 以上的數(shù)據(jù)包(含1000注意:-sport 和-dport 必須配合-p 參數(shù)使用1、端口匹配-p udp -dport 53匹配網(wǎng)絡中目的地址是53 的UDP 協(xié)議數(shù)據(jù)包2、地址匹配3、端口和地址聯(lián)合匹配注意:1、-sport、-dport 必須聯(lián)合-p 使用,必須指明協(xié)議類型是什么2、條件寫的越多,匹配越細致,匹配范圍越小3.4 動作(處理方式ACCEPTDROPSNATDNATMASQUERADE-j ACCEPT通過,允許

10、數(shù)據(jù)包通過本鏈而不攔截它類似Cisco 中ACL 里面的permit例如:iptables -A INPUT -j ACCEPT允許所有訪問本機IP 的數(shù)據(jù)包通過-j DROP丟棄,阻止數(shù)據(jù)包通過本鏈而丟棄它類似Cisco 中ACL 里的deny例如:-j SNAT -to IP-IP:端口-端口(nat 表的POSTROUTING 鏈源地址轉換,SNAT 支持轉換為單IP,也支持轉換到IP 地址池(一組連續(xù)的IP 地址例如:同上,只不過修改成一個地址池里的IP-j DNAT -to IP-IP:端口-端口(nat 表的PREROUTING 鏈目的地址轉換,DNAT 支持轉換為單IP,也支持轉

11、換到IP 地址池(一組連續(xù)的IP 地址例如:iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j MASQUERADE動態(tài)源地址轉換(動態(tài)IP 的情況下使用例如:3.5 附加模塊按包狀態(tài)匹配(state按來源MAC 匹配(mac按包速率匹配(limit多端口匹配(multiport-m state -state 狀態(tài)

12、狀態(tài):NEW、RELATED、ESTABLISHED、INVALIDNEW:有別于tcp 的synESTABLISHED:連接態(tài)RELATED:衍生態(tài),與conntrack 關聯(lián)(FTPINVALID:不能被識別屬于哪個連接或沒有任何狀態(tài)例如:iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT-m mac -mac-source MAC匹配某個MAC 地址例如:iptables -A FORWARD -m -mac-source xx:xx:xx:xx:xx:xx -j DROP阻斷來自某MAC 地址的數(shù)據(jù)包,通過本機

13、注意:MAC 地址不過路由,不要試圖去匹配路由后面的某個MAC 地址-m limit -limit 匹配速率-burst 緩沖數(shù)量用一定速率去匹配數(shù)據(jù)包例如:-j ACCEPT注意:limit 僅僅是用一定的速率去匹配數(shù)據(jù)包,并非“限制”-m multiport <-sports|-dports|-ports> 端口1,端口2,.,端口n一次性匹配多個端口,可以區(qū)分源端口,目的端口或不指定端口例如:iptables -A INPUT -p tcp -m multiports -ports 21,22,25,80,110 -j ACCEPT注意:必須與-p 參數(shù)一起使用4. 實例分析

14、單服務器的防護如何做網(wǎng)關如何限制內(nèi)網(wǎng)用戶內(nèi)網(wǎng)如何做對外服務器連接追蹤模塊4.1 單服務器的防護弄清對外服務對象書寫規(guī)則網(wǎng)絡接口lo 的處理狀態(tài)監(jiān)測的處理協(xié)議+ 端口的處理實例:一個普通的web 服務器iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP注意:確保規(guī)則循序正確,弄清邏輯關系,學會時刻使用-vn

15、L 4.2 如何做網(wǎng)關弄清網(wǎng)絡拓撲本機上網(wǎng)設置nat啟用路由轉發(fā)地址偽裝SNAT/MASQUERADE實例:ADSL 撥號上網(wǎng)的拓撲echo "1" > /proc/sys/net/ipv4/ip_forward-j MASQUERADE4.3 如何限制內(nèi)網(wǎng)用戶過濾位置filer 表FORWARD 鏈匹配條件-s -d -p -s/dport處理動作ACCEPT DROP實例:iptables -A FORWARD -m mac -mac-source 11:22:33:44:55:66 -j DROP4.4 內(nèi)網(wǎng)如何做對外服務器服務協(xié)議(TCP/UDP對外服務端口內(nèi)

16、部服務器私網(wǎng)IP內(nèi)部真正服務端口實例:iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 4.5 連接追蹤模塊為什么要使用連接追蹤模塊FTP 協(xié)議的傳輸原理傳統(tǒng)防火墻的做法如何使用使用端口command portdata port傳輸模式主動模式(ACTIVE被動模式(PASSIVE主動模式client serverxxxx |-|-|->| 21yyyy |<-|-|-| 20FW1 FW2被動模式client s

17、erverxxxx |-|-|->| 21yyyy |-|-|->| zzzzFW1 FW2只使用主動模式,打開TCP/20防火墻打開高范圍端口配置FTP 服務,減小被動模式端口范圍modprobe ipt_conntrack_ftpmodprobe ipt_nat_ftpiptables -A INPUT -p tcp -dport 21 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP5. 網(wǎng)管策略怕什么能做什么讓什么vs 不讓什么三大“紀

18、律”五項“注意”其他注意事項5.1 必加項echo "1" > /proc/sys/net/ipv4/ip_forwardecho "1" > /proc/sys/net/ipv4/tcp_syncookiesecho "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses modprobe ip_conntrack_ftpmodprobe ip_nat_ftp5.2 可選方案堵:iptables -A FORWARD -p tcp -dport xxx -j DROPiptables -A FORWARD -p tcp -dport yyy:zzz -j DROP通:iptab