iptables详解

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。

语法

iptables(选项)(参数)

选项

1.链管理命令（这都是立即生效的）

-P : 设置默认策略的（设定默认门是关着的还是开着的）

   默认策略一般只有两种

   iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的

   比如：

   iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。

-F: FLASH，清空规则链的(注意每个链的管理权限)

  iptables -t nat -F PREROUTING

  iptables -t nat -F 清空nat表的所有链

-N:NEW 支持用户新建一个链

  iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。

-X: 用于删除用户自定义的空链

  使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了

-E：用来Rename chain主要是用来给用户自定义的链重命名

  -E oldname newname

-Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）

  iptables -Z :清空

 

2.规则管理命令

-A：追加，在当前链的最后新增一个规则

-I num : 插入，把当前规则插入为第几条。

-I 3 :插入为第三条

-R num：Replays替换/修改第几条规则

  格式：iptables -R 3 …………

-D num：删除，明确指定删除第几条规则

        

3.查看管理命令 “-L”

附加子命令

-n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。

-v：显示详细信息

  -vv

  -vvv :越多越详细

-x：在计数器上显示精确值，不做单位换算

--line-numbers : 显示规则的行号

-t nat：显示所有的关卡的信息

 

详解匹配标准

1.通用匹配：源地址目标地址的匹配

-s：指定作为源地址匹配，这里不能指定主机名称，必须是IP

  IP | IP/MASK | 0.0.0.0/0.0.0.0

  而且地址可以取反，加一个“!”表示除了哪个IP之外

-d：表示匹配目标地址

-p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

-i eth0：从这块网卡流入的数据

      流入一般用在INPUT和PREROUTING上

-o eth0：从这块网卡流出的数据

流出一般在OUTPUT和POSTROUTING上

        

2.扩展匹配

2.1隐含扩展：对协议的扩展

-p tcp :TCP协议的扩展。一般有三种扩展

--dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如

--dport 21  或者 --dport 21-23 (此时表示21,22,23)

--sport：指定源端口

--tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）

    对于它，一般要跟两个参数：

1.检查的标志位

2.必须为1的标志位

--tcpflags syn,ack,fin,rst syn   =    --syn

表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn

-p udp：UDP协议的扩展

      --dport

      --sport

-p icmp：icmp数据报文的扩展

      --icmp-type：

echo-request(请求回显)，一般用8 来表示

所以 --icmp-type 8 匹配请求回显数据包

echo-reply （响应的数据包）一般用0来表示

                  

2.2显式扩展（-m）

扩展各种模块

-m multiport：表示启用多端口扩展

之后我们就可以启用比如 --dports 21,23,80

                  

详解-j ACTION

常用的ACTION：

DROP：悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT：明示拒绝

ACCEPT：接受

custom_chain：转向一个自定义的链

DNAT

SNAT

MASQUERADE：源地址伪装

REDIRECT：重定向：主要用于实现端口重定向

MARK：打防火墙标记的

RETURN：返回

在自定义链执行完毕后使用返回，来返回原规则链。

iptables命令选项输入顺序：

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

-t table ：3个filter nat mangle
COMMAND：定义如何对规则进行管理
chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

防火墙策略

       防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略。通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。

表名包括：

• raw：高级功能，如：网址过滤。
• mangle： 修改报文源数据，用于实现服务质量。我们修改报文原数据就是来修改TTL的。能够实现将数据包的原数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle来实现的
• net：定义地址转换，用于网关路由器。
• filter：包过滤，用于防火墙规则。定义允许或是不允许。

小拓展

         对于filter一般只能做在三个链上：INPUT，FORWARD，OUTPUT

         对于net一般也只能做在三个链上：PREROUTING，UOTPUT，POSTROUTING

         而mangle则是五个链都可以做：INPUT，OUTPUT，FORWARD，PREROUTING，POSTROUTING

规则链名包括：

        这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。  

• INPUT链：处理输入数据包。
• OUTPUT链：处理输出数据包。
• FORWARD链：处理转发数据包。
• PREROUTING链：用于目标地址转换（DNAT）。
• POSTROUTING链：用于源地址转换（SNAT）。

动作包括：

• accept：接收数据包。
• DROP：丢弃数据包。
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址转换。
• DNAT：目标地址转换。
• MASQUERADE：IP伪装（NAT），用于ADSL。
• LOG：日志记录。

注意

      规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

实例

清除已有iptables规则

iptables -F
iptables -X
iptables -Z

开放指定的端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT         #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允许FTP服务的20端口
iptables -A INPUT -j reject       #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT     #禁止其他未允许的规则访问

屏蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即从123.45.6.1到123.45.6.254的命令是

查看已添加的iptables规则

iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
 6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0  

删除已添加的iptables规则

将所有iptables以序号标记显示，执行：

iptables -L -n --line-numbers

比如要删除INPUT里序号为8的规则，执行：

iptables -D INPUT 8