一iptables概念
防火墙分类
分为硬件防火墙和软件防火墙
硬件防火墙一般放在外网的最前面,公司的拓扑的最外面
iptables虽然称为防火墙,但是不能当做整个公司的出口防火墙,和动戈几千万,几百万的硬件防火墙还是不能相比的一般用来在公司的局域网做防护,还可以在服务器上做一些端口,流量,安全防护. 但是真的有人盯上了,当大流量打过来的时候,没有硬件高防设备来保护,还是会瘫痪的
iptables介绍
全称:netfilter/iptables:Ip信息包过滤系统,实际上由netfilter和iptables组成
netfilter组件也被称为内核空间,是内核的一部分,由一些信息报过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集
iptables组件是一种工具,也称为用户空间,它使插入,修改和除去信息包过滤表中的规则变得容易
netfilter/iptables 被简称为iptables,iptables是基于内核的防火墙,功能强大.
iptables内置了filter,nat,和mangle三张表,规则配置后,立即生效,不需要重启服务
iptables的组成:三表五链
iptables中有三张表,每张表上会有某些链,链上有规则
三表
filter负责过滤数据包
nat则涉及到网络地址转换
mangle主要应用在修改数据包内容上
五链
input,进来的流量,匹配目标IP是本机的数据包
output,出去的流量,出口数据包,一般不在此链上做配置
forward,转发的流量,匹配流经本机的数据包
prerouting,路由前的流量,用来修改目的地址,用来做DNAT,如:把内网的80端口映射到路由器外网端口上
postrouting,路由后的流量,用来修改源地址用来做SNAT,如:内网通过路由NAT转换功能实现内网PC机通过一个公网IP地址上网
三表五链的关系
filter包括的规则链有input,output,forward
nat包括的规则链有prerouting,postrouting,forward
mangle包括的规则链则全部包括
iptables过滤封包流程
有两种路线
1数据包转发,不流经本机
PREROUTING --> FORWARD --> POSTROUTING
2 数据包进入本机
PREROUTING --> INPUT --> OUTPUT -->POSTROUTING
1当一个数据包进入网卡时,首先会进入prerouting链,内核根据数据包目的IP判断是否需要转送出去
2如果数据包就是进入本机的,他会到达input链,数据到达input链后,任何进程都会收到他. 本机上运行的程序可以发送数据包,这些数据包会经过output链,然后到达postrouting链输出
3如果数据包是要转发出去的,且内核允许转发,数据包就会经过forward链,然后到达postrouting链输出
二iptables语法
iptables安装配置信息
关闭firewalld.service
systemctl stop firewalld.service 停止服务
systemctl disable firewalld.service 开机禁止启动服务
安装iptables
iptables -L 通过执行命令判断是否已经安装
yum install iptables.services 安装
服务相关命令
systemctl start iptables-services 启动服务
systemctl status iptables-service 查看服务状态
systemctl enable iptables.service 开机自启动
当执行上面的命令报错时
Failed to execute operation: No such file or directory
可能是因为iptables需要升级了
执行命令
yum install iptables.services
主配置文件
/etc/sysconfig/iptables
用命令行配置的规则最终会存放在上面的配置文件
iptables语法规则
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
对那个表,想做什么,达到什么目的
不指定表名时,默认表示filter表
不指定链名时,默认表示该表内所有链
除非设置规则链的缺省策略,否则需要制定匹配条件
一,管理选项
-A 追加一条规则(放到最后)
-I 插入一条规则,默认是在开头,可以指定位置
-R 替换或者修改规则
-D 删除规则
-F 清空规则(清空之前一定要查看默认规则)
-P 设置默认规则
-Z 清空数据包
-L 列出规则
-A 追加一条规则(放到最后)
iptables -t filter -A INPUT -j DROP #拒绝所有人访问服务器,谨慎使用
在filter表的INPUT链中追加一条规则(作为最后一条规则),匹配所有访问本机IP数据包,匹配到的丢弃
-I 插入一条规则,默认是在开头,可以指定位置
iptables -I INPUT -j DROP
在filter表的INPUT中插入一条规则(插入成第一条)
iptables -I INPUT 4 -j DROP
在filter表的iINPUT中插入一条规则(指定在第四条位置插入)
-R 替换或者修改规则
iptables -t filter -R INPUT 4 ....... 修改filter表中INPUT链的第四条规则
-D 删除规则
按照号码匹配
intables -L
iptables -D INPUT 1
按照内容匹配
iptables -D INPUT -s 192.168.0.1 -j DROP
-F 清空规则
iptables -F INPUT 清空filter表INPUT链上的规则
iptables -F 清空filter表上的所有链规则
iptables -t nat -f 清空nat表上的所有规则链
注意:-F仅仅是清空链中的规则,并不影响设置的默认规则.如果之前设置的默认规则是DROP,然后你清空规则,那么这台机器就会失联了
-P 设置默认规则
iptables -P INPUT DROP 设置默认规则为DROP
iptables -P INPUT ACCEPT 设置默认规则为ACCRPT
-Z 清空数据包
iptables -nvL 查看数据包
iptables -Z INPUT
-L 列出规则
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x,在v的基础上,禁止自动段位换算
n显示IP地址和端口号码,不显示域名和服务名称
--line-number
iptables -nvL
iptables -nvL --line-number
比较安全的方法是,
把需要放行的服务打开,然后在后面将DROP打开
iptables -I INPUT -j DROP
执行这条命令后,这台机器就会失联.需要机房去接显示器了
但是有时候机器遭受攻击可以执行,或者是需要在不拔网线的情况下断网
二, 条件匹配
1流入,流出接口(-i,-0)
2来源,目的地址(-s,-d)
3协议类型 (-p)
4来源,目的端口(--sport,--dport)
1流入,流出接口(-i,-0)
-i <匹配数据进入的网络接口 #此参数主要应用于nat表,例如目标地址装换
-i eth0
匹配是否从网络接口eth进来
-i ppp0
匹配是否从网络接口ppp0进来
-o 匹配数据流出的网络接口
例如
-o eth0
-o ppp0
2来源,目的地址(-s,-d)
-s <匹配来源地址>
可以是IP,网段,域名,也可以空
-s 192.168.0.1 匹配来自192.168.0.1的数据包
-s 192.168.1.0/24 匹配来自192.168.1.0/24网络的数据包
-s 192.168.0.0/16 匹配来自192.168.0.0/16网络的数据包
-d <匹配目的地址>
可以是IP,网段,域名,也可以空
例如
-d 202.106.0.20 匹配去往202.106.0.20的数据包
-d 202.103.0.0/16网络的数据包
-d www.abc.vip 匹配去往域名www.abc.vip的数据包
3 协议类型 (-p)
-p <匹配协议类型>
可以是tcp,udp,icmp
例如
-p tcp
-p udp
-icmp --icmp-type类型
4来源,目的端口(--sport,--dport)
注意:--sport和--dport都必须配合-p参数使用
匹配源端口
--sport 1000 匹配源端口是1000的数据包
--sport 1000-3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配3000以下的数据包
--sport 1000: 匹配源端口是1000以上的数据包
匹配目的端口
例子:同上
匹配应用举例
端口匹配
-p udp --dport 53
匹配网络中目的端口的是53的UDP协议数据包
地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自10.1.0.0/24去往172.17.0.0/16的所有数据包
端口和地址联合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配来自192.168.0.1,去往www.abc.com的80端口的TCP协议数据包
条件写的越多,匹配越精细,匹配范围越小
三, 目标动作或跳转
1,ACCEPT 通过,允许数据包通过本链而不拦截它
2,DROP 丢弃,阻止数据包通过本链而丢弃它
3,SNAT 原地址转换,SNAT支持装换为单IP,也支持转换到IP地址池(一组连续的IP地址)
4,DNAT 目的地址装换,DNAT支持装换为单IP,也支持装换到IP地址池(一组连续的IP地址)
5,MASQUERADE 伪装
1 ACCEPT
-j ACCEPT 通过,允许数据包通过本链而不拦截它
iptables -A INPUT -j ACCERT 允许所有访问本机IP的数据包通过
2 DROP
-j DROP
丢弃,阻止数据包通过本链而丢弃它
iptables -A FOREARD -s 192.168.80.39 -j DROP 阻止来源地址为192.168.80.39的数据包通过本机
3 SNAT
-j SNAT --to IP [-IP] [:端口-端口]
nat表的POSTROUTING链
原地址转换,SNAT支持装换为单IP,也支持转换到IP地址池(一组连续的IP地址)
例子
将内网192.168.0.0/24的原地址修改为1.1.1.1,用于NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
同上,用于修改成一个地址池里的IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
4 DNAT
-j DNAT --to IP[-IP] [:端口-端口](nat表的PREROUTING链)
目的地址装换,DNAT支持装换为单IP,也支持装换到IP地址池(一组连续的IP地址)
把从eth0进来的要访问TCP/80的数据包目的地址改为192.168.0.1(端口映射,内网的服务可以映射出去)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -i eth0 -p tco --dport 80 -j DNAT --TO 192.168.0.1:81
把从eth0进来的要访问TCP/80的数据包目的地址改为192.168.0.1-192.169.1.10
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.1.10
-j MOSQUERADE 伪装
动态原地址装换(动态IP的情况使用)
将源地址是192.168.0.0、24的数据包进行地址伪装,装换成eth0的IP地址,eth0为路由器外网出口地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
四,附加模块
按照包状态匹配 state
按照来源MAC匹配 mac
按照包速率匹配 limit
多端口匹配 multiport
state
有4种状态,这些状态可以一起使用,以便匹配数据包,这可以使我们的防火墙非常强壮和有效
把我们当前系统已经建立的服务放行
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j accept
按照来源mac匹配
匹配某个mac地址
-m mac --mac-source MAC
阻断来自该mac地址的数据包通过本机
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx -j DROP
报文经过路由后,数据包中的原有的mac信息会被替换,所以在路由后的iptables中使用mac模块是没有意义的
按照包速率匹配limit
-m limit --limit 匹配速率 [--burst 缓冲数量]
限制机器对外发包速率
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCRPT
多端口匹配
-m multiport <--sports | --posts> 端口1,端口n
一次性匹配多个端口
例如
iptables -A INPUT -p tcp -m multiport --posts 21,22,25,80,110 -j AXXEPR
注意:必须和-p参数同时使用
一定要记得保存
service iptables save
通过命令设置iptables会立即生效,还需要手动执行命令保存,会将设置的策略写入到主配置文件中