Linux-iptables

Linux-iptables

Linux iptables是一个强大而灵活的工具，用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出，设定规则来决定哪些数据包可以被接受、拒绝或转发。

1. 基本概念和术语

数据包过滤基础

在理解iptables之前，先了解数据包过滤的基本概念至关重要。数据包过滤指的是对网络通信中的数据包进行检查，并根据设定的规则决定是否允许该数据包通过。在Linux系统中，数据包过滤是由Netfilter实现的，而iptables是管理Netfilter的用户空间的工具。

iptables与Netfilter

Netfilter是内核级的框架，负责处理所有网络数据包的过滤和操作。iptables则作为其前端工具，用于定义和管理规则。

表（Tables）、链（Chains）和规则（Rules）

在iptables中，数据包的处理依赖于三个核心组件：

• 表（Tables）：表是规则集合的逻辑分组，用于执行特定的功能。常见的表包括Filter、NAT、Mangle和Raw表。

• 链（Chains）：链是规则的有序列表，每个表包含若干链。链可以是内置的（如INPUT、FORWARD、OUTPUT）或者用户自定义的。

• 规则（Rules）：规则是链中的基本单元，用于指定如何处理数据包。每条规则包含条件和目标。

匹配（Matches）和目标（Targets）

• 匹配（Matches）：匹配是规则中的条件部分，用于检查数据包的某些属性，例如源IP、目的IP、协议、端口等。

• 目标（Targets）：目标是规则中的操作部分，用于定义匹配规则后要采取的操作，例如ACCEPT、DROP、REJECT等。

2. 安装与配置

安装iptables

大多数LInux发行版默认已经安装了iptables，可以通过以下命令确认是否安装：

iptables -V

如果未安装，可以通过包管理器安装，如在基于Debian的系统中；

sudo apt-get install iptables

配置基本规则

iptables的基本规则配置可以通过命令行直接输入，也可以写入脚本文件。下面是一个简单的规则配置示例：

# 清除所有规则iptables -F# 允许本地回环接口的所有流量iptables -A INPUT -i lo -j ACCEPT# 允许已有的连接继续通信iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT# 允许从特定 IP 地址访问iptables -A INPUT -s 192.168.1.100 -j ACCEPT# 拒绝所有其他流量iptables -A INPUT -j DROP

保持配置持久化

要使iptables的配置在重启后仍然有效，需要将其保存到配置文件中。在Ubuntu上，可以使用iptables-persistent:

sudo apt-get install iptables-persistentsudo service netfilter-persistent save

3. 链与表的详细介绍

Filter表

Filter表是默认的表，用于数据包的过滤操作。它包含以下链：

• INPUT链：处理进入系统的数据包。

• FORWARD链：处理转发的数据包。

• OUTPUT链：处理系统发出的数据包。

示例：

允许HTTP和HTTPS端口的入站流量：

iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT

NAT表

NAT表用于网络地址转换，包含以下链：

• PREROUTING链：在数据包路由决定之前操作。

• POSTROUTING链：在数据包离开路由器后操作。

• OUTPUT链：用于本地主机生成的数据包的NAT操作。

示例：

配置端口转发（将外部8080端口映射到内部80端口）：

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j SNAT --to-source 203.0.113.1

Mangle表

Mangle表用于修改数据包的IP头部信息，常用于流量整形。包含以下链：

• PREROUTING链：在数据包路由决定之前操作。

• POSTROUTING链：在数据包离开路由器后操作。

• INPUT链：用于进入本地的数据包。

• FORWARD链：用于转发的数据包。

• OUTPUT链：用于本地生成的数据包。

Raw表

Raw表主要用于排除特定数据包的连接跟踪。包含以下链：

• PREROUTING链：在连接跟踪之前操作。

• OUTPUT链：用于本地生成的数据包。

4. 基本规则设置与示例

简单的允许和拒绝规则​​​​​​​

# 允许 SSH 访问iptables -A INPUT -p tcp -dport 22 -j ACCEPT# 拒绝所有其他流量iptables -A INPUT -j DROP

基于IP地址的过滤​​​​​​​

# 允许从特定 IP 地址的访问iptables -A INPUT -s 192.168.1.100 -j ACCEPT# 拒绝所有来自特定子网的流量iptables -A INPUT -s 192.168.1.0/24 -j DROP

基于端口的过滤​​​​​​​

# 允许HTTP和HTTPS流量iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT# 拒绝所有其他TCP流量iptables -A INPUT -p tcp -j REJECT

状态追踪（Connection Tracking）

使用-m conntrack --ctstate选项可以基于数据包的连接状态进行过滤。​​​​​​​

# 允许已有连接的数据包iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT# 拒绝新连接iptables -A INPUT -m conntrack --ctstate NEW -j REJECT

5. 复杂规则与组合使用

多表、多链组合​​​​​​​

# 使用NAT表进行端口转发iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80# 在Filter表中设置规则来允许转发到内部服务器的数据包iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT# 在NAT表的POSTROUTING链中设置源地址转换iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 203.0.113.1 --dport 1000:2000 -j ACCEPT

复杂匹配条件

可以结合多个条件来创建更复杂的匹配规则。例如，匹配特定的源IP、目的IP和端口范围的数据包：​​​​​​​

# 匹配来自192.168.1.0/24子网，目的地址为203.0.113.1，目的端口在1000-2000之间的TCP数据包。iptables -A INPUT -p tcp -s 192.168.1.0/24 -d 203.0.113.1 --dport 1000:2000 -j ACCEPT

自定义链与规则优化

当规则变得复杂时，可以创建自定义链来优化规则管理。自定义链可以帮助你将规则分类，并在特定条件下跳转到自定义链进行处理。​​​​​​​

# 创建一个名为CUSTOM_CHAIN的自定义链iptables -N CUSTOM_CHAIN# 在INPUT链中添加规则，匹配特定流量后跳转到CUSTOM_CHAIN进行处理iptables -A INPUT -p tcp --dport 8080 -j CUSTOM_CHAIN# 在自定义链中定义具体的处理规则iptables -A CUSTOM_CHAIN -s 192.168.1.100 -j ACCEPTiptables -A CUSTOM_CHAIN -j DROP

6. 日志记录与调试

使用LOG目标记录数据包

iptables提供了一个LOG目标，用于将匹配的数据包信息记录到系统日志中。这在调试和监控网络活动时非常有用。​​​​​​​

# 记录所有进入端口80的数据包iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "HTTP Traffic: "#