一 iptables基本管理
1--熟悉iptables框架
1)iptables的4个表(区分大小写):
iptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)。
2)iptables的5个链(区分大小写):
INPUT链(入站规则)
OUTPUT链(出站规则)
FORWARD链(转发规则)
PREROUTING链(路有前规则)
POSTROUTING链(路由后规则)
2--iptables命令的基本使用方法
1)iptabels语法格式
- [root@svr5 ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
- [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j REJECT
- [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT
- [root@svr5 ~]# iptables -I INPUT -p icmp -j REJECT
- //注意事项与规律:
- //可以不指定表,默认为filter表
- //可以不指定链,默认为对应表的所有链
- //除非设置默认策略,否则必须指定匹配条件
- //选项/链名/目标操作用大写字母,其余都小写
- ########################################################################
- //目标操作:
- // ACCEPT:允许通过/放行
- // DROP:直接丢弃,不给出任何回应
- // REJECT:拒绝通过,必要时会给出提示
- // LOG:记录日志,然后传给下一条规则
2)iptables命令的使用案例
- [root@svr5 ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
- //追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机
- [root@svr5 ~]# iptables -I INPUT -p udp -j ACCEPT
- //插入规则至filter表中的INPUT链的开头,允许任何人使用UDP协议访问本机
- [root@svr5 ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
- //插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机
查看iptables防火墙规则
- [root@svr5 ~]# iptables -nL INPUT //仅查看INPUT链的规则
- target prot opt source destination
- ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
- ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
- ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
- [root@svr5 ~]# iptables -L INPUT --line-numbers //查看规则,显示行号
- num target prot opt source destination
- 1 ACCEPT udp -- anywhere anywhere
- 2 ACCEPT icmp -- anywhere anywhere
- 3 ACCEPT tcp -- anywhere anywhere
删除规则,清空所有规则
- [root@svr5 ~]# iptables -D INPUT 3
- //删除filter表中INPUT链的第3条规则
- [root@svr5 ~]# iptables -nL INPUT //查看规则,确认是否删除
- [root@svr5 ~]# iptables -F
- //清空filter表中所有链的防火墙规则
- [root@svr5 ~]# iptables -t nat -F
- //清空nat表中所有链的防火墙规则
- [root@svr5 ~]# iptables -t mangle -F
- //清空mangle表中所有链的防火墙规则
- [root@svr5 ~]# iptables -t raw -F
- //清空raw表中所有链的防火墙规则
设置防火墙默认规则
- [root@svr5 ~]# iptables -t filter -P INPUT DROP
- [root@svr5 ~]# iptables -nL
- Chain INPUT (policy DROP)
- … …
二 filter过滤和转发控制
1-- iptables防火墙规则的条件
1)主机型防火墙案例
- [root@svr5 ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
- [root@svr5 ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
- [root@svr5 ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
- [root@svr5 ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
- [root@svr5 ~]# iptables -A INPUT -s 192.168.4.120 -j DROP
- //丢弃192.168.4.120发给本机的所有数据包
- [root@svr5 ~]# iptables -A INPUT -s 10.0.10.0/24 -j DROP
- //丢弃10.0.10.0/24网络中所有主机发送给本机的所有数据包
- [root@svr5 ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22-j REJECT
- //拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)
2--开启Linux的路由转发功能
1)Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能。
- [root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward //关闭路由转发
- [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
- //注意以上操作仅当前有效,计算机重启后无效
- [root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
- //修改/etc/sysctl.conf配置文件,可以实现永久有效规则
client eth0--192.168.4.100
网关--192.168.4.5
proxy eth0--192.168.4.5
eth1--192.168.2.5
web1 eth1--192.168.2.100
网关--192.168.2.5
设置proxy主机的防火墙规则,保护防火墙后面的Web服务器
- [root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP
3--禁ping的相关策略
1)默认直接禁ping的问题?
- [root@router ~]# iptables -I INPUT -p icmp -j DROP
- //设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
- //当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃
2)禁止其他主机ping本机,允许本机ping其他主机
- [root@router ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
- //仅禁止入站的ping请求,不拒绝入站的ping回应包
注意:关闭ICMP的类型,可以参考help帮助,参考命令如下:
- [root@router ~]# iptables -p icmp --help
三 防火墙扩展规则
1--根据MAC地址过滤
1)根据IP过滤的确定是对方修改IP后,防火墙是失效
- [root@router ~]# iptables -F
- [root@router ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
- //设置规则禁止192.168.4.100使用ssh远程本机
但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开,需要使用virt-manager开启虚拟机操作:
- [root@client ~]# ifconfig eth0 192.168.4.101
- [root@client ~]# ssh 192.168.4.5
根据MAC地址过滤,可以防止这种情况的发生
- [root@client ~]# ip link show eth0 //查看client的MAC地址
- eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
- link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
- [root@router ~]# iptables -A INPUT -p tcp --dport 22\
- > -m mac --mac-source 52:54:00:00:00:0b -j DROP
- //拒绝52:54:00:00:00:0b这台主机远程本机
2--基于多端口设置过滤规则
1)一次需要过滤或放行很多端口时会比较方便
- [root@router ~]# iptables -A INPUT -p tcp \
- > -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
- //一次性开启20,21,22,25,80,110,143,16501到16800所有的端口
3--根据IP地址范围设置规则
1)允许从 192.168.4.10-192.168.4.20 登录
- [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \
- > -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
- [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP
四 配置SNAT实现共享上网
1--设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)
1)确保router主机开启了路由转发功能
- [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
- [root@proxy ~]# echo "net.ipv4.ip_forward" >> /etc/sysctl.conf
2)设置防火墙规则,实现SNAT地址转换
- [root@proxy ~]# iptables -t nat -A POSTROUTING \
- > -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5
3)登陆web主机查看日志
- [root@web1 ~]# tail /var/log/httpd/access_log
- .. ..
- 192.168.2.5 - - [19/May/2018:16:49:28 +0800] "GET / HTTP/1.1" 200 10 "-" "curl/7.29.0"
MASQUERADE 伪装
iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -j MASQUERADE
filter表:
INPUT 数据包的目的ip地址是防火墙的ip地址,这个数据包是防火墙接收的
OUTPUT 数据包的源地址是防火墙的ip地址,这个数据包是防火墙产生的
FORWARD 数据包的源地址跟目的地址都不是防火墙的ip地址,这个链的规则可以过滤nat表的数据包
nat表:
POSTROUTING
共享上网
service iptables save //将临时设置的规则保存到/etc/sysconfig/iptables
systemctl enable iptables //把iptables服务设置成开机自启,后续开机都会调用/etc/sysconfig/iptables文件里的规则