iptables中内置五个表:
filter:过滤表,也是默认表
nat:地址转换表
mangle
raw
security
内核中内置五链:
PREROUTING
INPUT
FARWORD
OUTPUT
POSTROUTING
用户可以自定义链
查看本机iptables的filter表的规则 #本机默认关掉了firewalld,并且没有添加任何规则
[root@localhost ~]#iptables -vnL #-L:默认展示filter表. -n:数字格式显示。-v:详细格式
Chain INPUT (policy ACCEPT 187 packets, 13224 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 111 packets, 11120 bytes)
pkts bytes target prot opt in out source destination
如果想要看指定表上的规则
[root@localhost ~]#iptables -vnL -t nat #-t:指定表
例子:
[root@localhost ~]#iptables -t filter -A INPUT -s 192.168.91.137 -j DROP
-A|--append:追加一个规则
-s|--source:源地址。可以是主机名或者网段。例如192.168.0/24
-j|--jump target:常用的有ACCEPT,DROP,RETURN,REJECT
这条命令表示禁止来自192.168.91.137的任何渠道的访问
[root@localhost ~]#iptables -vnL
Chain INPUT (policy ACCEPT 2002 packets, 199K bytes) #ACCEPT表示在这个表的INPUT链上的默认规则
pkts bytes target prot opt in out source destination #prot:协议
0 0 DROP all -- * * 192.168.91.137 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1799 packets, 512K bytes)
pkts bytes target prot opt in out source destination
iptables默认是新添加的规则按顺序排列。如要查看编号
[root@localhost ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 434 packets, 39624 bytes)
num pkts bytes target prot opt in out source destination
1 1 67 DROP all -- * * 192.168.91.137 0.0.0.0/0
2 2 168 DROP all -- * * 192.168.91.132 0.0.0.0/0
插入规则
[root@localhost ~]#iptables -I INPUT 2 -s 192.168.71.0/24 -j DROP
[root@localhost ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 66 packets, 4372 bytes)
num pkts bytes target prot opt in out source destination
1 1 67 DROP all -- * * 192.168.91.137 0.0.0.0/0
2 0 0 DROP all -- * * 192.168.71.0/24 0.0.0.0/0
3 2 168 DROP all -- * * 192.168.91.132 0.0.0.0/0
I|--insert:插入
2:表示插入到第二行之前。如果是1或者没有给出行号,表示插入到链的第一行。
删除规则
[root@localhost ~]#iptables -D INPUT 3 #-D|--delete:删除
[root@localhost ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 58 packets, 3828 bytes)
num pkts bytes target prot opt in out source destination
1 1 67 DROP all -- * * 192.168.91.137 0.0.0.0/0
2 0 0 DROP all -- * * 192.168.71.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 30 packets, 2792 bytes)
num pkts bytes target prot opt in out source destination
清空规则
[root@localhost ~]#iptables -F #清空filter表上的所有规则
拒绝所有渠道的访问
[root@localhost ~]#iptables -A INPUT -j DROP
修改规则
[root@localhost ~]#iptables -R INPUT 2 -s 192.168.91.135 #-R|--replace:修改。规则号不能少
设定默认规则
[root@localhost ~]#iptables -P FORWARD DROP
[root@localhost ~]#iptables -vnL
Chain FORWARD (policy DROP 0 packets, 0 bytes)
如果做了WEB服务器,开启80端口.
[root@localhost ~]#iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果禁止某地址ssh本机
[root@localhost ~]#iptables -A INPUT -s 192.168.91.137 -p tcp --dport 22 -j DROP
-p:指定协议。包括tcp,udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 。或者"all"表示所有协议。
--dport:目标端口
自定义链
[root@localhost ~]#iptables -N chain_name #-X:删除 -E:修改
扩展
查看扩展用法
[root@localhost ~]#man iptables-extensions
string
iptables -A OUTPUT -m string --algo bm --string "google" -j REJECT
表示禁止访问google
connlimit
[root@localhost ~]#iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
限制与80端口连接的IP最大连接数为10
[root@localhost ~]#iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
limit
iptables -I INPUT -d 192.168.91.139 -p icmp --icmp-type 8 -m limit --limit-burst 5 -j ACCEPT
state
iptables -A INPUT -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
multiport
--sports
--dports
实现SNAT
NAT 是 network address translation 的缩写 网络地址转换
网络地址转换主要有两种:SNAT和DNAT,即源地址转换和目标地址转换
SNAT:源地址转换
eg:多台pc机使用ADSL路由器共享上网
每个pc都配置了内网IP,当pc机要访问外部网络的时候,路由器将数据包的包头的源地址替换成器的ip
解释:当外部网络的服务器比如网站web服务器接到访问请求的时候,
他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了所以叫做SNAT,基于源地址的地址转换。
DNAT是destination network address translation的 ,即目标网络地址转换
eg:典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip
互联网上的访问者使用公网ip来访问这个网站,
当访问的时候,客户端发出一个数据包
这个数据包的报头里边,目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,
然后再把这个数据包发送到内网的web服务器上
这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT,基于目标的网络地址转换
MASQUERADE,地址伪装,在iptables中有着和SNAT相近的效果,但也有一些区别
但使用SNAT的时候,出口ip的地址范围可以是一个,也可以是多个,例如:
如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3
如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
这就是SNAT的使用方法,即可以NAT成一个地址,也可以NAT成多个地址
但是,对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip
假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变
而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址
这个时候如果按照现在的方式来配置iptables就会出现问题了
因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的
每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip
这样是非常不好用的
MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT
比如下边的命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
如此配置的话,不用指定SNAT的目标ip了
不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去
这样就实现了很好的动态SNAT地址转换
实现DNAT
iptables -t nat -A PREROUTING -d 外网ip -p tcp --dport 80 -j DNAT --to-destination 内网ip:[port]
端口转换
iptables -t nat -A PREROUTING -d 本机ip -p tcp --dport 80 -j REDIRECT --to-ports 8080