iptables服务

iptables

iptables 是一款基于命令行的防火墙策略管理工具,具有大量参数,我们只需要掌握常用的参数并做到灵活搭配即可,这就足以应对日常工作了。
iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。

三张表五条链

filter：  input  output  forward
 nat  ：  input  output           prerouting  postrouting
mangle：  input  output  forward  prerouting  postrouting

五条链：
INPUT:进来的数据包应用此规则链中的策略
OUTPUT:外出的数据包应用此规则链中的策略
FORWARD:转发数据包应用此规则中的策略
PREROUTING:对数据包作路由选择前一共用此链中的策略(所有的数据包进来的时候都有这个链处理)
POSTROUTING:对数据包作路由选择后应用此链中的策略(所有的数据包出来的时候都由这个链处理)

1.启用iptables

[root@client ~]# systemctl stop firewalld.service 
[root@client ~]# systemctl disable firewalld.service 
[root@client ~]# systemctl start iptables.service 
[root@client ~]# systemctl enable iptables.service 

2.iptables参数

-P 默认
-A 添加（会添加到最后）
-I(大写的i) 表示插入，后面接数字，可以指定插入位置
-R修改
-F清除
-n表示不作解析
-L列出当前火墙策略
-D （后面接数字）删除某一条规则
-s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如 TCP、UDP、ICMP
–dport num 匹配目标端口号
–sport num 匹配来源端口号
如：

[root@client ~]# iptables -nL           #n表示不作解析，L列出当前火墙策略
[root@client ~]# iptables -F            #刷新
[root@client ~]# service iptables save  #保存
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

刷新

3.iptables策略规则

防火墙策略规则的设置有两种:ACCEPT和DROP。当把 INPUT 链设置为默认拒绝后,就要在防火墙策略中写入允许策略了,否则所有到来的流量都会被拒绝掉。另外,需要注意的是,规则链的默认拒绝动作只能是 DROP,而不能是 REJECT，DROP 和REJECT的区别在于DROP不仅拒绝而且不做响应，而REJECT拒绝之后在访问的一端会有提示

[root@localhost ~]# iptables -P INPUT DROP
[root@localhoat ~]# iptables -P INPUT ACCEPT

4.iptables规则的添加，删除和更改

防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到最前面

规则添加，例如：
[root@localhost ~]# iptables -A INPUT -s 172.25.254.155 -p tcp --dport 22 -j REJECT #向INPUT链中添加拒绝172.25.254.155访问22端口
或
[root@localhost ~]# iptables -I INPUT 1 -s 172.25.254.155 -p tcp --dport 22 -j REJECT #向INPUT链中添加拒绝172.25.254.155访问22端口，
规则删除，例如：
[root@localhost ~]# iptables -D INPUT 1  #删除第一条
规则更改，例如：
[root@localhost ~]# iptables -R INPUT 1 -s 172.25.254.155 -p tcp --dport 22 -j REJECT #把INPUT链中第一条规则改为允许172.25.254.155访问22端口

拒绝172.25.254.155访问22端口

测试：172.25.254.155不能远程连接

172.25.254.252可以远程连接

删除前和删除后

更改前与更改后

5.标识策略

[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT      #只检测第一次使用22端口用户的访问
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT

6.伪装与转发

[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source=172.25.254.140          #地址伪装
[root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 172.25.0.240   #端口转发

测试：地址伪装

端口转发