目录
iptables命令
iptables简介
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。
iptables并不处理数据,真正处理数据的是内核里的软件netfilter。netfilter是位于Linux内核中的包过滤防火墙功能体系,称为防火墙的“内核态”。iptables位于/sbin/iptables,是用来管理防火墙的命令工具;iptables为防火墙体系提供过滤规则策略,决定如何过滤或处理到达防火墙主机的数据包;iptables称为防火墙的“内核态”。
防火墙工作在七层。
规则表是规则链的集合,规则表是具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的“表”中。“四表”是指 iptables 的功能,默认的 iptable s规则表有 filter 表(过滤规则表)、nat 表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表):
- filter 表:控制数据包是否允许进出及转发,可以控制的链路有 INPUT、FORWARD 和 OUTPUT。
- nat 表:控制数据包中地址转换,可以控制的链路有 PREROUTING、INPUT、OUTPUT 和 POSTROUTING。
- mangle:修改数据包中的原数据,可以控制的链路有 PREROUTING、INPUT、OUTPUT、FORWARD 和 POSTROUTING。
- raw:控制 nat 表中连接追踪机制的启用状况,可以控制的链路有 PREROUTING、OUTPUT。
规则链是防火墙规则/策略的集合,规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则链被组织在不同的“链”中。
“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则表中包含多个数据链:INPUT(入站数据过滤)、OUTPUT(出站数据过滤)、FORWARD(转发数据过滤)、PREROUTING(路由前过滤)和POSTROUTING(路由后过滤),防火墙规则需要写入到这些具体的数据链中。
四表的优先级:raw > mangle > nat > filter
Linux 防火墙的过滤框架,如图 1 所示。
可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过 PREROUTING 链与 INPUT 链;如果是防火墙本机发送数据包到外部主机,数据将会经过 OUTPUT 链与 POSTROUTING 链;如果防火墙作为路由负责转发数据,则数据将经过 PREROUTING 链、FORWARD 链以及 POSTROUTING 链。
iptables语法格式
iptables 命令的基本语法格式如下:
iptables [-t table] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
几个注意事项
- 不指定表名时,默认表示filter表
- 不指定链名时,默认表示该表内的所有连
- 除非设置规则链的默认参数策略,否则需要指定匹配条件
参数:
协议匹配
-p:指定协议(协议名可使用在/etc/protocols文件中定义的名称)
地址匹配
-s:指定源IP地址
-d:指定目的IP地址(地址可以是单个ip地址,也可以是网络地址带掩码长度,即网段)
接口匹配
-i:指定接受网络数据包的网络接口名
-o:指定发送网络数据包的网络接口名
端口匹配
--sport:指定源端口
--dport:指定目的端口
tcp标记匹配
使用“--tcp-flags 检查范围 被检查的标记的形式”
如:“--tcp-flags SYN,RST,ACK SYN”表示检查SYN,ACK,RAT这三个标记,只有SYN为1时满足条件
icmp类型匹配
使用“--icmp-type icmp类型”的形式
icmp类型可以使用类型字符串或者对应得数字,例如Echo-Requests/8,Echo-Reply/0
mac地址匹配
使用“-m mac”结合“--mac-source mac地址”得形式
多端口匹配
使用“-m multiport”结合“--sports 源端口列表”或“--dport 目的端口列表”的形式
多个端口间使用逗号分割,连续的端口也可以使用冒号分割
ip地址范围匹配
使用“-m iprange”结合“--src-range 源ip范围”或者“--dst-range 目标ip范围”的形式
以“-”符号连接起始ip地址和结束ip地址
数据包状态匹配
使用“-m state”结合“--state 状态类型”的形式,同时表示多种状态时以逗号分隔,常见的数据包状态包括:NEW,ESTABLISHED,RELATED
其他选项
-v:显示有多少数据包符合规则并被处理
-n:以数字形式输出ip地址和端口信息
--line-numbers:显示iptables规则行数
不接-n的时候速度会慢是因为不直接数字形式输出的话就有一个DNS解析的过程。
iptables 命令常用的选项及各自的功能如表 2 所示
选 项 | 功 能 |
---|---|
-A | 添加防火墙规则(在链尾追加一条新的规则) |
-D | 删除指定位置或内容的防火墙规则 |
-I | 插入防火墙规则(在指定位置插入一条新的规则,没有指定位置则插入到链首) |
-F | 清空防火墙规则 |
-L | 列出防火墙规则 |
-R | 替换防火墙规则 |
-Z | 清空防火墙数据表统计信息 |
-P | 设置链默认规则 |
-N | 创建一条新的规则链 |
-X | 删除自定义的规则链 |
iptables 命令触发动作及各自的功能如表 43所示。
触发动作 | 功 能 |
---|---|
ACCEPT | 允许数据包通过 |
DROP | 丢弃数据包 |
REJECT | 拒绝数据包通过 |
LOG | 将数据包信息记录 syslog 曰志 |
DNAT | 目标地址转换 |
SNAT | 源地址转换 |
MASQUERADE | 地址欺骗 |
REDIRECT | 重定向 |
内核会按照顺序依次检查 iptables 防火墙规则,如果发现有匹配的规则目录,则立刻执行相关动作,停止继续向下查找规则目录;如果所有的防火墙规则都未能匹配成功,则按照默认策略处理。使用 -A 选项添加防火墙规则会将该规则追加到整个链的最后,而使用 -I 选项添加的防火墙规则则会默认插入到链中作为第一条规则。
注意,在 Linux CentOS 系统中,iptables 是默认安装的,如果系统中没有 iptables 工具,可以先进行安装。
规则的查看与清除
使用 iptables 命令可以对具体的规则进行查看、添加、修改和删除
1) 查看规则
对规则的查看需要使用如下命令:
[root@liangxu ~]# iptables -nvL
各参数的含义为:
- -L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。
- -n 表示不对 IP 地址进行dns解析,加上这个参数显示速度将会加快。
- -v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
【例 1】查看规则。 首先需要使用 su 命令,切换当前用户到 root 用户。然后在终端页面输入命令如下:
[root@liangxu ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
2) 添加规则
添加规则有两个参数分别是 -A 和 -I。其中 -A 是添加到规则的末尾;-I 可以插入到指定位置,没有指定位置的话默认插入到规则的首部。
【例 2】查看当前规则。首先需要使用 su 命令,切换当前用户到 root 用户,然后在终端页面输入命令如下:
[root@liangxu ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
......
【例 3】添加一条规则到尾部。 首先需要使用 su 命令,切换当前用户到 root 用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.1.5 -j DROP
[root@liangxu ~]# iptables -t filter -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 DROP all -- 192.168.1.5 0.0.0.0/0
3) 修改规则
在修改规则时需要使用-R参数。 【例 4】把添加在第 6 行规则的 DROP 修改为 ACCEPT。首先需要使用 su 命令,切换当前用户到 root 用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -R INPUT 6 -s 194.168.1.5 -j ACCEPT
[root@liangxu ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 ACCEPT all -- 194.168.1.5 0.0.0.0/0
对比发现,第 6 行规则的 target 已修改为 ACCEPT。
4) 删除规则
删除规则有两种方法,但都必须使用 -D 参数。 【例 5】删除添加的第 6 行的规则。首先需要使用su命令,切换当前用户到 root 用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -D INPUT 6 -s 194.168.1.5 -j ACCEPT
或
[root@liangxu ~]# iptables -D INPUT 6
注意,有时需要删除的规则较长,删除时需要写一大串的代码,这样比较容易写错,这时可以先使用 -line-number 找出该条规则的行号,再通过行号删除规则。
5)snat策略
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 218.29.30.31
防火墙的备份与还原
默认的 iptables 防火墙规则会立刻生效,但如果不保存,当计算机重启后所有的规则都会丢失,所以对防火墙规则进行及时保存的操作是非常必要的。
iptables 软件包提供了两个非常有用的工具,我们可以使用这两个工具处理大量的防火墙规则。这两个工具分别是 iptables-save 和 iptables-restore,使用该工具可以实现防火墙规则的保存与还原。这两个工具的最大优势是处理庞大的规则集时速度非常快。
CentOS 7 系统中防火墙规则默认保存在 /etc/sysconfig/iptables 文件中,使用 iptables-save 将规则保存至该文件中可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。如果使用 iptables-save 将规则保存至其他位置,可以实现备份防火墙规则的作用。当防火墙规则需要做还原操作时,可以使用 iptables-restore 将备份文件直接导入当前防火墙规则。
iptables-save命令
iptables-save 命令用来批量导出 Linux 防火墙规则,语法介绍如下:
保存在默认文件夹中(保存防火墙规则):
[root@liangxu ~]# iptables-save > /etc/sysconfig/iptables
保存在其他位置(备份防火墙规则):
[root@liangxu ~]# iptables-save > 文件名称
直接执行 iptables-save 命令:显示出当前启用的所有规则,按照 raw、mangle、nat、filter 表的顺序依次列出,如下所示:
[root@liangxu ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020
其中:
- “#”号开头的表示注释;
- “*filter”表示所在的表;
- “:链名默认策略”表示相应的链及默认策略,具体的规则部分省略了命令名“iptables”;
- 在末尾处“COMMIT”表示提交前面的规则设置。
备份到其他文件中。例如文件:text,如下所示:
[root@liangxu ~]# iptables-save > test [root@liangxu ~]# ls test [root@bogon ~]# cat test # Generated by iptables-save v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......
列出nat表的规则内容,命令如下:
[root@liangxu ~]# iptables-save -t nat
“-t表名”:表示列出某一个表。
iptables-restore命令
iptables-restore 命令可以批量导入Linux防火墙规则,同时也需要结合重定向输入来指定备份文件的位置。命令如下:
[root@liangxu ~]# iptables-restore < 文件名称
注意,导入的文件必须是使用 iptables-save工具导出来的才可以。
先使用 iptables-restore 命令还原 text 文件,然后使用 iptables -t nat -nvL 命令查看清空的规则是否已经还原,如下所示:
[root@liangxu ~]# iptables-restore < test [root@liangxu ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
tracepath命令
tracepath命令用来追踪并显示报文到达目的主机所经过的路由信息,能够发现路由中的MTU值。tracepath使用套接字API来实现其所有功能,不需要root权限。
语法格式: tracepath [参数] [域名]
常用参数:
- -n 只显示ip地址
- -b 同时显示ip地址和主机名
- -l 设置初始化的数据包长度,默认为65535
- -m 设置最大TTL值,默认为30
- -p 设置要使用的初始目标端口
参考实例
追踪到达域名的主机路由信息:
[root@linuxcool ~]# tracepath www.linuxcool.com
追踪到达域名的主机路由信息(同时显示ip地址与主机名):
[root@linuxcool ~]# tracepath -b www.linuxcool.com
设置追踪报文路由的最大TTL值:
[root@linuxcool ~]# tracepath -m 20 www.linuxcool.com