iptables笔记汇总
一、基础概念
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter
netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。
iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。
netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
二、四表五链
1、表和链关系
iptables的规则表和链:
表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。
当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。
如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,
如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。
2、表
1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包
内核模块:iptables_filter
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口)
内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
内核模块:iptable_mangle
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理
内核模块:iptable_raw
3、链
1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
(所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)
4、防火墙的处理过程
表之间的优先顺序:
Raw——mangle——nat——filter
链之间的优先顺序:
1:入站数据流向
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。
2:转发数据流向
外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后会进行路由选择,如果数据包的目标地址是其它外部地址(比如局域网用户通过网 关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包的地址等)进行处理。
3:出站数据流向
防火墙本机向外部地址发送的数据包(比如在防火墙主机中测试公网DNS服务器时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理。
iptables传输数据包的过程
1、当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
2、如果数据包就是进入本机的,它就会沿着图向上移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
3、如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
数据包通过防火墙时的情况分为三种:
1、以本地为目标的包
当一个数据包进入防火墙后,如果目的地址是本机,被防火墙进行检查的顺序如下:
如果在某一个步骤数据包被丢弃,就不会执行后面的检查
| 步骤 | 表 | 链 | 说明 |
|---|---|---|---|
| 1 | 数据包在链路上进行传输 | ||
| 2 | 数据包进入网络接口 | ||
| 3 | raw | PREROUTING | 决定数据包是否被状态跟踪机制处理 |
| 4 | mangle | PREROUTING | 用来mangle数据包,如对包进行改写或做标记 |
| 5 | nat | PREROUTING | 用来做DNAT(IP端口地址转换) |
| 6 | 路由判断,如包是发往本地的还是要转发的 | ||
| 7 | mangle | INPUT | 在路由之后,被送往本地程序之前如对包进行改写或做标记 |
| 8 | filter | INPUT | 所有以本地为目的的包都需要经过这个链,包的过滤规则设置在此 |
| 9 | 数据包到达本地程序,如服务程序或客户程序 |
2、以本地为源的包
本地应用程序发出的数据包,被防火墙进行检查的顺序如下:
| 步骤 | 表 | 链 | 说明 |
|---|---|---|---|
| 1 | 本地程序,如服务程序或客户程序 | ||
| 2 | 路由判断 | ||
| 3 | raw | OUTPUT | 决定数据包是否被状态跟踪机制处理 |
| 4 | mangle | OUTPUT | 用来mangle数据包,如对包进行改写或标记 |
| 5 | nat | OUTPUT | 对发出的包进行DNAT操作 |
| 6 | filter | OUTPUT | 对本地发出的包过滤,包的过滤规则设置在此 |
| 7 | mangle | POSTROUTING | 进行数据包的修改 |
| 8 | filter | POSTROUTING | 在这里做SNAT(回复流量能够正确地返回到原始请求的发送者) |
| 9 | 数据包离开网络接口并在链路上传输 |
3、被转发的数据包
需要通过防火墙转发的数据包,被防火墙进行检查的顺序如下;
| 步骤 | 表 | 链 | 说明 |
|---|---|---|---|
| 1 | 数据包在链路上传输 | ||
| 2 | 进入网络接口 | ||
| 3 | raw | PREROUTING | 决定数据包是否被状态跟踪机制处理 |
| 4 | mangle | PREROUTING | mangle数据包,对包进行改写或做标记 |
| 5 | nat | PREROUTING | 这个链主要做DNAT |
| 6 | 路由判断,如包是发往本地的,还是要转发 | ||
| 7 | mangle | FORWARD | 包继续被发送至mangle表的FORWARD链,这是非常特殊的情况下才会用到的,在这里,包被mangle。这次mangle发生在最初的路由判断之后,在最后一次更改包的目的之前 |
| 8 | filter | FORWARD | FORWARD包断续被发送到这条FORWARD链,只有需要转发的包才会走到这里,并且针对这些包的所有过滤也在这里进行,注意,所有转发的包都要经过这里 |
| 9 | mangle | POSTROUTING | 这个链也是针对一些特殊类型的包,这一步mangle是在所有更改包的目的地址的操作完成之后做的,但这时包还在本地上 |
| 10 | nat | POSTROUTING | 这个链就是用来做SNAT的,不推荐在此处过滤,因为某些包即使不满足条件也会通过 |
| 11 | 离开网络接口 | ||
| 12 | 数据包在链路上传输 |
在对包进行过滤时,常有以下3个动作:
ACCEPT:
一旦数据包满足了指定的匹配条件,数据包就会被ACCEPT,并且不会再去匹配当前链中的其他的规则或同一个表内的其他规则,但数据仍然需要通过其他表中的链
DROP:
如果包符合条件,数据包被会丢掉,并且不会向发送者返回任何信息,也不会向路由返回信息
REJECT:
和DROP基本一样,区别在于除了将包丢弃并且向发送者返回错误信息
三、安装iptables
1、关闭防火墙和selinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
sed -i.bak s/'^SELINUX=enforcing$'/'SELINUX=disabled'/g /etc/selinux/config
2、安装iptables
# CentOS 7自带iptables,但不自带iptables-services
# 查看系统中是否有iptables 直接输入iptables看有没有这个命令就好了
# 查看系统中是否有iptables-services
systemctl status iptables
# 如果没有的话会输出iptables-services could not be find.
# 安装
yum -y install iptables-services
[root@localhost ~]# systemctl enable --now iptables.service
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@localhost ~]# systemctl status iptables.service
3、iptables常用命令
iptables的基本语法格式
iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。
iptables命令的管理控制选项
-A 在指定链的末尾添加(append)一条新的规则
-D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I 在指定链中插入(insert)一条新的规则,默认在第一行添加
-R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L 列出(list)指定链中所有的规则进行查看
-E 重命名用户定义的链,不改变链本身
-F 清空(flush)
-N 新建(new-chain)一条用户自己定义的规则链
-X 删除指定表中用户自定义的规则链(delete-chain)
-P 设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n 使用数字形式(numeric)显示输出结果
-v 查看规则表详细信息(verbose)的信息
-V 查看版本(version)
-h 获取帮助(help)
-F 清空规侧链
-I 在链的首行加入新规则,一般拒绝的规则使用-I
-A 在链的末尾加入新规则,一般允许的规则使用-A
-l num 在规则链的头部幼加入新规则
-D num 删除某条规则
-S 匹配来源地址lP/MASK,加叹号"!”表示这个IP除外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-0 网卡名称 匹配从这块网卡流出的数据
-P 匹配协议,如TCP、UDP、ICMP
–dport num 匹配目标端口号
–sport num 匹配来源端口号
4、处理数据包的方式
# 防火墙处理数据包的四种方式
ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给任何回应信息
REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
日志在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则
5、清空默认规则
注意:默认规则是因为iptables每次重启后都会加载/etc/sysconfig/iptables这个文件中的规则,而原先的规则如果没保存也会失效
# 查看规则
iptables -nL
# 清空规则
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# 设置22端口开放策略
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
四、命令格式
1、查询规则
iptables -t 表名 -L
# 查看对应表的所有规则,-t选项指定表,省略”-t 表名”时,默认filter表,-L表示列出规则,即查看规则。
# 表名参数:filter,raw,mangle,nat
iptables -t 表名 -L 链名
# 查看指定表的指定链中的规则。
# 链名参数:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
iptables -t 表名 -v -L
# -v表示verbose详细信息,会显示出”计数器”的信息
iptables -t 表名 -n -L
# 在显示规则时,不对规则中的IP或者端口进行名称反解,-n选项表示不解析IP地址
iptables --line-numbers -t 表名 -L
# 显示规则的序号,–line-numbers选项表示显示规则的序号,可以简写为--line
iptables -t 表名 -v -x -L
或iptables --line -t filter -nvxL
# 显示更详细的信息(-v选项,计数器中的信息显示为精确的计数值),-x选项表示显示计数器的精确值。
iptables --line -t filter -nvxL INPUT
# 只查看某张表中的某条链,此处以filter表的INPUT链
-t 指定表名,省略默认filter表
-L 列出规则,可指定链名
-v 显示详细信息及计数器
-x 和-vx一起使用,显示计数器精确值
-n 不解析IP地址,更易读
--line --line-numbers显示规则序号
2、增加规则
# 在指定表的指定链的尾部添加一条规则,-A选项表示在对应链的(末尾添加)规则,省略-t选项时,表示默认操作filter表中的规则
# 命令语法:iptables -t 表名 -A 链名 匹配条件 -j 动作
# 示例:
iptables -t filter -A INPUT -s 192.168.100.8 -j DROP
iptables --line -nvL INPUT
# 在指定表的指定链的首部添加一条规则,-I选型表示在对应链的开头添加规则(默认开头处)
# 命令语法:iptables -t 表名 -I 链名 匹配条件 -j 动作
示例:
iptables -t filter -I INPUT -s 192.168.100.8 -j ACCEPT
iptables --line -nvL INPUT
#在指定表的指定链的(指定位置)加一条规则
# 命令语法:iptables -t 表名 -I 链名 规则序号 匹配条件 -j 动作
示例:
iptables -t filter -I INPUT 3 -s 192.168.100.8 -j REJECT
iptables --line
最低0.47元/天 解锁文章
扫一扫
528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
