關於Linux系統中iptables的一點點小結

趕腳這玩意還是挺有用的，把自己理解的記錄，僅供參考 <!--5f39ae17-8c62-4a45-bc43-b32064c9388a:W3siYmxvY2tJZCI6IjY2NjEtMTUwNzUzMzg2MzIxNiIsImJsb2NrVHlwZSI6ImltYWdlIiwic3R5bGVzIjp ...

趕腳這玩意還是挺有用的，把自己理解的記錄，僅供參考

1.iptables的工作機制從上面圖我們選擇了5個位置，來作為控制的地方，其實前三個位置已經基本上能將路徑徹底封鎖了，但是為什麼已經在進出的口設置了關卡之後還要在內部卡呢？由於數據包尚未進行路由決策，還不知道數據要走向哪裡，所以在進出口是沒辦法實現數據過濾的。所以要在內核空間里設置轉發的關卡，進入用戶空間的關卡，從用戶空間出去的關卡。那麼，既然他們沒什麼用，那我們為什麼還要放置他們呢？因為我們在做NAT和DNAT的時候，目標地址轉換必須在路由之前轉換。所以我們必須在外網而後內網的介面處進行設置關卡。這五個位置也被稱為五個規則鏈。 1.PREROUTING (路由前) 2.INPUT (數據包流入口) 3.FORWARD (轉發管卡) 4.OUTPUT(數據包出口) 5.POSTROUTING（路由後）這是NetFilter規定的五個規則鏈，任何一個數據包，只要經過本機，必將經過這五個鏈中的其中一個鏈。 2.防火牆的策略防火牆策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略，通策略，預設門是關著的，必須要定義誰能進。堵策略則是，大門是洞開的，但是你必須有身份認證，否則不能進。所以我們要定義，讓進來的進來，讓出去的出去，所以通，是要全通，而堵，則是要選擇。當我們定義的策略的時候，要分別定義多條功能，其中：定義數據包中允許或者不允許的策略，filter過濾的功能，而定義地址轉換的功能的則是nat選項。為了讓這些功能交替工作，我們制定出了“表”這個定義，來定義、區分各種不同的工作功能和處理方式。我們現在用的比較多個功能有3個： 1.filter 定義允許或者不允許的 2.nat 定義地址轉換的 3.mangle功能:修改報文原數據（暫時還沒用到）我們修改報文原數據就是來修改TTL的。能夠實現將數據包的元數據拆開，在裡面做標記/修改內容的。而防火牆標記，其實就是靠mangle來實現的。 3.小擴展: 對於filter來講一般只能做在3個鏈上：INPUT ，FORWARD ，OUTPUT 對於nat來講一般也只能做在3個鏈上：PREROUTING ，OUTPUT ，POSTROUTING 而mangle則是5個鏈都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING iptables/netfilter（這款軟體）是工作在用戶空間的，它可以讓規則進行生效的，本身不是一種服務，而且規則是立即生效的。而我們iptables現在被做成了一個服務，可以進行啟動，停止的。啟動，則將規則直接生效，停止，則將規則撤銷。 iptables還支持自己定義鏈。但是自己定義的鏈，必須是跟某種特定的鏈關聯起來的。在一個關卡設定，指定當有數據的時候專門去找某個特定的鏈來處理，當那個鏈處理完之後，再返回。接著在特定的鏈中繼續檢查。註意：規則的次序非常關鍵，誰的規則越嚴格，應該放的越靠前，而檢查規則的時候，是按照從上往下的方式進行檢查的。 4．規則的寫法: iptables定義規則的方式比較複雜: 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table ：3個filter nat mangle COMMAND：定義如何對規則進行管理 chain：指定你接下來的規則到底是在哪個鏈上操作的，當定義策略的時候，是可以省略的 CRETIRIA:指定匹配標準 -j ACTION :指定如何進行處理比如：不允許172.16.0.0/24的進行訪問。 iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP 當然你如果想拒絕的更徹底： iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT iptables -L -n -v #查看定義規則的詳細信息 5：詳解COMMAND: 1.鏈管理命令（這都是立即生效的） -P :設置預設策略的（設定預設門是關著的還是開著的）預設策略一般只有兩種 iptables -P INPUT (DROP|ACCEPT) 預設是關的/預設是開的比如： iptables -P INPUT DROP 這就把預設規則給拒絕了。並且沒有定義哪個動作，所以關於外界連接的所有規則包括Xshell連接之類的，遠程連接都被拒絕了。 -F: FLASH，清空規則鏈的(註意每個鏈的管理許可權) iptables -t nat -F PREROUTING iptables -t nat -F 清空nat表的所有鏈 -N:NEW 支持用戶新建一個鏈 iptables -N inbound_tcp_web 表示附在tcp表上用於檢查web的。 -X: 用於刪除用戶自定義的空鏈使用方法跟-N相同，但是在刪除之前必須要將裡面的鏈給清空昂了 -E：用來Rename chain主要是用來給用戶自定義的鏈重命名 -E oldname newname -Z：清空鏈，及鏈中預設規則的計數器的（有兩個計數器，被匹配到多少個數據包，多少個位元組） iptables -Z :清空 6.規則管理命令 iptables -t 表明（預設是filter表） -L 鏈 rule 動作 -P ：更改預設策略等價於 --policy iptables -t filter -P FORWARDING DROP iptables -t filter --policy FORWARDING ACCEPT -A：追加，在當前鏈的最後新增一個規則 -I num : 插入，把當前規則插入為第幾條。 -I 3 :插入為第三條 -R num：Replays替換/修改第幾條規則格式：iptables -R 3 ………… -D num：刪除，明確指定刪除第幾條規則 -F:刪除表中所有規則 7.查看管理命令 “-L” 附加子命令 -n：以數字的方式顯示ip，它會將ip直接顯示出來，如果不加-n，則會將ip反向解析成主機名。 -v：顯示詳細信息 -vv 越多越詳細 -x：在計數器上顯示精確值，不做單位換算 --line-numbers : 顯示規則的行號 -t nat：顯示所有的關卡的信息 8：詳解匹配標準 1.通用匹配：源地址目標地址的匹配 -s：指定作為源地址匹配，這裡不能指定主機名稱，必須是IP IP | IP/MASK | 0.0.0.0/0.0.0.0 而且地址可以取反，加一個“!”表示除了哪個IP之外 -d：表示匹配目標地址 -p：用於匹配協議的（這裡的協議通常有3種，TCP/UDP/ICMP） -i eth0：從這塊網卡流入的數據流入一般用在INPUT和PREROUTING上 -o eth0：從這塊網卡流出的數據流出一般在OUTPUT和POSTROUTING上 2.擴展匹配 2.1隱含擴展：對協議的擴展 -p tcp :TCP協議的擴展。一般有三種擴展 --dport XX-XX：指定目標埠,不能指定多個非連續埠,只能指定單個埠，比如 --dport 21 或者 --dport 21-23 (此時表示21,22,23) --sport：指定源埠 --tcp-fiags：TCP的標誌位（SYN,ACK，FIN,PSH，RST,URG）對於它，一般要跟兩個參數： 1.檢查的標誌位 2.必須為1的標誌位 --tcpflags syn,ack,fin,rst syn = --syn 表示檢查這4個位，這4個位中syn必須為1，其他的必須為0。所以這個意思就是用於檢測三次握手的第一次包的。對於這種專門匹配第一包的SYN為1的包，還有一種簡寫方式，叫做--syn -p udp：UDP協議的擴展 --dport --sport -p icmp：icmp數據報文的擴展 --icmp-type： echo-request(請求回顯)，一般用8 來表示所以 --icmp-type 8 匹配請求回顯數據包 echo-reply （響應的數據包）一般用0來表示 9：詳解-j ACTION 常用的ACTION： DROP：悄悄丟棄一般我們多用DROP來隱藏我們的身份，以及隱藏我們的鏈表 REJECT：明示拒絕 ACCEPT：接受 custom_chain：轉向一個自定義的鏈 DNAT SNAT MASQUERADE：源地址偽裝 REDIRECT：重定向：主要用於實現埠重定向 MARK：打防火牆標記的 RETURN：返回在自定義鏈執行完畢後使用返回，來返回原規則鏈。練習題1：只要是來自於172.16.0.0/16網段的都允許訪問我本機的172.16.100.1的SSHD服務分析：首先肯定是在允許表中定義的。因為不需要做NAT地址轉換之類的，然後查看我們SSHD服務，在22號埠上，處理機制是接受，對於這個表，需要有一來一回兩個規則，如果我們允許也好，拒絕也好，對於訪問本機服務，我們最好是定義在INPUT鏈上，而OUTPUT再予以定義就好。(會話的初始端先定義)，所以加規則就是：定義進來的： iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT 定義出去的： iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT 將預設策略改成DROP: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 練習題2：假如我們允許自己ping別人，但是別人ping自己ping不通如何實現呢？分析：對於ping這個協議，進來的為8（ping），出去的為0(響應).我們為了達到目的，需要8出去,允許0進來在出去的埠上：iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT 在進來的埠上：iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 小擴展：對於127.0.0.1比較特殊，我們需要明確定義它 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 11：SNAT和DNAT的實現由於我們現在IP地址十分緊俏，已經分配完了，這就導致我們必須要進行地址轉換，來節約我們僅剩的一點IP資源。那麼通過iptables如何實現NAT的地址轉換呢？ 1.SNAT基於原地址的轉換基於原地址的轉換一般用在我們的許多內網用戶通過一個外網的口上網的時候，這時我們將我們內網的地址轉換為一個外網的IP，我們就可以實現連接其他外網IP的功能。所以我們在iptables中就要定義到底如何轉換：定義的樣式：比如我們現在要將所有192.168.10.0網段的IP在經過的時候全都轉換成172.16.100.1這個假設出來的外網地址： iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1 這樣，只要是來自本地網路的試圖通過網卡訪問網路的，都會被統統轉換成172.16.100.1這個IP. 那麼，如果172.16.100.1不是固定的怎麼辦？我們都知道當我們使用聯通或者電信上網的時候，一般它都會在每次你開機的時候隨機生成一個外網的IP，意思就是外網地址是動態變換的。這時我們就要將外網地址換成 MASQUERADE(動態偽裝):它可以實現自動尋找到外網地址，而自動將其改為正確的外網地址。所以，我們就需要這樣設置： iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE 這裡要註意：地址偽裝並不適用於所有的地方。 2.DNAT目標地址轉換對於目標地址轉換，數據流向是從外向內的，外面的是客戶端，裡面的是伺服器端通過目標地址轉換，我們可以讓外面的ip通過我們對外的外網ip來訪問我們伺服器不同的伺服器，而我們的服務卻放在內網伺服器的不同的伺服器上。如何做目標地址轉換呢？： iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2 目標地址轉換要做在到達網卡之前進行轉換,所以要做在PREROUTING這個位置上 12：控制規則的保存以及恢復註意：你所定義的所有內容，當你重啟的時候都會失效，要想我們能夠生效，需要使用一個命令將它保存起來 1.service iptables save 命令它會保存在/etc/sysconfig/iptables這個文件中 2.iptables-save 命令 iptables-save > /etc/sysconfig/iptables 3.iptables-restore 命令開機的時候，它會自動載入/etc/sysconfig/iptabels 如果開機不能載入或者沒有載入，而你想讓一個自己寫的配置文件（假設為iptables.2）手動生效的話： iptables-restore < /etc/sysconfig/iptables.2 則完成了將iptables中定義的規則手動生效 13：總結 Iptables是一個非常重要的工具，它是每一個防火牆上幾乎必備的設置，也是我們在做大型網路的時候，為了很多原因而必須要設置的。學好Iptables,可以讓我們對整個網路的結構有一個比較深刻的瞭解，同時，我們還能夠將內核空間中數據的走向以及linux的安全給掌握的非常透徹。我們在學習的時候，儘量能結合著各種各樣的項目，實驗來完成，這樣對你加深iptables的配置，以及各種技巧有非常大的幫助。 Linux 開啟或禁止ping操作 Linux 預設是允許 ping 響應的，也就是說 ping 是開啟的，但 ping 有可能是網路攻擊的開始之處，所以關閉 ping 可以提高伺服器的安全繫數。系統是否允許 ping 由2個因素決定的：1、內核參數，2、防火牆。需要兩個因素同時允許才能允許 ping，有任意一個禁止，ping 就無法開啟。具體的配置方法如下： 1、內核參數設置允許/禁止 ping 設置（預設允許 ping）臨時允許/禁止 ping 操作的命令為：修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的內容，該文件內容只有 1 個字元，0 為允許 ping，1 為禁止 ping，無需重啟伺服器；永久允許/禁止 ping 配置方法：修改文件 /etc/sysctl.conf，在文件末尾增加一行： net.ipv4.icmp_echo_ignore_all = 1 如果已經有 net.ipv4.icmp_echo_ignore_all 這一行了，直接修改 = 號後面的值即可的 0 表示允許，1 表示禁止。修改完成後執行 sysctl -p 使新配置生效（重要）。 2、防火牆設置（此處的方法的前提是內核配置是預設值，也就是沒有禁止 ping）這裡以 iptables 防火牆為例，其他防火牆操作方法可參考防火牆的官方文檔。允許ping設置 iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT 或者也可以臨時停止防火牆： service iptables stop 禁止ping設置 iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP