歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

linux防火牆軟件-itables使用方法

2.1 框架圖

-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->

mangle | mangle ^ mangle

nat | filter | nat

| |

| |

v |

INPUT OUTPUT

| mangle ^ mangle

| filter | nat

v ------>local------->| filter

2.2 鏈和表

filter: 顧名思義,用於過濾的時候

nat: 顧名思義,用於做 NAT 的時候

NAT:Network Address Translator

INPUT: 位於 filter 表,匹配目的 IP 是本機的數據包

FORWARD: 位於 filter 表,匹配穿過本機的數據包,

PREROUTING: 位於 nat 表,用於修改目的地址(DNAT)

POSTROUTING:位於 nat 表,用於修改源地址 (SNAT)

3.1 iptables 語法概述

iptables [-t 要操作的表]

<操作命令>

[要操作的鏈]

[規則號碼]

[匹配條件]

[-j 匹配到以後的動作]

3.2 命令概述

操作命令(-A、-I、-D、-R、-P、-F)

查看命令(-[vnx]L)

3.2.1 -A

-A <鏈名>

APPEND,追加一條規則(放到最後)

例如:

iptables -t filter -A INPUT -j DROP

在 filter 表的 INPUT 鏈裡追加一條規則(作為最後一條規則)

匹配所有訪問本機 IP 的數據包,匹配到的丟棄

3.2.2 -I

-I <鏈名> [規則號碼]

INSERT,插入一條規則

例如:

iptables -I INPUT -j DROP

在 filter 表的 INPUT 鏈裡插入一條規則(插入成第 1 條)

iptables -I INPUT 3 -j DROP

在 filter 表的 INPUT 鏈裡插入一條規則(插入成第 3 條)

注意: 1、-t filter 可不寫,不寫則自動默認是 filter 表

2、-I 鏈名 [規則號碼],如果不寫規則號碼,則默認是 1

3、確保規則號碼 ≤ (已有規則數 + 1),否則報錯

3.2.3 -D

-D <鏈名> <規則號碼 | 具體規則內容>

DELETE,刪除一條規則

例如:

iptables -D INPUT 3(按號碼匹配)

刪除 filter 表 INPUT 鏈中的第三條規則(不管它的內容是什麼)

iptables -D INPUT -s 192.168.0.1 -j DROP(按內容匹配)

刪除 filter 表 INPUT 鏈中內容為“-s 192.168.0.1 -j DROP”的規則

(不管其位置在哪裡)

注意:

1、若規則列表中有多條相同的規則時,按內容匹配只刪除序號最小的一條

2、按號碼匹配刪除時,確保規則號碼 ≤ 已有規則數,否則報錯

3、按內容匹配刪除時,確保規則存在,否則報錯

3.2.3 -R

-R <鏈名> <規則號碼> <具體規則內容>

REPLACE,替換一條規則

例如:

iptables -R INPUT 3 -j ACCEPT

將原來編號為 3 的規則內容替換為“-j ACCEPT”

注意:

確保規則號碼 ≤ 已有規則數,否則報錯

3.2.4 -P

-P <鏈名> <動作>

POLICY,設置某個鏈的默認規則

例如:

iptables -P INPUT DROP

設置filter 表 INPUT 鏈的默認規則是 DROP

注意:

當數據包沒有被規則列表裡的任何規則匹配到時,按此默認規則處理

3.2.5 -F

-F [鏈名]

FLUSH,清空規則

例如:

iptables -F INPUT

清空 filter 表 INPUT 鏈中的所有規則

iptables -t nat -F PREROUTING

清空 nat 表 PREROUTING 鏈中的所有規則

注意:

1、-F 僅僅是清空鏈中規則,並不影響 -P設置的默認規則

2、-P設置了 DROP 後,使用 -F 一定要小心!!!

3、如果不寫鏈名,默認清空某表裡所有鏈裡的所有規則

3.2.6 -[vxn]L

-L [鏈名]

LIST,列出規則

v:顯示詳細信息,包括每條規則的匹配包數量和匹配字節數

x:在 v 的基礎上,禁止自動單位換算(K、M)

n:只顯示 IP 地址和端口號碼,不顯示域名和服務名稱

例如:

iptables -L

粗略列出 filter 表所有鏈及所有規則

iptables -t nat -vnL

用詳細方式列出 nat 表所有鏈的所有規則,只顯示 IP 地址和端口號

iptables -t nat -vxnL PREROUTING

用詳細方式列出 nat 表 PREROUTING 鏈的所有規則以及詳細數字,不反解

3.3 匹配條件

流入、流出接口(-i、-o)

來源、目的地址(-s、-d)

協議類型 (-p)

來源、目的端口(--sport、--dport)

3.3.1 按網絡接口匹配

-i <匹配數據進入的網絡接口>

例如:

-i eth0

匹配是否從網絡接口 eth0 進來

-i ppp0

匹配是否從網絡接口 ppp0 進來

-o 匹配數據流出的網絡接口

例如:

-o eth0

-o ppp0

3.3.2 按來源目的地址匹配

-s <匹配來源地址>

可以是 IP、NET、DOMAIN,也可空(任何地址)

例如:

-s 192.168.0.1 匹配來自 192.168.0.1 的數據包

-s 192.168.1.0/24 匹配來自 192.168.1.0/24網絡的數據包

-s 192.168.0.0/16 匹配來自 192.168.0.0/16網絡的數據包

-d <匹配目的地址>

可以是 IP、NET、DOMAIN,也可以空

例如:

-d 202.106.0.20 匹配去往 202.106.0.20 的數據包

-d 202.106.0.0/16 匹配去往 202.106.0.0/16網絡的數據包

-d www.abc.com 匹配去往域名 www.abc.com 的數據包

3.3.3 按協議類型匹配

-p <匹配協議類型>

可以是 TCP、UDP、ICMP 等,也可為空

例如:

-p tcp

-p udp

-p icmp --icmp-type 類型

ping: type 8 pong: type 0

3.3.4 按來源目的端口匹配

--sport <匹配源端口>

可以是個別端口,可以是端口范圍

例如:

--sport 1000 匹配源端口是 1000 的數據包

--sport 1000:3000 匹配源端口是 1000-3000 的數據包(含1000、3000)

--sport :3000 匹配源端口是 3000 以下的數據包(含 3000)

--sport 1000: 匹配源端口是 1000 以上的數據包(含 1000)

--dport <匹配目的端口>

可以是個別端口,可以是端口范圍

例如:

--dport 80 匹配源端口是 80 的數據包

--dport 6000:8000 匹配源端口是 6000-8000 的數據包(含6000、8000)

--dport :3000 匹配源端口是 3000 以下的數據包(含 3000)

--dport 1000: 匹配源端口是 1000 以上的數據包(含 1000)

注意:--sport 和 --dport 必須配合 -p 參數使用

3.3.5 匹配應用舉例

1、端口匹配

-p udp --dport 53

匹配網絡中目的地址是 53 的 UDP 協議數據包

2、地址匹配

-s 10.1.0.0/24 -d 172.17.0.0/16

匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的所有數據包

3、端口和地址聯合匹配

-s 192.168.0.1 -d www.abc.com -p tcp --dport 80

匹配來自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 協議數據包

注意:

1、--sport、--dport 必須聯合 -p 使用,必須指明協議類型是什麼

2、條件寫的越多,匹配越細致,匹配范圍越小

3.4 動作(處理方式)

ACCEPT

DROP

SNAT

DNAT

MASQUERADE

3.4.1 -j ACCEPT

-j ACCEPT

通過,允許數據包通過本鏈而不攔截它

類似 Cisco 中 ACL 裡面的 permit

例如:

iptables -A INPUT -j ACCEPT

允許所有訪問本機 IP 的數據包通過

3.4.2 -j DROP

-j DROP

丟棄,阻止數據包通過本鏈而丟棄它

類似 Cisco 中 ACL 裡的 deny

例如:

iptables -A FORWARD -s 192.168.80.39 -j DROP

阻止來源地址為 192.168.80.39 的數據包通過本機

3.4.3 -j SNAT

-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 鏈)

源地址轉換,SNAT 支持轉換為單 IP,也支持轉換到 IP 地址池

(一組連續的 IP 地址)

例如:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \

-j SNAT --to 1.1.1.1

將內網 192.168.0.0/24 的原地址修改為 1.1.1.1,用於 NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \

-j SNAT --to 1.1.1.1-1.1.1.10

同上,只不過修改成一個地址池裡的 IP

3.4.4 -j DNAT

-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 鏈)

目的地址轉換,DNAT 支持轉換為單 IP,也支持轉換到 IP 地址池

(一組連續的 IP 地址)

例如:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.0.1

把從 ppp0 進來的要訪問 TCP/80 的數據包目的地址改為 192.168.0.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \

-j DNAT --to 192.168.0.2:80

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.0.1-192.168.0.10

3.4.5 -j MASQUERADE

-j MASQUERADE

動態源地址轉換(動態 IP 的情況下使用)
 

例如:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

將源地址是 192.168.0.0/24 的數據包進行地址偽裝

3.5 附加模塊

按包狀態匹配 (state)

按來源 MAC 匹配(mac)

按包速率匹配 (limit)

多端口匹配 (multiport)

3.5.1 state

-m state --state 狀態

狀態:NEW、RELATED、ESTABLISHED、INVALID

NEW:有別於 tcp 的 syn

ESTABLISHED:連接態

RELATED:衍生態,與 conntrack 關聯(FTP)

INVALID:不能被識別屬於哪個連接或沒有任何狀態

例如:

iptables -A INPUT -m state --state RELATED,ESTABLISHED \

-j ACCEPT

3.5.2 mac

-m mac --mac-source MAC

匹配某個 MAC 地址

例如:

iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \

-j DROP

阻斷來自某 MAC 地址的數據包,通過本機

注意:

MAC 地址不過路由,不要試圖去匹配路由後面的某個 MAC 地址

3.5.3 limit

-m limit --limit 匹配速率 [--burst 緩沖數量]

用一定速率去匹配數據包

例如:

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \

-j ACCEPT

iptables -A FORWARD -d 192.168.0.1 -j DROP

注意:

limit 僅僅是用一定的速率去匹配數據包,並非 “限制”

3.5.4 multiport

-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]

一次性匹配多個端口,可以區分源端口,目的端口或不指定端口

例如:

iptables -A INPUT -p tcp -m multiports --ports \

21,22,25,80,110 -j ACCEPT

注意:

必須與 -p 參數一起使用

4. 實例分析

單服務器的防護

如何做網關

如何限制內網用戶

內網如何做對外服務器

連接追蹤模塊

4.1 單服務器的防護

弄清對外服務對象

書寫規則

網絡接口 lo 的處理

狀態監測的處理

協議 + 端口的處理

實例:一個普通的 web服務器

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

注意:確保規則循序正確,弄清邏輯關系,學會時刻使用 -vnL

4.2 如何做網關

弄清網絡拓撲

本機上網

設置nat

啟用路由轉發

地址偽裝 SNAT/MASQUERADE

實例:ADSL 撥號上網的拓撲

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \

-j MASQUERADE

4.3 如何限制內網用戶

過濾位置 filer 表 FORWARD 鏈

匹配條件 -s -d -p --s/dport

處理動作 ACCEPT DROP

實例:

iptables -A FORWARD -s 192.168.0.3 -j DROP

iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \

-j DROP

iptables -A FORWARD -d bbs.chinaunix.net -j DROP

4.4 內網如何做對外服務器

服務協議(TCP/UDP)

對外服務端口

內部服務器私網 IP

內部真正服務端口

實例:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.1.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \

-j DNAT --to 192.168.1.2:80

4.5 連接追蹤模塊

為什麼要使用連接追蹤模塊

FTP 協議的傳輸原理

傳統防火牆的做法

如何使用

4.5.1 FTP 協議傳輸原理

使用端口

command port

data port

傳輸模式

主動模式(ACTIVE)

被動模式(PASSIVE)

4.5.1 FTP 協議傳輸原理

主動模式

client server

xxxx |---|----------|-->| 21

yyyy |<--|----------|---| 20

FW1 FW2

被動模式

client server

xxxx |---|----------|--->| 21

yyyy |---|----------|--->| zzzz

FW1 FW2

4.5.2 傳統防火牆的做法

只使用主動模式,打開 TCP/20

防火牆打開高范圍端口

配置 FTP服務,減小被動模式端口范圍

4.5.3 如何使用連接追蹤模塊

modprobe ipt_conntrack_ftp

modprobe ipt_nat_ftp

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -m state --state \

RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

5. 網管策略

怕什麼

能做什麼

讓什麼 vs 不讓什麼

三大“紀律”五項“注意”

其他注意事項

5.1 必加項

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" > \

/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

5.2 可選方案

堵:

iptables -A FORWARD -p tcp --dport xxx -j DROP

iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP

通:

iptables -A FORWARD -p tcp --dport xxx -j ACCEPT

iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED \

-j ACCEPT

iptables -P FORWARD DROP

5.3 三大“紀律”五項“注意”

三大“紀律”——專表專用

filter

nat

mangle

五項“注意”——注意數據包的走向

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

5.4 其他注意事項

養成好的習慣

iptables -vnL

iptables -t nat -vnL

iptables-save

注意邏輯順序

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

iptables -I INPUT -p tcp --dport yyy -j ACCEPT

學會寫簡單的腳本

6. FAQ.1

Q:我設置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP

為何內網用戶還是可以訪問那個地址?

A:filter 表的 OUTPUT 鏈是本機訪問外面的必經之路,內網數據不經過該鏈

Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP

為何內網用戶還是可以訪問那個地址?

A:檢查整個規則是否存在邏輯錯誤,看是否在 DROP 前有 ACCEPT

Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE

這條語句為何報錯?

A:POSTROUTING 鏈不支持“流入接口” -i 參數

同理,PREROUTING 鏈不支持“流出接口” -o 參數

6. FAQ.2

Q:我應該怎麼查看某個模塊具體該如何使用?

A:ipitables -m 模塊名 -h

Q:執行 iptables -A FORWARD -m xxx -j yyy

提示 iptables: No chain/target/match by that name

A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中,

缺少與 xxx 模塊有關的文件,或缺少與 yyy 動作有關的文件

名字為 ipt_xxx.o(2.4內核) 或 ipt_yyy.ko(2.6內核)

Q:腳本寫好了,內網上網沒問題,FTP 訪問不正常,無法列出目錄,為什麼?

A:缺少 ip_nat_ftp 這個模塊,modprobe ip_nat_ftp

6. FAQ.3

2.1 框架圖

-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->

mangle | mangle ^ mangle

nat | filter | nat

| |

| |

v |

INPUT OUTPUT

| mangle ^ mangle

| filter | nat

v ------>local------->| filter

2.2 鏈和表

filter: 顧名思義,用於過濾的時候

nat: 顧名思義,用於做 NAT 的時候

NAT:Network Address Translator

INPUT: 位於 filter 表,匹配目的 IP 是本機的數據包

FORWARD: 位於 filter 表,匹配穿過本機的數據包,

PREROUTING: 位於 nat 表,用於修改目的地址(DNAT)

POSTROUTING:位於 nat 表,用於修改源地址 (SNAT)

3.1 iptables 語法概述

iptables [-t 要操作的表]

<操作命令>

[要操作的鏈]

[規則號碼]

[匹配條件]

[-j 匹配到以後的動作]

3.2 命令概述

操作命令(-A、-I、-D、-R、-P、-F)

查看命令(-[vnx]L)

3.2.1 -A

-A <鏈名>

APPEND,追加一條規則(放到最後)

例如:

iptables -t filter -A INPUT -j DROP

在 filter 表的 INPUT 鏈裡追加一條規則(作為最後一條規則)

匹配所有訪問本機 IP 的數據包,匹配到的丟棄

3.2.2 -I

-I <鏈名> [規則號碼]

INSERT,插入一條規則

例如:

iptables -I INPUT -j DROP

在 filter 表的 INPUT 鏈裡插入一條規則(插入成第 1 條)

iptables -I INPUT 3 -j DROP

在 filter 表的 INPUT 鏈裡插入一條規則(插入成第 3 條)

注意: 1、-t filter 可不寫,不寫則自動默認是 filter 表

2、-I 鏈名 [規則號碼],如果不寫規則號碼,則默認是 1

3、確保規則號碼 ≤ (已有規則數 + 1),否則報錯

3.2.3 -D

-D <鏈名> <規則號碼 | 具體規則內容>

DELETE,刪除一條規則

例如:

iptables -D INPUT 3(按號碼匹配)

刪除 filter 表 INPUT 鏈中的第三條規則(不管它的內容是什麼)

iptables -D INPUT -s 192.168.0.1 -j DROP(按內容匹配)

刪除 filter 表 INPUT 鏈中內容為“-s 192.168.0.1 -j DROP”的規則

(不管其位置在哪裡)

注意:

1、若規則列表中有多條相同的規則時,按內容匹配只刪除序號最小的一條

2、按號碼匹配刪除時,確保規則號碼 ≤ 已有規則數,否則報錯

3、按內容匹配刪除時,確保規則存在,否則報錯

3.2.3 -R

-R <鏈名> <規則號碼> <具體規則內容>

REPLACE,替換一條規則

例如:

iptables -R INPUT 3 -j ACCEPT

將原來編號為 3 的規則內容替換為“-j ACCEPT”

注意:

確保規則號碼 ≤ 已有規則數,否則報錯

3.2.4 -P

-P <鏈名> <動作>

POLICY,設置某個鏈的默認規則

例如:

iptables -P INPUT DROP

設置filter 表 INPUT 鏈的默認規則是 DROP

注意:

當數據包沒有被規則列表裡的任何規則匹配到時,按此默認規則處理

3.2.5 -F

-F [鏈名]

FLUSH,清空規則

例如:

iptables -F INPUT

清空 filter 表 INPUT 鏈中的所有規則

iptables -t nat -F PREROUTING

清空 nat 表 PREROUTING 鏈中的所有規則

注意:

1、-F 僅僅是清空鏈中規則,並不影響 -P設置的默認規則

2、-P設置了 DROP 後,使用 -F 一定要小心!!!

3、如果不寫鏈名,默認清空某表裡所有鏈裡的所有規則

3.2.6 -[vxn]L

-L [鏈名]

LIST,列出規則

v:顯示詳細信息,包括每條規則的匹配包數量和匹配字節數

x:在 v 的基礎上,禁止自動單位換算(K、M)

n:只顯示 IP 地址和端口號碼,不顯示域名和服務名稱

例如:

iptables -L

粗略列出 filter 表所有鏈及所有規則

iptables -t nat -vnL

用詳細方式列出 nat 表所有鏈的所有規則,只顯示 IP 地址和端口號

iptables -t nat -vxnL PREROUTING

用詳細方式列出 nat 表 PREROUTING 鏈的所有規則以及詳細數字,不反解

3.3 匹配條件

流入、流出接口(-i、-o)

來源、目的地址(-s、-d)

協議類型 (-p)

來源、目的端口(--sport、--dport)

3.3.1 按網絡接口匹配

-i <匹配數據進入的網絡接口>

例如:

-i eth0

匹配是否從網絡接口 eth0 進來

-i ppp0

匹配是否從網絡接口 ppp0 進來

-o 匹配數據流出的網絡接口

例如:

-o eth0

-o ppp0

3.3.2 按來源目的地址匹配

-s <匹配來源地址>

可以是 IP、NET、DOMAIN,也可空(任何地址)

例如:

-s 192.168.0.1 匹配來自 192.168.0.1 的數據包

-s 192.168.1.0/24 匹配來自 192.168.1.0/24網絡的數據包

-s 192.168.0.0/16 匹配來自 192.168.0.0/16網絡的數據包

-d <匹配目的地址>

可以是 IP、NET、DOMAIN,也可以空

例如:

-d 202.106.0.20 匹配去往 202.106.0.20 的數據包

-d 202.106.0.0/16 匹配去往 202.106.0.0/16網絡的數據包

-d www.abc.com 匹配去往域名 www.abc.com 的數據包

3.3.3 按協議類型匹配

-p <匹配協議類型>

可以是 TCP、UDP、ICMP 等,也可為空

例如:

-p tcp

-p udp

-p icmp --icmp-type 類型

ping: type 8 pong: type 0
 

3.3.4 按來源目的端口匹配

--sport <匹配源端口>

可以是個別端口,可以是端口范圍

例如:

--sport 1000 匹配源端口是 1000 的數據包

--sport 1000:3000 匹配源端口是 1000-3000 的數據包(含1000、3000)

--sport :3000 匹配源端口是 3000 以下的數據包(含 3000)

--sport 1000: 匹配源端口是 1000 以上的數據包(含 1000)

--dport <匹配目的端口>

可以是個別端口,可以是端口范圍

例如:

--dport 80 匹配源端口是 80 的數據包

--dport 6000:8000 匹配源端口是 6000-8000 的數據包(含6000、8000)

--dport :3000 匹配源端口是 3000 以下的數據包(含 3000)

--dport 1000: 匹配源端口是 1000 以上的數據包(含 1000)

注意:--sport 和 --dport 必須配合 -p 參數使用

3.3.5 匹配應用舉例

1、端口匹配

-p udp --dport 53

匹配網絡中目的地址是 53 的 UDP 協議數據包

2、地址匹配

-s 10.1.0.0/24 -d 172.17.0.0/16

匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的所有數據包

3、端口和地址聯合匹配

-s 192.168.0.1 -d www.abc.com -p tcp --dport 80

匹配來自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 協議數據包

注意:

1、--sport、--dport 必須聯合 -p 使用,必須指明協議類型是什麼

2、條件寫的越多,匹配越細致,匹配范圍越小

3.4 動作(處理方式)

ACCEPT

DROP

SNAT

DNAT

MASQUERADE

3.4.1 -j ACCEPT

-j ACCEPT

通過,允許數據包通過本鏈而不攔截它

類似 Cisco 中 ACL 裡面的 permit

例如:

iptables -A INPUT -j ACCEPT

允許所有訪問本機 IP 的數據包通過

3.4.2 -j DROP

-j DROP

丟棄,阻止數據包通過本鏈而丟棄它

類似 Cisco 中 ACL 裡的 deny

例如:

iptables -A FORWARD -s 192.168.80.39 -j DROP

阻止來源地址為 192.168.80.39 的數據包通過本機

3.4.3 -j SNAT

-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 鏈)

源地址轉換,SNAT 支持轉換為單 IP,也支持轉換到 IP 地址池

(一組連續的 IP 地址)

例如:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \

-j SNAT --to 1.1.1.1

將內網 192.168.0.0/24 的原地址修改為 1.1.1.1,用於 NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \

-j SNAT --to 1.1.1.1-1.1.1.10

同上,只不過修改成一個地址池裡的 IP

3.4.4 -j DNAT

-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 鏈)

目的地址轉換,DNAT 支持轉換為單 IP,也支持轉換到 IP 地址池

(一組連續的 IP 地址)

例如:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.0.1

把從 ppp0 進來的要訪問 TCP/80 的數據包目的地址改為 192.168.0.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \

-j DNAT --to 192.168.0.2:80

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.0.1-192.168.0.10

3.4.5 -j MASQUERADE

-j MASQUERADE

動態源地址轉換(動態 IP 的情況下使用)

例如:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

將源地址是 192.168.0.0/24 的數據包進行地址偽裝

3.5 附加模塊

按包狀態匹配 (state)

按來源 MAC 匹配(mac)

按包速率匹配 (limit)

多端口匹配 (multiport)

3.5.1 state

-m state --state 狀態

狀態:NEW、RELATED、ESTABLISHED、INVALID

NEW:有別於 tcp 的 syn

ESTABLISHED:連接態

RELATED:衍生態,與 conntrack 關聯(FTP)

INVALID:不能被識別屬於哪個連接或沒有任何狀態

例如:

iptables -A INPUT -m state --state RELATED,ESTABLISHED \

-j ACCEPT

3.5.2 mac

-m mac --mac-source MAC

匹配某個 MAC 地址

例如:

iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \

-j DROP

阻斷來自某 MAC 地址的數據包,通過本機

注意:

MAC 地址不過路由,不要試圖去匹配路由後面的某個 MAC 地址

3.5.3 limit

-m limit --limit 匹配速率 [--burst 緩沖數量]

用一定速率去匹配數據包

例如:

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \

-j ACCEPT

iptables -A FORWARD -d 192.168.0.1 -j DROP

注意:

limit 僅僅是用一定的速率去匹配數據包,並非 “限制”

3.5.4 multiport

-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]

一次性匹配多個端口,可以區分源端口,目的端口或不指定端口

例如:

iptables -A INPUT -p tcp -m multiports --ports \

21,22,25,80,110 -j ACCEPT

注意:

必須與 -p 參數一起使用

4. 實例分析

單服務器的防護

如何做網關

如何限制內網用戶

內網如何做對外服務器

連接追蹤模塊

4.1 單服務器的防護

弄清對外服務對象

書寫規則

網絡接口 lo 的處理

狀態監測的處理

協議 + 端口的處理

實例:一個普通的 web服務器

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

注意:確保規則循序正確,弄清邏輯關系,學會時刻使用 -vnL

4.2 如何做網關

弄清網絡拓撲

本機上網

設置nat

啟用路由轉發

地址偽裝 SNAT/MASQUERADE

實例:ADSL 撥號上網的拓撲

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \

-j MASQUERADE

4.3 如何限制內網用戶

過濾位置 filer 表 FORWARD 鏈

匹配條件 -s -d -p --s/dport

處理動作 ACCEPT DROP

實例:

iptables -A FORWARD -s 192.168.0.3 -j DROP

iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \

-j DROP

iptables -A FORWARD -d bbs.chinaunix.net -j DROP

4.4 內網如何做對外服務器

服務協議(TCP/UDP)

對外服務端口

內部服務器私網 IP

內部真正服務端口

實例:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \

-j DNAT --to 192.168.1.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \

-j DNAT --to 192.168.1.2:80

4.5 連接追蹤模塊

為什麼要使用連接追蹤模塊

FTP 協議的傳輸原理

傳統防火牆的做法

如何使用

4.5.1 FTP 協議傳輸原理

使用端口

command port

data port

傳輸模式

主動模式(ACTIVE)

被動模式(PASSIVE)

4.5.1 FTP 協議傳輸原理

主動模式

client server

xxxx |---|----------|-->| 21

yyyy |<--|----------|---| 20

FW1 FW2

被動模式

client server

xxxx |---|----------|--->| 21

yyyy |---|----------|--->| zzzz

FW1 FW2

4.5.2 傳統防火牆的做法

只使用主動模式,打開 TCP/20

防火牆打開高范圍端口

配置 FTP服務,減小被動模式端口范圍

4.5.3 如何使用連接追蹤模塊

modprobe ipt_conntrack_ftp

modprobe ipt_nat_ftp

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -m state --state \

RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

5. 網管策略

怕什麼

能做什麼

讓什麼 vs 不讓什麼

三大“紀律”五項“注意”

其他注意事項

5.1 必加項

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" > \

/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

5.2 可選方案

堵:

iptables -A FORWARD -p tcp --dport xxx -j DROP

iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP

通:

iptables -A FORWARD -p tcp --dport xxx -j ACCEPT

iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED \

-j ACCEPT

iptables -P FORWARD DROP

5.3 三大“紀律”五項“注意”

三大“紀律”——專表專用

filter

nat

mangle

五項“注意”——注意數據包的走向

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

5.4 其他注意事項

養成好的習慣

iptables -vnL

iptables -t nat -vnL

iptables-save

注意邏輯順序

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

iptables -I INPUT -p tcp --dport yyy -j ACCEPT

學會寫簡單的腳本

6. FAQ.1

Q:我設置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP

為何內網用戶還是可以訪問那個地址?

A:filter 表的 OUTPUT 鏈是本機訪問外面的必經之路,內網數據不經過該鏈

Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP

為何內網用戶還是可以訪問那個地址?

A:檢查整個規則是否存在邏輯錯誤,看是否在 DROP 前有 ACCEPT

Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE

這條語句為何報錯?

A:POSTROUTING 鏈不支持“流入接口” -i 參數

同理,PREROUTING 鏈不支持“流出接口” -o 參數

6. FAQ.2

Q:我應該怎麼查看某個模塊具體該如何使用?

A:ipitables -m 模塊名 -h

Q:執行 iptables -A FORWARD -m xxx -j yyy

提示 iptables: No chain/target/match by that name

A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中,

缺少與 xxx 模塊有關的文件,或缺少與 yyy 動作有關的文件

名字為 ipt_xxx.o(2.4內核) 或 ipt_yyy.ko(2.6內核)

Q:腳本寫好了,內網上網沒問題,FTP 訪問不正常,無法列出目錄,為什麼?

A:缺少 ip_nat_ftp 這個模塊,modprobe ip_nat_ftp

6. FAQ.3


Copyright © Linux教程網 All Rights Reserved