iptables 简单配置示例

jopen 4年前

iptables/netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,

可以对流入、流出、流经服务器的数据包进行精细的控制。
iptables是Linux2.4及2.6内核中集成的模块。
防火墙果汁的执行顺序默认是从前到后依次执行,遇到匹配的规则就不在继续向下检查,若果遇到不匹配的规则会继续向下执行,
匹配上了拒绝规则也是匹配,因此不再继续。
在iptables中有三个最常用的表,分别是filter,nat和mangle,每一个表中都包含了各自不同的链。
filter表:
filter是iptables默认使用的表,负责对流入、流出本机的数据包进行过滤,该表中定义了3个链:
  1. INPOUT  负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包。
  2. FORWARD 负责转发流经本机但不进入本机的数据包,起到转发的作用。
  3. OUTPUT 负责处理所有源地址是本机地址的数据包,就是处理从主机发出去的数据包。
NAT表:
NAT是Network Address Translation的缩写,是网络地址转换的意思,用来负责来源与目的ip地址和port的转换。
一般用于局域网多人共享上网或将内网ip映射成外网ip+port转换的功能。该表主要包含3个链:
OUTPUT 和主机发出去的数据包有关,在数据包路由之前改变主机产生的数据包的目的地址。
PREROUTING 在数据包刚到达防火墙时,进行路由判断之前执行的规则。改变包的目的地址(DNAT功能)、端口等
POSTROUTING 在数据包离开防火墙时,进行路由判断之后执行的规则。改变包的源地址(SNAT功能)、端口等
Mangle表:
Mangle表主要负责修改数据包中的特殊路由标记,如TTL、TOS、MARK等。这个表中包含了5个链:INPUT、FORWARD、OUTPUT、PREROUTING、POSTROUTING,
这张表与特殊的标记相关,一般情况我们很少使用。

iptables:
    0.0.0.0 所有ip
</div>


#查看帮助
iptables -h
man iptables

列出iptables规则
iptables -L -n
列出iptables规则并显示规则编号
iptables -L -n --line-numbers

列出iptables nat表规则(默认是filter表)
iptables -L -n -t nat

清除默认规则(注意默认是filter表,如果对nat表操作要加-t nat)
#清楚所有规则
iptables -F
#删除用户自定义的链
iptables -X
#将链的计数器清零
iptables -Z

#重启iptables发现规则依然存在,因为没有保存
service iptables restart

#保存配置
service iptables save

#禁止ssh登陆(若果服务器在机房,一定要小心)
iptables -A INPUT -p tcp --dport 22 -j DROP
#清除规则
iptables -D INPUT -p tcp --dport 22 -j DROP
iptables -D INPUT [line-number]    // 根据

-A, --append chain 追加到规则的最后一条
-D, --delete chain [rulenum] Delete rule rulenum (1 = first) from chain
-I, --insert chain [rulenum] Insert in chain as rulenum (default 1=first) 添加到规则的第一条
-p, --proto  proto protocol: by number or name, eg. 'tcp',常用协议有tcp、udp、icmp、all
-j, --jump target 常见的行为有ACCEPT、DROP和REJECT三种,但一般不用REJECT,会带来安全隐患

注意:INPUT和DROP这样的关键字需要大写

#禁止192.168.10.0网段从eth0网卡接入
iptables -A INPUT -p tcp -i eth0 -s 192.168.10.0/24 -j DROP

#禁止ip地址非192.168.10.10的所有类型数据接入
iptables -A INPUT ! -s 192.168.10.10 -j DROP

#禁止ip地址非192.168.10.10的ping请求
iptables -I INPUT -p icmp --icmp-type 8 ! -s 192.168.98.10 -j DROP

#扩展匹配:1.隐式扩展 2.显示扩展
#隐式扩展
-p tcp
--sport PORT 源端口
--dport PORT 目标端口

#显示扩展:使用额外的匹配规则
-m EXTENSTION --SUB-OPT
-p tcp --dport 22 与 -p tcp -m tcp --dport 22功能相同

state:状态扩展,接口ip_contrack追踪会话状态
NEW:新的连接请求
ESTABLISHED:已建立的连接请求
INVALID:非法连接
RELATED:相关联的连接

#匹配端口范围
iptables -I INPUT -p tcp --dport 22:80 -j DROP

#匹配多个端口
iptables -I INPUT -p tcp -m multiport --dport 22,80 -j DROP

#不允许源端口为80的数据流出
iptables -I OUTPUT -p tcp --sport 80 -j DROP

#服务器一般默认规则问拒绝,如果想允某种流量通过需要额外添加
                         _____
Incoming                 /     \         Outgoing
       -->[Routing ]--->|FORWARD|------->
          [Decision]     \_____/        ^
               |                        |
               v                       ____
              ___                     /    \
             /   \                  |OUTPUT|
            |INPUT|                  \____/
             \___/                      ^
               |                        |
                ----> Local Process ----

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-6.html


配置防火墙:
两种模式:电影院模式和逛公园模式

配置一个生产环境的防火墙
#1.清空所有规则
iptables -F
iptables -Z
iptables -X

#2.配置允许ssh协议的22端口进入
iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT

#3.配置允许lo接口数据的进出
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#4.设置默认的进出规则,DROP掉INPUT链和FORWARD链,保留OUTPUT链
iptables --policy OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

#5.开启信任的IP段
iptables -A INPUT -p all -s 192.168.10.0/24 -j ACCEPT

#6.开放http的80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#7.允许icmp类型协议通过
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#8.允许关联状态包进出
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#对于FTP而言,就需要 RELATED 才能实现 21 端口白名单,如不加此项需要额外开放端口,而那些额外开放端口是不受连接状态保护的。

#9.保存iptables配置到文件
service iptables save


iptables --policy INPUT DROP // 将INPUT表策略修改为DROP


iptables的NAT功能:将Linux服务器配置为上网网关和端口映射功能

上网网关:就是将Linux服务器配置成路由器或者网关,实现其他服务器能通过这台服务器进行上网的功能,如果需要实在该功能,就要借助iptables的nat表

NAT的两种方式:DNAT和SNAT

SNAT的全称是Source Network Address Translation,意思是源网络地址转换,这是一种改变数据包源ip地址等功能的技术,
经常用来实现使多台计算机共享一个Internet地址访问互联网的功能,如x小区宽带、企业内部机器上网。(nat表的POSTROUTING)

DNAT的全称是Destination Network Address Translation,意思是目的网络地址转换,DNAT是一种改变数据包目的ip地址等功能的技术,它可以使多台服务器共享一个ip地址连入Internet,并且继续对外提供服务。通过对同一个外部ip地址分配不同的端口,可以映射到不同的内部服务器的ip和端口,从而实现提供各种服务的目的。除了进行端口映射外,还可以配合SNAT的功能,来实现类似防火墙设备才能实现的DMZ功能,即ip的一对一映射。(nat表的PREROUTING)


SNAT实验步骤:
1.准备两台服务器,其中一台服务器作为网关服务器,这台服务器要有两块网卡。另外一台作为内网服务器,有一块网卡。
2.网关服务器内核文件/etc/sysctl.conf需要开启转发功能。编辑/etc/sysctl.conf修改内容为net.ipv4.ip_forward=1,然后执行sysctl -p使修改立即生效。
3.设置iptables的filter表的FORWARD链允许转发。iptables  iptables -P FORWARD ACCEPT
4.将内网服务器的网关设置为网关服务器的内网ip地址
5.在网关服务器的iptables的nat表中加一条规则:iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 172.16.50.128
6.验证:ping 8.8.8.8可以ping通,但是ping百度不同,需要配置DNS

DNAT实验步骤
在网关服务器的iptables的nat表中加一条规则:
iptables -t nat -A PREROUTING -d 172.16.50.128 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.129:80

一对一映射:
ifconfig eth0:1 172.16.50.100/24
// 外网对该IP所有端口进行转发
iptables -t nat -A PREROUTING -d 172.16.50.100 -j DNAT --to-destination 192.168.10.129
// 内网访问外网前,先通过VM1 SNAT. 所有端口转发  这个和上面标绿字体部分差不多
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.129 -j SNAT --to-source 172.16.50.100  


一个网卡多个IP的方式:
1.网卡别名
    ifconfig eth0:1 192.168.50.200
2.?

删除nat表POSTROUTING 第一条rule
iptables -t nat -D POSTROUING 1

DNAT -> PREROUTING 
SNAT -> POSTROUTING

回路走的MAC记录