iptables防火墙

@(Linux基础)[iptables防火墙]
iptables防火墙

目录

• • @(Linux基础)[iptables防火墙] iptables防火墙
• iptables简介
• 防火墙策
• 规则写法
  • iptables的增删查
• 常用例子：

iptables简介

iptables工作在用户空间，他是定义规则的工具，本身不是防火墙。他所定义得规则就是让在内核空间当中得netfilter来读取。而放入内核的地方必须要是特定的位置，必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方，可以实现读取规则的地方就叫做 netfilter.(网络过滤器)
他在内核中选取了5个位置:

• 1.内核空间中：从一个网络接口进来，到另一个网络接口去的
• 2.数据包从内核流入用户空间的
• 3.数据包从用户空间流出的
• 4.进入/离开本机的外网接口
• 5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数

• 1.PREROUTING (路由前)
• 2.INPUT (数据包流入口)
• 3.FORWARD (转发管卡)
• 4.OUTPUT(数据包出口)
• 5.POSTROUTING（路由后）

这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。

防火墙策

防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略。

规则写法

iptables定义规则的方式比较复杂:
格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

• -t table ：3个filter nat mangle
• COMMAND：定义如何对规则进行管理
• chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的
• CRETIRIA:指定匹配标准
• -j ACTION :指定如何进行处理

示例：
不允许172.16.0.0/24的进行访问

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

当然你如果想拒绝的更彻底

 iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v #查看定义规则的详细信息

• -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
• -F 清空规则链
• -L 查看规则链
• -A 在规则链的末尾加入新规则
• -I num 在规则链的头部加入新规则
• -D num 删除某一条规则
• -s 匹配来源地址IP/MASK，加叹号"!"表示除这个IP外。
• -d 匹配目标地址
• -i 网卡名称 匹配从这块网卡流入的数据
• -o 网卡名称 匹配从这块网卡流出的数据
• -p 匹配协议,如tcp,udp,icmp
• --dport num 匹配目标端口号
• --sport num 匹配来源端口号

iptables的增删查

查看

iptables -nvL –line-number

• -L 查看当前表的所有规则，默认查看的是filter表，如果要查看NAT表，可以加上-t NAT参数
• -n 不对ip地址进行反查，加上这个参数显示速度会快很多
• -v 输出详细信息，包含通过该规则的数据包数量，总字节数及相应的网络接口
• –line-number 显示规则的序列号，这个参数在删除或修改规则时会用到

添加

添加规则有两个参数：-A和-I。其中-A是添加到规则的末尾；-I可以插入到指定位置。

iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  10.20.36.199          0.0.0.0/0
2    DROP       all  --  10.20.36.15         0.0.0.0/0

添加一条规则到尾部：

iptables -A INPUT -s 192.168.1.5 -j DROP

再插入一条规则到第二行，将行数直接写到规则链的后面：

iptables -I INPUT 2 -s 10.25.65.22 -j DROP

查看：

iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  10.20.36.199          0.0.0.0/0
2   DROP       all  --  10.25.65.22         0.0.0.0/0 
3	DROP       all  --  10.20.36.15         0.0.0.0/0

删除：

iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  10.20.36.199          0.0.0.0/0
2   DROP       all  --  10.25.65.22         0.0.0.0/0 
3	DROP       all  --  10.20.36.15         0.0.0.0/0

查出第二行

iptables -D INPUT 2

修改
使用-R参数

iptables -R INPUT 3 -j ACCEPT

iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  10.20.36.199          0.0.0.0/0
2   DROP       all  --  10.25.65.22         0.0.0.0/0 
3	ACCEPT       all  --  10.20.36.15         0.0.0.0/0

开机添加规则
iptables-save > /opt/iptables_all.txt
在/etc/rc.local添加一行

iptables-restore < /etc/sysconfig/iptables

常用例子：

清空规则：

iptables -F
iptables –flush

两条任意一个都可以
设置链的默认策略
链的默认政策设置为”ACCEPT”（接受），若要将INPUT,FORWARD,OUTPUT链设置成”DROP”（拒绝），命令如下：

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

阻止指定ip地址
丢弃来自IP地址x.x.x.x的包

iptables -A INPUT -s x.x.x.x -j DROP

阻止来自IP地址x.x.x.x eth0 tcp的包

iptables -A INPUT -i eth0 x.x.x.x -j DROP
iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

允许所有SSH的连接请求
允许所有来自外部的SSH连接请求，即只允许进入eth0接口，并且目标端口为22的数据包

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

仅允许来自指定网络的SSH连接请求
仅允许来自于192.168.100.0/24域的用户的ssh连接请求

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

允许http和https的连接请求

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLEISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

允许所有来自web -https的连接请求

iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

使用multiport将多个规则结合在一起
允许多个端口从外界连入，除了为每个端口都写一条独立的规则外，我们可以用multiport将其组合成一条规则。如下所示： 例：允许所有ssh,http,https的流量访问。

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

允许从本地发起的ssh

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

请注意,这与允许ssh连入的规则略有不同。本例在OUTPUT链上，我们允许NEW和ESTABLISHED状态。在INPUT链上，我们只允许ESTABLISHED状态。ssh连入的规则与之相反。
仅允许从本地发起到一个指定的网络域的SSH请求
仅允许从内部连接到网域192.168.100.0/24

iptables -A OUTPUT-o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state NEW,ESTABLEISHED -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLEISHED -j ACCEPT

允许从本地发起的HTTPS连接请求
下面的规则时允许输出安全的网络流量。如果你想允许用户访问互联网。这些规则能让你使用wget从外部瞎子啊一些文件

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -I ETH0 -P tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

注：对于HTTP web流量的外联请求，只需要将上述命令中的端口从443改为80即可。
负载均衡传入的网络流量
使iptables可以实现传入web流量的负载均衡，我们可以传入web流量负载均衡是iptables防火墙规则。例如：使用iptables nth将https流量负载均衡到相同的ip地址。

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

允许外部主机ping内网主机

iptables -A -p icmp --icmp-type echo-request -j ACCEPT

iptables -A -p OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

允许内部主机ping外部主机

iptable -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

允许回环访问
在127.0.0.0回环访问

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

允许内部网络与外部网络的通信
防火墙服务器上的其中一个网卡连接到外部，另一个内网卡连接到内部服务器，使用以下规则允许内部网络与外部网络的通信，此外，eth1连接到外部网络（互联网），eth0连接到内部网络（例如：192.168.1.x）。

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT 

允许出站的DNS连接

iptables -A OUTPUT -p upd -o eth0 --dport 53 -j ACCEPT

iptables -A INPUT -P udp -i eth0 --sport 53 -j ACCEPT 

允许NIS连接
如果使用NIS管理用户账号，你需要允许NIS连接。如果你不允许NIS相关的ypbind连接请求，即使SSH连接请求已被允许，用户仍然无法登录。NIS的端口是动态的，先使用命令rpcinfo -p来知道端口，此例中为853和端口850端口。rpcinfo -p | grep ypbind 例如：允许来自111端口以及ypbind使用端口的连接请求。

iptables -A INPUT -p tcp --dport 111 -j ACCEPT 

iptables -A INPUT -p udp --dport 111 -j ACCEPT 

iptables -A INPUT -p tcp --dport 853 -j ACCEPT 

iptables -A INPUT -p udp --dport 853 -j ACCEPT

iptables -A INPUT -p tcp --dport 850 -j ACCEPT

iptables -A INPUT -p udp --dport 850 -j ACCEPT

注：当你重启ypbind之后端口将不同，上述命令将无效。有两种解决方案：1）使用你NIS的静态IP 2）编写shell脚本通过“rpcinfo - p”命令自动获取动态端口号,并在上述iptables规则中使用。

允许来自指定网络的rsync连接请求

允许来自网络192.168.101.0/24的rsync连接请求

iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT

允许来自指定网络的MySQL连接请求
一些小公司，MySQL数据库与web服务跑在同一台服务器上。有时候我们仅希望DBA和开发人员从内部网络（192.168.100.0/24）直接登录数据库，可尝试以下命令：

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

允许Sendmail,Postfix邮件服务

iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

允许IMAP和IMAPS
允许IMAP/IMAP2流量，端口143

iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

允许IMAPS流量，端口为993

iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

允许POP3和POP3S
允许POP3访问

iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

允许POP3S访问

iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

防止DoS攻击

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT


上述例子中：
-m limit: 启用limit扩展
–limit 25/minute: 允许最多每分钟25个连接（根据需求更改）。
–limit-burst 100: 只有当连接达到limit-burst水平(此例为100)时才启用上述limit/minute限制。

端口转发
将来自422端口的流量全部转到22端口。 这意味着我们既能通过422端口又能通过22端口进行ssh连接。启用DNAT转发。

iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22

除此之外，还需要允许连接到422端口的请求

iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

记录丢弃的数据表
第一步：新建名为LOGGING的链

iptables -N LOGGING

第二步：将所有来自INPUT链中的数据包跳转到LOGGING链中

iptables -A INPUT -j LOGGING

第三步：为这些包自定义个前缀，命名为”IPTables Packet Dropped”

iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7

第四步：丢弃这些数据包

iptables -A LOGGING -j DROP