工作机制

基础说明

iptables并不是真正的防火墙、它只是位于用户空间的一个命令行工具, netfilter 才是真正的安全框架、iptables只是将我们定义的规则转交给netfilter. 
netfilter 是Linux操作系统核心层的一个数据包处理模块

规则链名称

规则链名称包括以下5个、也被称为5个钩子函数:

INPUT链: 处理输入数据包

OUTPUT链: 处理输出数据包

FORWARD链: 处理转发数据

PREROUTING链: 用于目的地址转换(DNAT)

POSTROUTING链: 用于源地址转换(SNAT)

报文流向

本机到某进程: prerouting -> input
本机转发: prerouting -> forward -> postrouting (直接在内核空间转发)
本机进程发出(通常为响应报文): output -> postrouting
即: 当启用你过来防火墙功能时、报文需要经过不同的关卡(链)、但根据情况的不同、会经过不同的链

为什么称为链

防火墙的作用就在于对经过的报文进行规则匹配、然后执行对应的动作、但是每个关卡上可能有很多规则、这些规则按照配置顺序从上到下执行、看起来就像是一个链

表

这么多的链都放了一系列的规则、但是有些很类似、比如A类规则是对ip或者短裤过滤; B类规则是修改报文... , 那么这些类似功能的规则能不能放在一起呢 ?
答案是可以的、iptables提供了如下规则的分类(表):
filter表: 负责过滤功能 , 防火墙; 内核模块 iptable_filter
nat表: 网络地址转换; 内核模块: iptable_nat
mangle表: 解析报文、修改报文、并重新封装 内核模块: iptable_mangle
raw表: 关闭nat表上启用的连接追踪机制; 内核模块: iptable_raw

当这些表处于同一条链时优先级如下:
raw -> mangle -> nat -> filter

防火墙的策略

通: 默认不允许、需要定义谁可以进入

堵: 默认允许、但需要证明自己的身份

filter功能: 定义允许或者不允许的策略, 工作在 input / output / forward 链

nat选项: 定义地址转换功能, 工作在 prerouting / output / postrouting 链

为了让这些功能都工作、制定了表的定义, 来区分不同的工作功能和处理方式

常用功能

filter 定义允许或者不允许、工作在 input, output, forward 链上

nat 定义地址转换, 工作在 prerouting, output, postrouting 链上

mangle 修改报文原数据, 5个链都可以工作

注意: 设置多个规则链时、要把规则严格的放在前边、因为它是从上到下检查的~

规则动作

accept: 接收数据包

drop: 丢弃数据包

redirect: 重定向、映射、透明代理

snat: 源地址转换

dnat: 目标地址转换

masquerade: ip伪装(nat), 用于ADSL

log: 日志记录

思考:

其实iptables就是帮我们实现了网络包选择、地址转换、报文修改这些功能、为了实现这些功能、它划分了很多链、包括 prerouting、input、forward、output、postrouting, 定义了规则动作 accept、drop、redirect、snat、dnat、log、masquerade来实现这些功能.

实例

清空当前所有规则和计数

iptables -F # 清空所有防火墙规则
iptables -X # 删除用户自定义的空链
iptables -Z # 清空计数

配置允许ssh端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
# 22: ssh端口 -s 192.168.1.0/24 被允许的网段、 -j accept 接受这种类型的请求

允许本地回环地址可以正常使用

iptables -A INPUT -i lo -j accept
iptables -A INPUT -o lo -j accept

设置默认规则

iptables -P INPUT DROP # 配置默认的不让进
iptables -P FORWARD DROP # 默认的不允许转发
iptables -P OUTPUT ACCEPT # 默认的可以出去

配置白名单

iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT  # 允许机房内网机器可以访问
iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT  # 允许机房内网机器可以访问
iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT 
# 允许183.121.3.7访问本机的3380端口

开启相应的服务端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口，因为web对外都是这个端口
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来

保存规则到配置文件

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份，请保持这一优秀的习惯
iptables-save > /etc/sysconfig/iptables
cat /etc/sysconfig/iptables

列出已设置规则

iptables -L [-t 表名] [链名]

iptables -L -t nat                  # 列出 nat 上面的所有规则
#            ^ -t 参数指定，必须是 raw， nat，filter，mangle 中的一个
iptables -L -t nat  --line-numbers  # 规则带编号
iptables -L INPUT

iptables -L -nv  # 查看，这个列表看起来更详细

端口映射

iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222  -j DNAT --to-dest 192.168.188.115:22
# 将本机的 2222端口 映射到虚拟机的 22端口

防止SYN洪水攻击

iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT

写在最后

iptables --help 可以看到更多的选项、可以看到每一个选项的解释、本文列出了一些简单使用、欢迎指正、交流~