1、linux防火墻iptables詳細教程2.1 框架圖->PREROUTING->ROUTE->FORWARD->POSTROUTING->mangle | mangle manglenat | filter | nat| | |v |INPUT OUTPUT| mangle mangle| filter | natv ->local->| filter2.2 鏈和表表filter:顧名思義,用于過濾的時候nat:顧名思義,用于做NAT 的時候NAT:Network Address Translator鏈INPUT:位于filter 表,匹配目的IP

2、是本機的數據包FORWARD:位于filter 表,匹配穿過本機的數據包,PREROUTING:位于nat 表,用于修改目的地址(DNATPOSTROUTING:位于nat 表,用于修改源地址(SNAT3.1 iptables 語法概述iptables -t 要操作的表<操作命令>要操作的鏈規則號碼匹配條件-j 匹配到以后的動作3.2 命令概述操作命令(-A、-I、-D、-R、-P、-F查看命令(-vnxL-A <鏈名>APPEND,追加一條規則(放到最后例如:iptables -t filter -A INPUT -j DROP在filter 表的INPUT 鏈里追加

3、一條規則(作為最后一條規則匹配所有訪問本機IP 的數據包,匹配到的丟棄-I <鏈名> 規則號碼INSERT,插入一條規則例如:iptables -I INPUT -j DROP在filter 表的INPUT 鏈里插入一條規則(插入成第1 條iptables -I INPUT 3 -j DROP在filter 表的INPUT 鏈里插入一條規則(插入成第3 條注意:1、-t filter 可不寫,不寫則自動默認是filter 表2、-I 鏈名規則號碼,如果不寫規則號碼,則默認是13、確保規則號碼 (已有規則數+ 1,否則報錯-D <鏈名> <規則號碼| 具體規則內容&

4、gt;DELETE,刪除一條規則例如:iptables -D INPUT 3(按號碼匹配刪除filter 表INPUT 鏈中的第三條規則(不管它的內容是什么(不管其位置在哪里注意:1、若規則列表中有多條相同的規則時,按內容匹配只刪除序號最小的一條2、按號碼匹配刪除時,確保規則號碼 已有規則數,否則報錯3、按內容匹配刪除時,確保規則存在,否則報錯-R <鏈名> <規則號碼> <具體規則內容>REPLACE,替換一條規則例如:iptables -R INPUT 3 -j ACCEPT將原來編號為3 的規則內容替換為“-j ACCEPT”注意:確保規則號碼 已有規

5、則數,否則報錯-P <鏈名> <動作>POLICY,設置某個鏈的默認規則例如:iptables -P INPUT DROP設置filter 表INPUT 鏈的默認規則是DROP注意:當數據包沒有被規則列表里的任何規則匹配到時,按此默認規則處理-F 鏈名FLUSH,清空規則例如:iptables -F INPUT清空filter 表INPUT 鏈中的所有規則iptables -t nat -F PREROUTING清空nat 表PREROUTING 鏈中的所有規則注意:1、-F 僅僅是清空鏈中規則,并不影響-P 設置的默認規則2、-P 設置了DROP 后,使用-F 一定要

6、小心!3、如果不寫鏈名,默認清空某表里所有鏈里的所有規則-L 鏈名LIST,列出規則v:顯示詳細信息,包括每條規則的匹配包數量和匹配字節數x:在v 的基礎上,禁止自動單位換算(K、Mn:只顯示IP 地址和端口號碼,不顯示域名和服務名稱例如:iptables -L粗略列出filter 表所有鏈及所有規則iptables -t nat -vnL用詳細方式列出nat 表所有鏈的所有規則,只顯示IP 地址和端口號 iptables -t nat -vxnL PREROUTING用詳細方式列出nat 表PREROUTING 鏈的所有規則以及詳細數字,不反解3.3 匹配條件流入、流出接口(-i、-o來源、

7、目的地址(-s、-d協議類型(-p來源、目的端口(-sport、-dport-i <匹配數據進入的網絡接口>例如:-i eth0匹配是否從網絡接口eth0 進來-i ppp0匹配是否從網絡接口ppp0 進來-o 匹配數據流出的網絡接口例如:-o eth0-o ppp0-s <匹配來源地址>可以是IP、NET、DOMAIN,也可空(任何地址例如:-d <匹配目的地址>可以是IP、NET、DOMAIN,也可以空例如:-p <匹配協議類型>可以是TCP、UDP、ICMP 等,也可為空例如:-p tcp-p udp-p icmp -icmp-type 類

8、型ping: type 8 pong: type 0-sport <匹配源端口>可以是個別端口,可以是端口范圍例如:-sport 1000 匹配源端口是1000 的數據包-sport 1000:3000 匹配源端口是1000-3000 的數據包(含1000、3000 -sport :3000 匹配源端口是3000 以下的數據包(含3000-sport 1000: 匹配源端口是1000 以上的數據包(含1000-dport <匹配目的端口>可以是個別端口,可以是端口范圍例如:-dport 80 匹配源端口是80 的數據包-dport 6000:8000 匹配源端口是600

9、0-8000 的數據包(含6000、8000 -dport :3000 匹配源端口是3000 以下的數據包(含3000-dport 1000: 匹配源端口是1000 以上的數據包(含1000注意:-sport 和-dport 必須配合-p 參數使用1、端口匹配-p udp -dport 53匹配網絡中目的地址是53 的UDP 協議數據包2、地址匹配3、端口和地址聯合匹配注意:1、-sport、-dport 必須聯合-p 使用,必須指明協議類型是什么2、條件寫的越多,匹配越細致,匹配范圍越小3.4 動作(處理方式ACCEPTDROPSNATDNATMASQUERADE-j ACCEPT通過,允許

10、數據包通過本鏈而不攔截它類似Cisco 中ACL 里面的permit例如:iptables -A INPUT -j ACCEPT允許所有訪問本機IP 的數據包通過-j DROP丟棄,阻止數據包通過本鏈而丟棄它類似Cisco 中ACL 里的deny例如:-j SNAT -to IP-IP:端口-端口(nat 表的POSTROUTING 鏈源地址轉換,SNAT 支持轉換為單IP,也支持轉換到IP 地址池(一組連續的IP 地址例如:同上,只不過修改成一個地址池里的IP-j DNAT -to IP-IP:端口-端口(nat 表的PREROUTING 鏈目的地址轉換,DNAT 支持轉換為單IP,也支持轉

11、換到IP 地址池(一組連續的IP 地址例如:iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j MASQUERADE動態源地址轉換(動態IP 的情況下使用例如:3.5 附加模塊按包狀態匹配(state按來源MAC 匹配(mac按包速率匹配(limit多端口匹配(multiport-m state -state 狀態

12、狀態:NEW、RELATED、ESTABLISHED、INVALIDNEW:有別于tcp 的synESTABLISHED:連接態RELATED:衍生態,與conntrack 關聯(FTPINVALID:不能被識別屬于哪個連接或沒有任何狀態例如:iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT-m mac -mac-source MAC匹配某個MAC 地址例如:iptables -A FORWARD -m -mac-source xx:xx:xx:xx:xx:xx -j DROP阻斷來自某MAC 地址的數據包,通過本機

13、注意:MAC 地址不過路由,不要試圖去匹配路由后面的某個MAC 地址-m limit -limit 匹配速率-burst 緩沖數量用一定速率去匹配數據包例如:-j ACCEPT注意:limit 僅僅是用一定的速率去匹配數據包,并非“限制”-m multiport <-sports|-dports|-ports> 端口1,端口2,.,端口n一次性匹配多個端口,可以區分源端口,目的端口或不指定端口例如:iptables -A INPUT -p tcp -m multiports -ports 21,22,25,80,110 -j ACCEPT注意:必須與-p 參數一起使用4. 實例分析

14、單服務器的防護如何做網關如何限制內網用戶內網如何做對外服務器連接追蹤模塊4.1 單服務器的防護弄清對外服務對象書寫規則網絡接口lo 的處理狀態監測的處理協議+ 端口的處理實例:一個普通的web 服務器iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP注意:確保規則循序正確,弄清邏輯關系,學會時刻使用-vn

15、L 4.2 如何做網關弄清網絡拓撲本機上網設置nat啟用路由轉發地址偽裝SNAT/MASQUERADE實例:ADSL 撥號上網的拓撲echo "1" > /proc/sys/net/ipv4/ip_forward-j MASQUERADE4.3 如何限制內網用戶過濾位置filer 表FORWARD 鏈匹配條件-s -d -p -s/dport處理動作ACCEPT DROP實例:iptables -A FORWARD -m mac -mac-source 11:22:33:44:55:66 -j DROP4.4 內網如何做對外服務器服務協議(TCP/UDP對外服務端口內

16、部服務器私網IP內部真正服務端口實例:iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 4.5 連接追蹤模塊為什么要使用連接追蹤模塊FTP 協議的傳輸原理傳統防火墻的做法如何使用使用端口command portdata port傳輸模式主動模式(ACTIVE被動模式(PASSIVE主動模式client serverxxxx |-|-|->| 21yyyy |<-|-|-| 20FW1 FW2被動模式client s

17、erverxxxx |-|-|->| 21yyyy |-|-|->| zzzzFW1 FW2只使用主動模式,打開TCP/20防火墻打開高范圍端口配置FTP 服務,減小被動模式端口范圍modprobe ipt_conntrack_ftpmodprobe ipt_nat_ftpiptables -A INPUT -p tcp -dport 21 -j ACCEPTiptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP5. 網管策略怕什么能做什么讓什么vs 不讓什么三大“紀

18、律”五項“注意”其他注意事項5.1 必加項echo "1" > /proc/sys/net/ipv4/ip_forwardecho "1" > /proc/sys/net/ipv4/tcp_syncookiesecho "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses modprobe ip_conntrack_ftpmodprobe ip_nat_ftp5.2 可選方案堵:iptables -A FORWARD -p tcp -dport xxx -j DROPiptables -A FORWARD -p tcp -dport yyy:zzz -j DROP通:iptab