iptables的基礎知識詳解,有效管理Linux防火牆
iptables防火牆可以用於建立過濾(filter)與NAT規則。所有Linux發行版都能使用iptables,因此理解如何配置 iptables將會幫助你更有效地管理Linux防火牆。如果你是第一次接觸iptables,你會覺得它很複雜,但是一旦你理解iptables的工 作原理,你會發現其實它很簡單。
首先介紹iptables的結構:iptables -> Tables -> Chains -> Rules. 簡單地講,tables由chains組成,而chains又由rules組成。如下圖所示。
圖: IPTables Table, Chain, and Rule Structure
一、iptables的表與鏈
iptables具有Filter, NAT, Mangle, Raw四種內建表:
1. Filter表
Filter表示iptables的預設表,因此如果你沒有自定義表,那麼就預設使用filter表,它具有以下三種內建鏈:
- INPUT鏈– 處理來自外部的資料。
- OUTPUT鏈– 處理向外傳送的資料。
- FORWARD鏈– 將資料轉發到本機的其他網絡卡裝置上。
2. NAT表
NAT表有三種內建鏈:
- PREROUTING鏈– 處理剛到達本機並在路由轉發前的資料包。它會轉換資料包中的目標IP地址(destination ip address),通常用於DNAT(destination NAT)。
- POSTROUTING鏈– 處理即將離開本機的資料包。它會轉換資料包中的源IP地址(source ip address),通常用於SNAT(source NAT)。
- OUTPUT鏈– 處理本機產生的資料包。
3. Mangle表
Mangle表用於指定如何處理資料包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈:
- PREROUTING
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
4. Raw表
Raw表用於處理異常,它具有2個內建鏈:
- PREROUTING chain
- OUTPUT chain
5.小結
下圖展示了iptables的三個內建表:
圖: IPTables 內建表
二、IPTABLES 規則(Rules)
牢記以下三點式理解iptables規則的關鍵:
- Rules包括一個條件和一個目標(target)
- 如果滿足條件,就執行目標(target)中的規則或者特定值。
- 如果不滿足條件,就判斷下一條Rules。
目標值(Target Values)
下面是你可以在target裡指定的特殊值:
- ACCEPT– 允許防火牆接收資料包
- DROP– 防火牆丟棄包
- QUEUE– 防火牆將資料包移交到使用者空間
- RETURN– 防火牆停止執行當前鏈中的後續Rules,並返回到呼叫鏈(the calling chain)中。
如果你執行iptables –list你將看到防火牆上的可用規則。下例說明當前系統沒有定義防火牆,你可以看到,它顯示了預設的filter表,以及表內預設的input鏈, forward鏈, output鏈。
# iptables -t filter –list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
檢視mangle表:
# iptables -t mangle –list
檢視NAT表:
# iptables -t nat –list
檢視RAW表:
# iptables -t raw –list
!注意:如果不指定-t選項,就只會顯示預設的filter表。因此,以下兩種命令形式是一個意思:
# iptables -t filter –list
(or)
# iptables –list
以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則:
# iptables –list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
以上輸出包含下列欄位:
- num – 指定鏈中的規則編號
target – 前面提到的target的特殊值
prot – 協議:tcp, udp, icmp等
source – 資料包的源IP地址
destination – 資料包的目標IP地址
三、清空所有iptables規則
在配置iptables之前,你通常需要用iptables –list命令或者iptables-save命令檢視有無現存規則,因為有時需要刪除現有的iptables規則:
iptables –flush
或者
iptables -F
這兩條命令是等效的。但是並非執行後就萬事大吉了。你仍然需要檢查規則是不是真的清空了,因為有的linux發行版上這個命令不會清除NAT表中的規則,此時只能手動清除:
iptables -t NAT -F
四、永久生效
當你刪除、新增規則後,這些更改並不能永久生效,這些規則很有可能在系統重啟後恢復原樣。為了讓配置永久生效,根據平臺的不同,具體操作也不同。下面進行簡單介紹:
1.Ubuntu
首先,儲存現有的規則:
iptables-save > /etc/iptables.rules
然後新建一個bash指令碼,並儲存到/etc/network/if-pre-up.d/目錄下:
#!/bin/bash
iptables-restore < /etc/iptables.rules
這樣,每次系統重啟後iptables規則都會被自動載入。
!注意:不要嘗試在.bashrc或者.profile中執行以上命令,因為使用者通常不是root,而且這隻能在登入時載入iptables規則。
2.CentOS, RedHat
# 儲存iptables規則
service iptables save
# 重啟iptables服務
service iptables stop
service iptables start
檢視當前規則:
cat /etc/sysconfig/iptables
五、追加iptables規則
可以使用iptables -A命令追加新規則,其中-A表示Append。因此,新的規則將追加到鏈尾。
一般而言,最後一條規則用於丟棄(DROP)所有資料包。如果你已經有這樣的規則了,並且使用-A引數新增新規則,那麼就是無用功。
1.語法
iptables -A chain firewall-rule
- -A chain – 指定要追加規則的鏈
- firewall-rule – 具體的規則引數
2.描述規則的基本引數
以下這些規則引數用於描述資料包的協議、源地址、目的地址、允許經過的網路介面,以及如何處理這些資料包。這些描述是對規則的基本描述。
-p 協議(protocol)
- 指定規則的協議,如tcp, udp, icmp等,可以使用all來指定所有協議。
- 如果不指定-p引數,則預設是all值。這並不明智,請總是明確指定協議名稱。
- 可以使用協議名(如tcp),或者是協議值(比如6代表tcp)來指定協議。對映關係請檢視/etc/protocols
- 還可以使用–protocol引數代替-p引數
-s 源地址(source)
- 指定資料包的源地址
- 引數可以使IP地址、網路地址、主機名
- 例如:-s 192.168.1.101指定IP地址
- 例如:-s 192.168.1.10/24指定網路地址
- 如果不指定-s引數,就代表所有地址
- 還可以使用–src或者–source
-d 目的地址(destination)
- 指定目的地址
- 引數和-s相同
- 還可以使用–dst或者–destination
-j 執行目標(jump to target)
- -j代表”jump to target”
- -j指定了當與規則(Rule)匹配時如何處理資料包
- 可能的值是ACCEPT, DROP, QUEUE, RETURN,MASQUERADE
- 還可以指定其他鏈(Chain)作為目標
- 注:MASQUERADE,地址偽裝,算是snat中的一種特例,可以實現自動化的snat(詳情見上一篇文章)。
-i 輸入介面(input interface)
- -i代表輸入介面(input interface)
- -i指定了要處理來自哪個介面的資料包
- 這些資料包即將進入INPUT, FORWARD, PREROUTE鏈
- 例如:-i eth0指定了要處理經由eth0進入的資料包
- 如果不指定-i引數,那麼將處理進入所有介面的資料包
- 如果出現!-i eth0,那麼將處理所有經由eth0以外的介面進入的資料包
- 如果出現-i eth+,那麼將處理所有經由eth開頭的介面進入的資料包
- 還可以使用–in-interface引數
-o 輸出(out interface)
- -o代表”output interface”
- -o指定了資料包由哪個介面輸出
- 這些資料包即將進入FORWARD, OUTPUT, POSTROUTING鏈
- 如果不指定-o選項,那麼系統上的所有介面都可以作為輸出介面
- 如果出現!-o eth0,那麼將從eth0以外的介面輸出
- 如果出現-i eth+,那麼將僅從eth開頭的介面輸出
- 還可以使用–out-interface引數
3.描述規則的擴充套件引數
對規則有了一個基本描述之後,有時候我們還希望指定埠、TCP標誌、ICMP型別等內容。
–sport 源埠(source port)針對 -p tcp 或者 -p udp
- 預設情況下,將匹配所有埠
- 可以指定埠號或者埠名稱,例如”–sport 22″與”–sport ssh”。
- /etc/services檔案描述了上述對映關係。
- 從效能上講,使用埠號更好
- 使用冒號可以匹配埠範圍,如”–sport 22:100″
- 還可以使用”–source-port”
–-dport 目的埠(destination port)針對-p tcp 或者 -p udp
- 引數和–sport類似
- 還可以使用”–destination-port”
-–tcp-flags TCP標誌 針對-p tcp
- 可以指定由逗號分隔的多個引數
- 有效值可以是:SYN, ACK, FIN, RST, URG, PSH
- 可以使用ALL或者NONE
-–icmp-type ICMP型別 針對-p icmp
- –icmp-type 0 表示Echo Reply
- –icmp-type 8 表示Echo
4.追加規則的完整例項:僅允許SSH服務
本例實現的規則將僅允許SSH資料包通過本地計算機,其他一切連線(包括ping)都將被拒絕。
# 1.清空所有iptables規則
iptables -F
# 2.接收目標埠為22的資料包
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
# 3.拒絕所有其他資料包
iptables -A INPUT -j DROP
六、更改預設策略
上例的例子僅對接收的資料包過濾,而對於要傳送出去的資料包卻沒有任何限制。本節主要介紹如何更改鏈策略,以改變鏈的行為。
1. 預設鏈策略
/!\警告:請勿在遠端連線的伺服器、虛擬機器上測試!
當我們使用-L選項驗證當前規則是發現,所有的鏈旁邊都有policy ACCEPT標註,這表明當前鏈的預設策略為ACCEPT:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
這種情況下,如果沒有明確新增DROP規則,那麼預設情況下將採用ACCEPT策略進行過濾。除非:
a)為以上三個鏈單獨新增DROP規則:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP
b)更改預設策略:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
糟糕!!如果你嚴格按照上一節的例子配置了iptables,並且現在使用的是SSH進行連線的,那麼會話恐怕已經被迫終止了!
為什麼呢?因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然伺服器能接收資料,但是無法傳送資料:
# iptables -L
Chain INPUT(policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere
Chain FORWARD(policy DROP)
target prot opt source destination
Chain OUTPUT(policy DROP)
target prot opt source destination
七、配置應用程式規則
儘管5.4節已經介紹瞭如何初步限制除SSH以外的其他連線,但是那是在鏈預設策略為ACCEPT的情況下實現的,並且沒有對輸出資料包進行限 制。本節在上一節基礎上,以SSH和HTTP所使用的埠為例,教大家如何在預設鏈策略為DROP的情況下,進行防火牆設定。在這裡,我們將引進一種新的 引數-m state,並檢查資料包的狀態欄位。
1.SSH
# 1.允許接收遠端主機的SSH請求
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
# 2.允許傳送本地主機的SSH響應
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
- -m state:啟用狀態匹配模組(state matching module)
- –-state:狀態匹配模組的引數。當SSH客戶端第一個資料包到達伺服器時,狀態欄位為NEW;建立連線後資料包的狀態欄位都是ESTABLISHED
- –sport 22:sshd監聽22埠,同時也通過該埠和客戶端建立連線、傳送資料。因此對於SSH伺服器而言,源埠就是22
- –dport 22:ssh客戶端程式可以從本機的隨機埠與SSH伺服器的22埠建立連線。因此對於SSH客戶端而言,目的埠就是22
如果伺服器也需要使用SSH連線其他遠端主機,則還需要增加以下配置:
# 1.送出的資料包目的埠為22
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
# 2.接收的資料包源埠為22
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
2.HTTP
HTTP的配置與SSH類似:
# 1.允許接收遠端主機的HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
# 1.允許傳送本地主機的HTTP響應
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
3.完整的配置
# 1.刪除現有規則
iptables -F
# 2.配置預設鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 3.允許遠端主機進行SSH連線
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
# 4.允許本地主機進行SSH連線
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
iptables命令是Linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置。
語法
iptables(選項)(引數)
選項
-t<表>:指定要操縱的表; -A:向規則鏈中新增條目; -D:從規則鏈中刪除條目; -i:向規則鏈中插入條目; -R:替換規則鏈中的條目; -L:顯示規則鏈中已有的條目; -F:清楚規則鏈中已有的條目; -Z:清空規則鏈中的資料包計算器和位元組計數器; -N:建立新的使用者自定義規則鏈; -P:定義規則鏈中的預設目標; -h:顯示幫助資訊; -p:指定要匹配的資料包協議型別; -s:指定要匹配的資料包源ip地址; -j<目標>:指定要跳轉的目標; -i<網路介面>:指定資料包進入本機的網路介面; -o<網路介面>:指定資料包要離開本機所使用的網路介面。
iptables命令選項輸入順序:
iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網絡卡名> -p 協議名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作
表名包括:
- raw:高階功能,如:網址過濾。
- mangle:資料包修改(QOS),用於實現服務質量。
- net:地址轉換,用於閘道器路由器。
- filter:包過濾,用於防火牆規則。
規則鏈名包括:
- INPUT鏈:處理輸入資料包。
- OUTPUT鏈:處理輸出資料包。
- PORWARD鏈:處理轉發資料包。
- PREROUTING鏈:用於目標地址轉換(DNAT)。
- POSTOUTING鏈:用於源地址轉換(SNAT)。
動作包括:
- accept:接收資料包。
- DROP:丟棄資料包。
- REDIRECT:重定向、對映、透明代理。
- SNAT:源地址轉換。
- DNAT:目標地址轉換。
- MASQUERADE:IP偽裝(NAT),用於ADSL。
- LOG:日誌記錄。
例項
清除已有iptables規則
iptables -F iptables -X iptables -Z
開放指定的埠
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允許本地迴環介面(即執行本機訪問本機) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允許已建立的或相關連的通行 iptables -A OUTPUT -j ACCEPT #允許所有本機向外的訪問 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允許訪問22埠 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允許訪問80埠 iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允許ftp服務的21埠 iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允許FTP服務的20埠 iptables -A INPUT -j reject #禁止其他未允許的規則訪問 iptables -A FORWARD -j REJECT #禁止其他未允許的規則訪問
遮蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #遮蔽單個IP的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整個段即從123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即從123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即從123.45.6.1到123.45.6.254的命令是
檢視已新增的iptables規則
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes) pkts bytes target prot opt in out source destination 5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 4364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes) pkts bytes target prot opt in out source destination 5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
刪除已新增的iptables規則
將所有iptables以序號標記顯示,執行:
iptables -L -n --line-numbers
比如要刪除INPUT裡序號為8的規則,執行:
iptables -D INPUT 8
前提基礎:
1、當主機收到一個數據包後,資料包先在核心空間中處理,若發現目的地址是自身,則傳到使用者空間中交給對應的應用程式處理,若發現目的不是自身,則會將包丟棄或進行轉發。
2、iptables實現防火牆功能的原理是:在資料包經過核心的過程中有五處關鍵地方,分別是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,稱為鉤子函式,iptables這款使用者空間的軟體可以在這5處地方寫規則,對經過的資料包進行處理,規則一般的定義為“如果資料包頭符合這樣的條件,就這樣處理資料包”。
3、iptables中定義有5條鏈,說白了就是上面說的5個鉤子函式,因為每個鉤子函式中可以定義多條規則,每當資料包到達一個鉤子函式時,iptables就會從鉤子函式中第一條規則開始檢查,看該資料包是否滿足規則所定義的條件。如果滿足,系統就會根據該條規則所定義的方法處理該資料包;否則iptables將繼續檢查下一條規則,如果該資料包不符合鉤子函式中任一條規則,iptables就會根據該函式預先定義的預設策略來處理資料包
4、iptables中定義有表,分別表示提供的功能,有filter表(實現包過濾)、nat表(實現網路地址轉換)、mangle表(實現包修改)、raw表(實現資料跟蹤),這些表具有一定的優先順序:raw-->mangle-->nat-->filter
一條鏈上可定義不同功能的規則,檢查資料包時將根據上面的優先順序順序檢查
1、目的地址是本地,則傳送到INPUT,讓INPUT決定是否接收下來送到使用者空間,流程為①--->②;
2、若滿足PREROUTING的nat表上的轉發規則,則傳送給FORWARD,然後再經過POSTROUTING傳送出去,流程為: ①--->③--->④--->⑥
主機發送資料包時,流程則是⑤--->⑥
iptables安裝配置
linux一般預設都已經安裝iptables,只需要開啟服務即可
service iptables start //啟動
service iptables restart //重啟
service iptables stop //關閉
iptables規則書寫:
基本語法:iptables [-t 表] [操作命令] [鏈] [規則匹配器] [-j 目標動作]
表 | 說明 | 支援的鏈 |
---|---|---|
raw | 一般是為了不再讓iptables對資料包進行跟蹤,提高效能 | PREROUTING、OUTPUT |
mangle | 對資料包進行修改 | 五個鏈都可以 |
nat | 進行地址轉換 | PREROUTING、OUTPUT、POSTROUTING |
filter(預設) | 對包進行過濾 | INPUT、FORWARD、OUTPUT |
常用操作命令 | 說明 |
---|---|
-A | 在指定鏈尾部新增規則 |
-D | 刪除匹配的規則 |
-R | 替換匹配的規則 |
-I | 在指定位置插入規則(例:iptables -I INPUT 1 --dport 80 -j ACCEPT(將規則插入到filter表INPUT鏈中的第一位上) |
-L/S | 列出指定鏈或所有鏈的規則 |
-F | 刪除指定鏈或所有鏈的規則 |
-N | 建立使用者自定義鏈[例:iptables -N allowed] |
-X | 刪除指定的使用者自定義鏈 |
-P | 為指定鏈設定預設規則策略,對自定義鏈不起作用 |
-Z | 將指定鏈或所有鏈的計數器清零 |
-E | 更改自定義鏈的名稱[例:iptables -E allowed disallowed] |
-n | ip地址和埠號以數字方式顯示[例:iptables -nL] |
常用規則匹配器 | 說明 |
---|---|
-p tcp/udp/icmp/all | 匹配協議,all會匹配所有協議 |
-s addr[/mask] | 匹配源地址 |
-d addr[/mask] | 匹配目標地址 |
--sport port1[:port2] | 匹配源埠(可指定連續的埠) |
--dport port1[:port2] | 匹配目的埠(可指定連續的埠) |
-o interface | 匹配出口網絡卡,只適用FORWARD、POSTROUTING、OUTPUT(例:iptables -A FORWARD -o eth0) |
-i interface | 匹配入口網絡卡,只使用PREROUTING、INPUT、FORWARD。 |
--icmp-type | 匹配icmp型別(使用iptables -p icmp -h可檢視可用的ICMP型別) |
--tcp-flags mask comp | 匹配TCP標記,mask表示檢查範圍,comp表示匹配mask中的哪些標記。(例:iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK -j ACCEPT 表示匹配SYN和ACK標記的資料包) |
目標動作 | 說明 |
---|---|
ACCEPT | 允許資料包通過 |
DROP | 丟棄資料包 |
REJECT | 丟棄資料包,並且將拒絕資訊傳送給傳送方 |
SNAT | 源地址轉換(在nat表上)例:iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT --to 192.168.0.1 |
DNAT | 目標地址轉換(在nat表上)例:iptables -t nat -A PREROUTING -d 202.202.202.2 -j DNAT --to-destination 192.168.0.102 |
REDIRECT | 目標埠轉換(在nat表上)例:iptables -t nat -D PREROUTING -p tcp --dport 8080 -i eth2.2 -j REDIRECT --to 80 |
MARK | 將資料包打上標記;例:iptables -t mangle -A PREROUTING -s 192.168.1.3 -j MARK --set-mark 60 |
PS:
1、目標地址轉換一般在PREROUTING鏈上操作
2、源地址轉換一般在POSTROUTING鏈上操作
儲存和恢復iptables規則
使用iptables-save可以儲存到特定檔案中
iptables-save >/etc/sysconfig/iptables_save
使用iptables-restore可以恢復規則
iptables-restore</etc/sysconfig/iptables_save
iptables的進階使用
1、limit限制流量:
-m limit --limit 1000/s #設定最大平均匹配速率
-m limit --limit-burst 15 #設定一開始匹配的最大資料包數量
-m limit --limit 5/m --limit-burst 15 #表示一開始能匹配的資料包數量為15個,每匹配到一個,limit-burst的值減1,所以匹配到15個時,該值為0,以後每過12s,limit-burst的值會加1,表示又能匹配1個數據包
例子:
iptables -A INPUT -i eth0 -m limit --limit 5/m --limit-burst 15 -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
注意要點:
A、--limit-burst的值要比--limit的大
B、limit本身沒有丟棄資料包的功能,因此,需要第二條規則一起才能實現限速的功能
2、time :在特定時間內匹配
-m time | 說明 |
---|---|
--monthdays day1[,day2] | 在每個月的特定天匹配 |
--timestart hh:mm:ss | 在每天的指定時間開始匹配 |
--timestop hh:mm:ss | 在每天的指定時間停止匹配 |
--weekdays day1[,day2] | 在每個星期的指定工作日匹配,值可以是1-7 |
例子:
iptables -A INPUT -i eth0 -m time --weekdays 1,2,3,4 -jACCEPT
iptables -A INPUT -i eth0 -j DROP
3、ttl:匹配符合規則的ttl值的資料包
引數 | 說明 |
---|---|
--ttl -eq 100 | 匹配TTL值為100的資料包 |
--ttl -gt 100 | 匹配TTL值大於100的資料包 |
--ttl -lt 100 | 匹配TTL值小於100的資料包 |
例子:
iptables -A OUTPUT -m ttl --ttl-eq 100 -j ACCEPT
4、multiport:匹配離散的多個埠
引數 | 說明 |
---|---|
--sports port1[,port2,port3] | 匹配源埠 |
--dports port1[,port2,port3] | 匹配目的埠 |
--ports port1[,port2,port3] | 匹配源埠或目的埠 |
例子:
iptables -A INPUT -m multiport --sports 22,80,8080 -j DROP
5、state:匹配指定的狀態資料包
引數 | 說明 |
---|---|
--state value | value可以為NEW、RELATED(有關聯的)、ESTABLISHED、INVALID(未知連線) |
例子:
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
6、mark:匹配帶有指定mark值的資料包
引數 | 說明 |
---|---|
--mark value | 匹配mark標記為value的資料包 |
例子:
iptables -t mangle -A INPUT -m mark --mark 1 -j DROP
7、mac:匹配特定的mac地址
例子:
iptables -A FORWARD -m mac --mac-source 00:0C:24:FA:19:80 -j DROP