iptables 总结

一、防火墙概念 防火墙，分为硬件的或者软件的防火墙两种。无论是在哪个网络中，防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作，这就是防火墙的策略，规则，以达到让它对出入网络的IP、数据进行检测。 二、iptables 和netfilter 1. netfilter 内核中tcp/ip协议栈必须经过的地方，可以实现读取规则的地方就叫做 netfilter.(网络过滤器)位置： 1.内核空间中：从一个网络接口进来，到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入/离开本机的内网接口 2.iptables的工作机制hook functions 钩子函数 1.PREROUTING (路由前) 2.INPUT (数据包流入口) 3.FORWARD (转发管卡) 4.OUTPUT(数据包出口) 5.POSTROUTING（路由后）报文流向： 到本机某进程的报文：PREROUTING --> INPUT 由本转发的报文：PREROUTING --> FORWARD -->POSTROUTING 由本某进程发出的：OUTPUT --> POSTROUTING 3.防火墙的策略 防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。 我们现在用的比较多个功能有4个： 1.filter 定义允许或者不允许的 2.nat 定义地址转换的 3.mangle功能:修改报文原数据 4.raw：关闭nat表上启用的连接追踪机制； 优先级次序(由高而低)： raw -->mangle --> nat --> filter }小扩展: 对于filter来讲一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT 对于nat来讲一般也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING 而mangle则是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING iptables/netfilter（这款软件）是工作在用户空间的，它可以让规则进行生效的，本身不是一种服务，而且规则是立即生效的。而我们iptables现在被做成了一个服务，可以进行启动，停止的。启动，则将规则直接生效，停止，则将规则撤销。 iptables还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。 注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。 三．规则的写法: iptables定义规则的方式比较复杂: 格式：iptables [-t table] COMMAND chainCRETIRIA -j ACTION -ttable ：filter nat mangle raw COMMAND：定义如何对规则进行管理 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的 CRETIRIA:指定匹配标准 -jACTION :指定如何进行处理 比如：不允许172.16.0.0/24的进行访问。 iptables-t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP 当然你如果想拒绝的更彻底： iptables-t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT iptables-L -n -v(-nvL) #查看定义规则的详细信息 四：详解COMMAND: 1.链管理命令（这都是立即生效的） -P：policy，策略，定义默认策略； 一般有两种选择，ACCEPT和DROP 例如：iptables -P INPUT DROP -N：new，新建一条自定义的规则链；被内建链上的规则调用才能生效；[-j chain_name]； -X：drop，删除自定义的引用计数为0的空链； -F：flush，清空指定的链 2.规则管理命令 -A：追加，在当前链的最后新增一个规则 -I num : 插入，把当前规则插入为第几条。 -I 3 :插入为第三条 -R num：Replays替换/修改第几条规则 格式：iptables -R 3 ………… -D num：删除，明确指定删除第几条规则 3.查看管理命令 “-L” iptables-vnL 五：详解匹配标准 1.通用匹配：源地址目标地址的匹配 -s：指定作为源地址匹配，这里不能指定主机名称，必须是IP IP | IP/MASK| 0.0.0.0/0.0.0.0 而且地址可以取反，加一个“!”表示除了哪个IP之外 -d：表示匹配目标地址 -p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP） -i eth0：从这块网卡流入的数据 流入一般用在INPUT和PREROUTING上 -o eth0：从这块网卡流出的数据 流出一般在OUTPUT和POSTROUTING上 2.扩展匹配2.1隐含扩展：对协议的扩展 -s|-d xxxx -p tcp|udp --syn|--sport|--dport 21-23 -p icmp --icmp-type 0|8(设置一下自己能ping通别人，别人ping不通自己) -i/o eth1 以上都支持取反 2.2显式扩展（-m） 扩展各种模块 -m multiport：表示启用多端口扩展 之后我们就可以启用比如 --dports 21,23,80 六：详解-j ACTION DROP：悄悄丢弃 REJECT：明示拒绝 ACCEPT：接受