iptables关键学习总结

时间  2019-11-13
标签 iptables 关键 学习 总结 栏目 系统网络 繁體版
原文   原文链接

iptables技术推荐参考这位仁兄的博客:http://www.zsythink.net/archives/category/%E8%BF%90%E7%BB%B4%E7%9B%B8%E5%85%B3/%E9%98%B2%E7%81%AB%E5%A2%99/page/2/算法

iptables指南参见:https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.htmbash

iptables匹配原则:从序列号为1的开始匹配,直到匹配到第一条合适的规则并执行,后续规则即便可以匹配也再也不执行服务器

iptables规则顺序:将常常会被匹配到的规则放在表前面网络

报文传输顺序严格遵循下图(图片系引用),须要注意到,与转发相关的PREROUTING的nat功能在路由选择以前,所以nat可以正常被路由处理ssh

 

  • 使用iptables -t filter -nvL INPUT --line查看iptables规则
  • iptables-save能够将当前的iptables规则以“保存后的格式”输出到屏幕上,使用iptables-save > /etc/sysconfig/iptables-config保存到系统中
  • iptables-restore能够将保存的规格重载到环境中,使用:iptables-restore < /etc/sysconfig/iptables
  • 使用iptables -t filter -P INPUT DROP修改表的默认规则(此处为DROP)
  • 使用iptables -t filter -I INPUT -s 1.1.1.1,1.1.1.2 -j DROP添加多个规则,逗号隔开,逗号左右侧不能有空格
  • 使用iptables -t filter -I INPUT -s 1.1.1.0/24 -j DROP添加一个网段的规则
  • 使用iptables -t filter -I INPUT ! -s 175.24.0.59 -j ACCEPT,添加表示接收IP非175.24.0.59的报文,但175.24.0.59的报文是否接收取决于规则中是否有对175.24.0.59的处理,若是规则中是有以下一条内容,则会接收175.24.0.59的报文
host-175-24-0-58:/home # iptables -t filter -nvL INPUT --line
Chain INPUT (policy ACCEPT 138 packets, 15020 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       46  9364 DROP       all  --  *      *      !175.24.0.59          0.0.0.0/0

    但若是规则以下明确表示拒绝175.24.0.59,则不会接收175.24.0.59的报文,注意新加的规则是在原规则以后而不是以前tcp

host-175-24-0-58:/home # iptables -t filter -nvL INPUT --line
Chain INPUT (policy ACCEPT 138 packets, 15020 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       46  9364 DROP       all  --  *      *      !175.24.0.59          0.0.0.0/0
2       0    0   REJECT     all  --  *      *       175.24.0.59          0.0.0.0/0
  •  iptables使用-s来指定报文源地址,使用-d指定报文目的地址,iptables -t filter -I INPUT -s 1.1.1.1 -d 1.1.1.2 -j DROP,表示仅丢弃来自1.1.1.1发往1.1.1.2报文;若是规则为iptables -t filter -I INPUT -s 0.0.0.0 -d 1.1.1.2 -j DROP则表示丢弃全部发往1.1.1.2的报文,-d指定的地址能够是本机。当一条规则存在多个匹配条件时,报文须要知足全部匹配条件,规则才能生效
  • iptables使用-p来指定协议类型,iptables -t filter -I INPUT -s 1.1.1.1 -p tcp -j reject,表示拒绝来自1.1.1.1的tcp报文,默认拒绝全部协议的报文(不指定-p),能够从/etc/protocols中获取全部的协议信息。
  • iptables 使用-i匹配报文是经过哪块网卡流入本机,使用-o来匹配报文从哪一个网口流出。-i选项只能用于PREROUTING链、INPUT链、FORWARD链;-o选项只能用于POSTROUTING链、OUTPUT链、FORWARD链。   
//表示丢弃全部经过eth1传入的tcp报文 
iptables -t filter -I INPUT -i eth1 -p tcp -j DROP
//表示丢弃全部经过eth2传出的icmp报文
iptables -t filter -I OUTPUT -o eth2 -p icmp -d drop
  • 以上命令为基本匹配条件,使用扩展匹配条件须要加载扩展模块。如使用--dport匹配目标端口时须要加载特定的模块,如tcp:iptables -t filter -I INPUT -s 1.1.1.1 -p tcp -m tcp -dport 22 -j REJECT,表示本端拒绝来自1.1.1.1的ssh链接。--dport能够认为是tcp模块中的功能,因此必须制定tcp模块(若是不指定使用与-p名称同样的模块)。
    • 使用冒号能够连续指定匹配端口号,如iptables -t filter -I INPUT -p tcp -m tcp --dport 22:30 -j REJECT,也可使用如:22匹配1到22的端口;使用22:匹配22到65535的端口号,但不能指定离散的端口
    • 使用multiport模块能够指定多个离散的端口:iptables -t filter -I INPUT -p tcp -m multiport --dport 22,40,50:60 -j REJECT,但multiport只能用于tcp和udp协议
  • 扩展匹配条件也可使用!取反,如 ! --dport 22,表示目标端口不是22的报文都会被匹配
  • icmp可使用type/code匹配具体的报文,iptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j DROP,表示type为8,code为0的icmp报文会被丢弃,type code对应关系以下
TYPE CODE Description Query Error
0 0 Echo Reply——回显应答(Ping应答) x  
3 0 Network Unreachable——网络不可达   x
3 1 Host Unreachable——主机不可达   x
3 2 Protocol Unreachable——协议不可达   x
3 3 Port Unreachable——端口不可达   x
3 4 Fragmentation needed but no frag. bit set——须要进行分片但设置不分片比特   x
3 5 Source routing failed——源站选路失败   x
3 6 Destination network unknown——目的网络未知   x
3 7 Destination host unknown——目的主机未知   x
3 8 Source host isolated (obsolete)——源主机被隔离(做废不用)   x
3 9 Destination network administratively prohibited——目的网络被强制禁止   x
3 10 Destination host administratively prohibited——目的主机被强制禁止   x
3 11 Network unreachable for TOS——因为服务类型TOS,网络不可达   x
3 12 Host unreachable for TOS——因为服务类型TOS,主机不可达   x
3 13 Communication administratively prohibited by filtering——因为过滤,通讯被强制禁止   x
3 14 Host precedence violation——主机越权   x
3 15 Precedence cutoff in effect——优先停止生效   x
4 0 Source quench——源端被关闭(基本流控制)    
5 0 Redirect for network——对网络重定向    
5 1 Redirect for host——对主机重定向    
5 2 Redirect for TOS and network——对服务类型和网络重定向    
5 3 Redirect for TOS and host——对服务类型和主机重定向    
8 0 Echo request——回显请求(Ping请求) x  
9 0 Router advertisement——路由器通告    
10 0 Route solicitation——路由器请求    
11 0 TTL equals 0 during transit——传输期间生存时间为0   x
11 1 TTL equals 0 during reassembly——在数据报组装期间生存时间为0   x
12 0 IP header bad (catchall error)——坏的IP首部(包括各类差错)   x
12 1 Required options missing——缺乏必需的选项   x
13 0 Timestamp request (obsolete)——时间戳请求(做废不用) x  
14   Timestamp reply (obsolete)——时间戳应答(做废不用) x  
15 0 Information request (obsolete)——信息请求(做废不用) x  
16 0 Information reply (obsolete)——信息应答(做废不用) x  
17 0 Address mask request——地址掩码请求 x  
18 0 Address mask reply——地址掩码应答
  • iptables的白名单方式为:首先添加一个“拒绝全部请求”,而后将白名单规则放在它前面
  • Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       1.1.1.1              0.0.0.0/0           
  222 26155 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
  • 使用自定义链有2个条件:首先建立一个自定义链;而后将新建立的链关联到现有的链(references表示被关联的次数)。主链中匹配条件后跳转到子链,自链也会从新按照本身的规则进行报文匹配,所以主链和子链之间的匹配条件无需重复
    • 使用iptables -t filter -N NEW_CHAIN0建立自定义链
    • 使用iptables -t filter -E NEW_CHAIN0 NEW_CHAIN1
    • 删除自定义链以前须要删除全部references,而后清除自定义链的全部规则,使用iptables -t filter -X NEW_CHAIN1删除自定义链
    • 子链中能够添加RETURN操做来返回到主链,以下表示若是源地址是1.1.1.1,则返回到主链处理
Chain NEW_CHAIN0 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 RETURN     all  --  *      *       1.1.1.1              0.0.0.0/0            
    0     0 ACCEPT     all  --  *      *       192.168.128.1        0.0.0.0/0
  • iptables使用state模块进行链接跟踪,除了本地产生的包由OUTPUT链处理外,全部链接跟踪都是在PREROUTING链里进行处理的,意思就是, iptables会在PREROUTING链里重新计算全部的状态。若是咱们发送一个流的初始化包,状态就会在OUTPUT链 里被设置为NEW,当咱们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。若是第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状 态。综上,全部状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。使用state模块能够控制“谁或什么能发起新的会话

  使用以下命令能够防止外部主机访问本机,但不妨碍本机访问其余主机性能

iptables -t filter -A INPUT -j REJECT
iptables -t filter -I INPUT -m state --state ESTABLISHED -j ACCEPT

能够在/proc/net/nf_conntrack查看跟踪记录,能够在/proc/sys/net/ipv4/netfilter中设置跟踪参数,好比能够在nf_conntrack_icmp_timeout中设置icmp跟踪记录的生存时间ui

  • REJECT使用选项--reject-with能够设置提示信息,如iptables -t filter -I INPUT -j REJECT --reject-with icmp-host-unreachable,当ping该主机的时候会接收到主机不可达的提示信息
  • 使用LOG动做能够将匹配到的报文相关信息记录到日志中:/var/log/message,iptables -t filter -I INPUT -s 1.1.1.1 -j LOG,表示在INPUT链的filter表中匹配到源地址为1.1.1.1的报文后记录在日志中
  • NAT功能一般被集成到路由器,防火墙或独立的NAT设备中,使用SNAT或DNAT须要看具体场景,以下图,A访问C,报文源地址为1.1.1.1,目的地址为2.2.2.1,此时须要在B上配置SNAT(源地址转换为路由器地址),不然B将接收不到C返回的报文,这种场景用在私网访问公网场景,A为私网,C为公网;若是A须要访问C,报文源地址为1.1.1.1,目的地址为1.1.1.2,此时须要在B上配置DNAT,这种场景通常用在访问服务器场景,A为普通主机,C为服务器

A(host)------------------>B(NAT)----------------->C(host)
(1.1.1.1)              (1.1.1.2)(2.2.2.2)               (2.2.2.1)spa

SNAT只能配置在INPUT和POSTROUTING上,INPUT用于主机接收;POSTROUTING主要走转发流程,如上图A直接ping 2.2.2.1须要配置以下内容,同时在A机器上能够抓包或使用iptables LOG功能或/var/log/message查看源地址,为B机器的2.2.2.2的地址.net

#A机器上添加到达C的路由,不然报文会走默认网关
route add -host 2.2.2.1  gw 1.1.1.2
#B转发机器添加iptables规则
iptables -t nat -I POSTROUTING -d 1.1.1.2 -j SNAT --to 2.2.2.2

DNAT只能配置在OUTPUT和PREROUTING上,PREROUTING用于路由判断,走转发;OUTPUT仅用于主机发送,A经过B ping C的配置以下(B机器配置)

#首先目的地址转换
iptables -t nat -I PREROUTING -d 1.1.1.2 -j DNAT --to 2.2.2.1
#修改源地址,不然报文回来找不到目的地址
iptables -t nat -I POSTROUTING -d 2.2.2.1 -j SNAT --to 2.2.2.2

使用NAT只能用于转换IP地址,若是要nat带端口号的服务,如基于tcp的ssh,或基于UDP的服务等,就须要NAPT,以上图为例,若是A须要ssh链接C,配置以下:

#添加到2.2.2.1的DNAT
iptables -t nat -I PREROUTING -d 1.1.1.2 -p tcp -m tcp --dport 20220 -j DNAT --to 2.2.2.1:22
#修改B发出的源地址
iptables -t nat -I POSTROUTING -d 2.2.2.1 -p tcp -m tcp --dport 22 -j SNAT --to 2.2.2.2

A最后ssh链接C的方式为:ssh -p 20220 2.2.2.2,当访问B主机的20220端口时,会映射到C主机的22端口。由于端口映射的关系是保存在NAT服务器上的,所以必须经过DNATP的方式,单独使用以下方式是没法通的

iptables -t nat -I POSTROUTING -d 2.2.2.1 -p tcp -m tcp --dport 22 -j SNAT --to 2.2.2.2

NAT尽可能不要使用多端口映射,参见https://blog.csdn.net/u013401853/article/details/70848433

  • MASQUERADE主要用于可变源地址转换,只能用于nat表的POSTROUTING,如DHCP状况下,iptables -t nat -I POSTROUTING -d 1.1.1.1 -o eth1 -j MASQUERADE,表示将报文源地址修改成eth1接口地址,MASQUERADE相比SNAT性能比较低,若是IP地址不变,则优先使用SNAT。
  • REDIRECT用于在本机进行端口映射,只能用于nat表的PREROUTING、OUTPUT,如iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080,当其余主机访问本机80端口时,报文会被重定向到本机的8080端口。DNAT 是明确指定修改目的地址,而 REDIRECT 会把要转发的包的目的地址改写为入口接口的 IP 地址,即接收到的全部报文的目的地址都会被修改成入接口的IP,同时端口也会被修改。
  • 使用limit模块能够对报文进行限速,如iptables -t filter -I INPUT -p icmp -m limit --limit 10/minute -j ACCEPT,表示每分钟最多放行10个包,即没6s最多放行一个包。limit模块使用“令牌桶”算法,使用--limit-burst能够指定令牌个数。 
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程