iptables之二基本应用

iptables概述

iptables是一个规则管理工具，它能实现规则的：

    添加、修改、删除、显示等相关功能；固然也能完成默认规则的定义等等。

    另外iptables还有一个好处在于在实现规则添加时它能自动完成规则的语法检查。

    其实iptables全部规则编写好后都是送往内核的netfilter上去的，而netfilter的功能输出是经过一个系统调用来输出的。因此咱们也能够本身编写规则并调用系统调用将规则送进去，不过，对于咱们来说，像这种咱们编写的规则即使送进去后万一出现语法错误的话将会形成netfilter工做异常，因此就开发了一个专门的能帮咱们去检查语法编写规则并将规则直接经过系统调用送往netfilter的一个工具即iptables。

　　对于iptables来说，添加到内核的称为规则，规则要添加到链上，而为了统计每一条规则被放置到链上后它匹配到了多少个报文。因此：规则和链是有计数器的；它能显示本身从启用开始到此刻为止一共匹配到多少个数据包等等。而每个规则和每个链本身默认都有两个计数器：

    pkts：由规则或链所匹配到的报文的个数；

    bytes：（字节数）由规则或链匹配到的全部报文大小之和；

  

iptables命令

基本语法：

　　iptables [-t table]（table省略的话默认是filter） SUBCOMMAND（子命令） CHINA（指定对于表的哪个链进行管理） CRETERIA（匹配标准） -j TARGET（指明处理动做）

　　iptables [-t table] {-A|-C|-D} chain rule-specification
　　ip6tables [-t table] {-A|-C|-D} chain rule-specification
　　iptables [-t table] -I chain [rulenum] rule-specification
　　iptables [-t table] -R chain rulenum rule-specification
　　iptables [-t table] -D chain rulenum
　　iptables [-t table] -S [chain [rulenum]]
　　iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
　　iptables [-t table] -N chain
　　iptables [-t table] -X [chain]
　　iptables [-t table] -P chain target
　　iptables [-t table] -E old-chain-name new-chain-name

 注意：

• 　　iptables在编写的时候一般指定一个子命令，指明这个子命令做用在哪一个链上而且在这个链上匹配规则时有什么样的匹配标准，一旦匹配到之后咱们作出什么样的处理。不过不一样的命令和用法是不同的。
•     -t table：table一共只有四个：filter、nat、mangle、raw，省略为filter；

   

这些子命令大体能够分为两类：

　　一类是对链管理的（链管理命令）：

　　-F：flush，清空规则链；省略链，表示清空指定表上的全部的链；
　　-N：new，建立新的自定义规则链（不能重名）；
　　-X：drop，删除用户自定义的空的规则链（若是有规则须要使用-F清空）；
　　-Z：zero，清零，置零规则计数器的；
　　-P：Policy，为指定链设置默认策略；对于filter表中的链而言，默认策略一般有ACCEPT（放行报文）、DROP（丢弃报文，相似于对方ping时不存在主机）、REJECT（拒绝报文）；
　　-E：rEname，重命名自定义链；引用（使用-j把一个链放在target的时候就叫引用）计数不为0的自定义链没法更名，也没法删除；

　　一类是对规则管理的（规则管理命令）：

　　-A：append，将新的规则追加于指定链的尾部；
　　-I：insert，将新规则插入指定链的指定位置；（按规则编号进行指定），省略时表示链的第一条。
　　-D：delete，删除指定链上的指定规则：
　　-R：replace，替换指定链上的指定规则；

　　　规则有两种指定方式：

• （1）  指定匹配条件；
• （2）  指定规则标号

          

查看：

　　-L ：list，列出指定链上的全部规则；（-L在应用时，它与此前的route或netstat命令同样，因为能显示出IP地址和端口来因此它老是会反解，那反解带来的结果是速度会很慢）
　　-n：numberic，以数字格式显示地址和端口号；即不反解
　　-v：verbose，显示详细信息；（能够显示出规则计数器）
　　-vv，-vvv（v越多显示的格式越详细）
　　--line-numbers：显示规则编号；（在一个链上若是有多条规则出现的话，对这个链上的规则编号后显示）
　　-x：exactly，显示计数器计数结果的精确值，每个链即每个链上都有计数器，当这个计数器的数量很大时，它会自动作单位换算，并且单位换算后可能会自动取整，
　　　　获得的值就不是精确结果了，因此若是不指望其自动单位换算就使用此选项。

 

举例：

　　删除全部用户自定义的空链：

　　重命名：

　　重启查看：

　　　　port：协议，通常只有TCP、UDP、ICMP三种；

　　　　opt：选项；

　　　　source：表示指明匹配源地址的范围；

　　　　destination：指明匹配目标地址；

　　　　ctstate：链接追踪机制；

　　使用-v时每条规则前多了两个计数器：

　　修改链的默认策略：

　　重启服务：

　　显示规则对应的编号：

　　删除其第七条规则：

　　显示更详细的信息：

　　不作单位换算：

 

规则的匹配条件：

　(1).基本匹配（通用匹配）

• [!]（中括号表示可省，!为取反） -s、-src、--source IP|Netaddr（不加!表示正向匹配，加!表示反向匹配即不被所指定地址所包含的反而是符合条件的）：检查报文中的源IP地址是否符合或是否属于此处指定的地址范围；
• [!] –d、--dest、--destination IP|Netaddr：检查报文中的目标IP地址是否符合此处指定的地址范围（INPUT和OUTPUT的源地址和目标地址是不同的，通常是相反的）
• [!] –p、--protocol {tcp|udp|icmp}（此处协议为传输层协议）：检查报文中的协议，即IP首部中的protocols所标识的协议；
• [!] –i、--in-interface INTERFACE：数据报文的流入接口（从哪一个接口进入本机的，假若有三块网卡，只对第一块网卡作数据流入检查）；仅能用于PREROUTING、INPUT、FORWARD链上；
• [!] –o、--out-interface INTERFACE：检查数据报文的流出接口；仅能用于FORWARD、OUTPUT、POSTROUTING链上；

　(2).扩展匹配：（支持添加额外的模块实现动态扩展功能）

　　查看扩展可以使用：

　　扩展实现的功能分为两类，一类为对检查的匹配条件作扩展,二为对目标作扩展，像SNAT、REJECT、LOG…就是经过模块来完成的。大写的都是TARGET，小写的都是能够作匹配条件的。而对于协议来说，协议自己还能够作一些扩展，因此当使用扩展匹配时须要使用-m MATCH_NAME指明咱们要使用扩展匹配了，而后每个扩展都有本身的专用选项，使用--spec_options，例如想检查TCP端口号：-m tcp –dport 22表示使用TCP扩展，而这个扩展有一个专用选项叫作dport，而咱们匹配到的22号端口。

       隐式扩展：对-p protocol指明的协议进行的扩展，可省略-m选项；

       隐式扩展指的是，如：已经使用-p指明TCP了，上述例子的-m tcp就能够不用写了。对tcp、upd、ICMP等协议进行扩展时，若是使用-p已经指明是哪一种协议了，而-m再指明加载这个协议不用再写，这就是隐式扩展。

•        -p tcp

           有三个扩展：

• • • 　　--dport PORT[-PORT]：目标端口匹配，能够是单个端口，也能够是连续多个的端口；
    • 　　--sport PORT[-PORT]：匹配源端口，能够是单个端口，也能够是连续多个的端口；
    • 　　--tcp-flags LIST1 LIST2：用来指明检查者六个标识位中的哪些个而且哪些个必须为1哪些个必须为0。检查LIST1所指明的全部标识位，且这其中LIST2所表示出的全部标识位必须为1，而余下的必须为0；没在LIST1中指明的，不作检查；

　　　　　　　　标识位以下：

　　                SYN（请求同步）、ACK（确认号有效）、FIN（断开请求）、RST（重置链接）、PSH（Push，推送，表示收到一个报文后，不要在缓存队列中缓存而是当即送给应用程序）、URG（紧急指定有效）

                例：--tcp-flags SYN,ACK,FIN,RST SYN    #表示只检查SYN、ACK、FIN、RST这四个位，PSH和URG是什么都行，单这四个位中要求SYN必须为1，其它必须为0；至关于TCP三次握手的第一次。还有一个简写方式叫—syn（检查是否为新建TCP链接的第一次请求）

•        -p udp
  • 　　--dport
  • 　　--sport
•        -p icmp

         　　 --icmp-type：ICMP报文类型很是多，能够去搜索ICMP Type。

         可用数字表示其类型：0（echo-reply回显应答）、8（echo-request）（ping别人发送的报文类型为8，别人给的响应报文类型为0），在匹配时，一般只须要限制0和8。请求和应答不同这带给咱们的直接结果就是可让主机ping别人，别人不能ping咱们，仅容许出去的是8，进来的是0，那么若是进来的是8那就别人进不来了。

      显示扩展：必须使用-m选项指定使用的扩展；（到后面在进行详细介绍）

 

目标（TARGET）（即匹配到条件后的执行动做）：

    -j TARGET：jump，跳转到指定TARGET处理

    TAEGET有：

•        ACCEPT（接受）
•        DROP（丢弃）
•        REJECT（拒绝）
•        RETURN（返回至调用链）
•        REDIRECT（端口重定向，如：原本访问的80改成8080）
•        LOG（记录日志，将访问记录至日志文件中）
•        MARK（作防火墙标记）
•        DNAT（目标地址转换）
•        SNAT（源地址转换）
•        MASQUERADE（地址假装）
• 　　　 …
•        自定义链（由自定义链上的规则进行匹配检查；使用自定义链是由于当一个链上的规则过多时能够把功能相近的放在一个链上未来作单独管理）

 

编写规则示例：

　　凡是访问本机的报文属于TCP协议的通通都放行：

　　凡是由本机发送出去的TCP报文跟任何主机通讯都容许出去：

　　将filter表的全部链的默认策略都改成DROP：

    所以，此时只要不是TCP协议的通通DROP，将访问不成，而ssh协议是TCP协议，所以远程链接不会断开。所以先写的那两个规则是让远程链接不断开的相当重要的前提。

 

　　此时非TCP协议的就没法访问了：

　　修改ICMP容许INPUT：

　　可是此时为何仍是不行呢？

　　由于响应报文没法发送出去，所以仍是不能通讯。

　　添加一条规则便可：

　　未来要拒绝某我的访问，可在INPUT与OUTPUT实现，固然最好是在INPUT上拒绝，防患于未然。

　　注意：为了防止写规则时一不当心拒绝了SSH远程链接命令，尤为是测试新规则时，可作以下处理：

　　　　或者：将iptables后的-F改为-P，INPUT与OUTPUT为ACCEPT

　　　　或者：也能够定义一个近期任务计划10分钟后执行，写一个脚本，将全部策略通通置为ACCEPT，把全部规则通通清空，让其5分钟后再执行。先提醒一个任务计划测这个脚本，一测连不上去，等5分钟便可。

 

　　下面咱们来作流入报文接口限制：

　　那么放行ssh服务时怎么只单独放行一个而非是全部TCP协议的端口呢？咱们来试试：

　　　　测试一下：

　　　　　　使用Web服务做比较：

　　　　　　删除其它规则后：

　　　　　　测试：

　　　　　　　　此时没法访问；

　　　　　　　　要想Web服务能够被访问，须要开启80端口，本身动手实现便可。

 

　　实现容许ping别人，不容许别人ping本身，演示：