iptables 工具

iptables 工具

参考文档：

https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html

 

netfilter/iptabels应用程序，被认为是Linux中实现包过滤功能的第四代应用程序。

netfilter/iptables包含在2.4以后的内核中，它可以实现Firewall、NAT（网络地址转换）和数据包的分割等功能。

netfilter工作在内核中，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集；

iptables工作在用户态空间，它使插入、修改和除去信息包过滤表中的规则变得容易。

 

iptables读取流入和流出数据包的报头，将它们与规则集（Rule set）相比较：

1、将可接受的数据包从一个网卡转发至另一个网卡；

2、对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。

 

根据规则所处理的信息包类型，可以将规则分组在链中：

1、处理入站信息包的规则被添加到INPUT链中；

2、处理出站信息包的规则被添加到OUTPUT链中；

3、处理正在转发的信息包的规则被添加到FORWARD链中；

这三个链是基本信息包过滤表中内置的缺省主链。另外，还有其他许多可用的链的类型（如PREROUTING和POSTROUTING），以及提供用户自定义的链。

每个链都可以有一个策略，它定义“缺省目标”，也就是要执行的缺省操作，当信息包与链中的任何规则都不匹配时，执行此操作。

 

 

 

iptables有多张table（如下），每个table又包含若干chains，每条chain是由一组rules构成；

table name	description	operation
filter (default)	用于包过滤，包含 INPUT 、OUTPUT 和 FORWARD链	ACCEPT、DROP、REJECT、LOG
nat	转换包的源或目的地址，包含 PREROUTING 、OUTPUT 和 POSTROUTING链	SNAT、DNAT、MASQUERADE
mangle	包含一些规则来标记用于高级路由的信息包，包含 PREROUTING 、OUTPUT 链	TOS、TTL、MARK

 

 

 

 

以本地为目的的包

step	table	chain	comment
1			在 Internet线路上传输
2			进入网卡接口（如 eth0 ）
3	mangle	PREROUTING
4	nat	PREROUTING	这个链主要做 DNAT
5			路由判断，包是要转发还是送往本地
6	mangle	INPUT
7	filter	INPUT	这里可以加过滤
8			到达本地的应用程序

  

 

以本地为源的包

step	table	chain	comment
1			本地的应用程序
2			路由判断
3	mangle	OUTPUT
4	nat	OUTPUT	这个链主要做 DNAT
5	filter	OUTPUT	这里可以加过滤
6	mangle	POSTROUTING
7	nat	POSTROUTING	这个链主要做 SNAT
8			离开网卡接口（如 eth0 ）
9			在 Internet线路上传输

  

 

转发的包

step	table	chain	comment
1			在 Internet线路上传输
2			进入网卡接口（如 eth0 ）
3	mangle	PRETROUTING
4	nat	PRETROUTING	这个链主要做 DNAT
5			路由判断，包是要转发还是送往本地
6	mangle	FORWARD	特殊情况才使用
7	filter	FORWARD	转发的包会走该链，进行过滤
8	mangle	POSTROUTING	特殊情况才使用
9	nat	POSTROUTING	这个链主要做 SNAT
10			离开网卡接口（如 eth0 ）
11			在 Internet线路上传输

  

 

 

filter表

INPUT链针对目的是本地的包；

OUTPUT链过滤本地生成的包；

FORWARD链过滤不是本地产生的，且目的地也不是本地的包（即转发的包）；

 

nat表

属于一个流的包只会经过nat表一次，如果第一个包被允许做nat，其后的包会自动被做相同的处理；所以nat表不要做任何过滤操作；

PREROUTING链的主要作用是包刚刚到达firewall时改变它的目的地址；

POSTROUTING链的主要作用是包离开firewall时改变其源地址；

OUTPUT链改变本地产生的包的目的地址；

 

mangle表

不建议在mangle表里做任何过滤；

 

 

 

iptables 命令格式

 

对来自某个源地址，到达某个目的地址或具有特定协议类型的信息包要做些什么指令、规则控制信息包的过滤，

可以通过使用iptables系统提供的命令去建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。

 

关于添加、去除、编辑规则的命令，一般语法如下：

iptables [-t table] command [chain] [rules] [-j target]

 

[-t table] ：用来指明使用的表， 可以为： filter（缺省表）, nat 和 mangle。 

 

command 表明iptables命令要做什么，比如：

-L <CHAIN>, -S <CHAIN>
列出链中的所有规则；输出格式不同

-I <CHAIN>, -A <CHAIN>
插入一条规则，I此规则会作为链的第一条规则；A则会在最后一条

-D <CHAIN> N, -D <CHAIN>
删除一条规则，可以明确指明规则内容，也可以用N指出链中的第N条

-F <CHAIN>, -Z <CHAIN>
F清除链中的所有规则，不指明链，则清除所有链；Z则是只清除计数器，不清除规则

-P <CHAIN>
指定某条链的默认动作，ACCEPT、DROP或REJECT等

 

chain 表明操作的链，例如INPUT、OUTPUT、FORWARD等；

rules 匹配的包规则，同一条规则里的多个条件是“与”的关系，比如：

-p, --protocol
协议匹配，如 -p tcp

-s, --src, --source
来源匹配，如 -s 202.108.37.49

-d, --dst, --destination
目的匹配，如 -d 172.16.115.117

-i, --in-interface
入网卡接口匹配，如 -i eth0

-o, --out-interface
出网卡接口匹配，如 -o eth1

--sport, --source-port
来源端口匹配（tcp或udp），如 --sport 80；也可以用端口范围，如 --sport 135:139

--dport, --destination-port
目的端口匹配（tcp或udp），如 --dport 80；同样支持端口范围

--tcp-flags
tcp状态匹配，如 --tcp-flags RST RST

-m mac --mac-source
mac地址匹配，如 -m mac --mac-source 00:1E:C9:B0:53:D2

-m multiport --source-port , --destination-port
多端口匹配，如-m multiport --destination-port 80,443

-m iprange
简单的指定ip范围。用--src-range或--dst-range匹配，如 -m iprange --src-range 192.168.1.33-192.168.1.50

-m time
指定匹配时间（UTC），可以使用--datestart、--datestop、--timestart或--timestop等参数。如 -m time --datestart 2014-01-01T00:00:00 --datestop 2014-12-31T23:59:59 。注意时间是UTC时间。

 

target: 是由规则指定的操作。 包括下面几种：
-j ACCEPT:

接收信息包(允许它前往目的地），并且将停止遍历chain；

 

-j DROP

默默丢弃包（对方不知道）；

 

-j REJECT

拒绝包，会发RST明确通知对方拒绝；

 

-j SNAT

源地址转换，如 -j SNAT --to 61.135.152.194

-j MASQUERADE
类似SNAT，但是根据默认路由转换，适用于动态ip（不需要指明转换后的地址）

-j DNAT
进行目的地址转换，如 -j DNAT --to-destination 192.168.0.254

-j REDIRECT
（对于tcp和udp）进行端口重定向，如 -j REDIRECT --to-ports 8080

此外还有, RETURN, LOG, MARK, MIRROR, MAQUERADE等。 

 

 

 

 

 

应用场景

 

1、查看已添加的规则

iptables -L -n

iptables -t nat -L

 

2、保存

/etc/rc.d/init.d/iptables save

 

3、删除已添加的规则

iptables -L -n --line-numbers

 

4、清除已有的规则

iptables -F          清除filter表的所有规则

iptables -X          清除filter表中用户自定义的规则

iptables -Z          

 

5、开放指定的端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

  

6、阻止一个IP连接本机

iptables -t filter -A INPUT -s 192.168.1.5  -i eth0 -j DROP

  

7、端口转发

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 81 -j DNAT --to-destination192.168.0.2:8180

iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -p tcp -m tcp --dport 8180 -j SNAT --to-source 192.168.0.1

 

8、

丢弃RST包

iptables -I INPUT -p tcp --sport 80 --tcp-flags RST RST -j DROP