iptables初探

一，前言

本来想起个名字叫做“小白都是怎么学习iptables的？”或者“你为什么还不了解iptables?”等等，就像简书上的头条文章，虽然被说成“标题党”也是名副其实，但是的确能吸引别人去阅读，提升阅读量（那些大V也确实是这么干的）。不过转念一想，我这小白所写的文章，稚不成书，还是少些人看的好：）。。。故改名iptables初探。意在记录自己学习iptables的过程，轻喷！

首先，iptables是防火强的一种，防火墙分为三大类：包过滤、代理和状态检测防火墙。在linux系统中大都采用包过滤技术来做防火墙，根据发展的先后又分为静态防火墙和动态防火墙，静态防火墙修改规则后需要重新启动防火墙，而动态不需要，修改即生效。今天我所学习的iptables就属于静态防火墙的一种，在REHL7中新纳入的firewall防火墙就属于动态防火墙。在实际应用中，iptables可以用来封包过滤、封包重定向以及NAT隐藏背后真实的服务器，起到保护的作用。

二，iptables原理

1，简介：

iptables其实应该叫做netfilter/iptables，由netfilter和iptables两部分组成，netfilter也称为内核空间，用来存储策略及响应策略，iptables是存在于用户空间的一种工具，用来编写策略。

2，表与链：

整个iptables策略的编写围绕着表（tables）和链（chains）的分层结构来进行，一张表下可以包含多条链。目前内置于iptables中的表有mangle、nat和filter三张，而我们常用的就是nat和filter，所以我这里就主要学习这两张表。两张表与其各自的链的功能如下表所示：

表（tables）	链（chains）	解释（explanation）
nat	prerouting	在路由决策前由这个链来处理
	output	从本地发送的数据由这个链处理
	postrouting	用于转发和送出数据包
filter	input	用于过滤进入本机的数据包
	forward	处理经过本系统的报文（转发、路由等）
	output	用于过滤从本机发出的报文

当一个数据包需要来到配置有iptabls的主机时，会经过如下过程：

1） 路由决策前，经过NAT的prerouting来处理；

2） 判断此数据包是否发送给本机，如果是，则经过FILTER的input来过滤，如果否，则通过FILTER的forward来路由转发；

3） 对于发送给本机的数据包，通过处理后，进入NAT的output链进行再处理，然后进入FILTER链的output进行过滤出，最后经由NAT的postrouting链送出数据包；

4） 对于不是发送给本机的数据包，通过forwar链处理后，由postrouting链送出。

数据流向大致如下图所示：

所以我们做的就是在表和链这里设置一些规则，让数据包来匹配这些规则，规则从上到下是一个表的样式，而数据包会一条一条的过滤，直到符合匹配，就同行，否则就按照默认规则处理。

三，通过实验验证iptables命令

1） 在centos7.2上安装iptables

挂载镜像，编写yum源

yum install iptables-services

systemctl unmask iptables

请确保firewalld为关闭状态（会与iptables冲突）

2） 验证iptables相关命令

命令格式：iptables [-t 表名] 选项 [链名] [条件] [-j 策略]

对表名来说，本实验中就是filter和nat表，默认情况下是filter

对选项来说存在以下的常用选项：

-L	iptables -L 查看当前规则策略，没有指定表时，默认filter表
-F	iptables -F 清空指定链规则
-A	iptables -A 在指定链后面添加一条新规则
-D	iptables -D 1 删除指定链第一条规则
-R	替换指定链中的规则
-Z	清空指定链中的所有计数
-N	自定义一条链
-X	删除自定义链
-P	设定默认策略（将整个链DROP等
-E	修改链的名字（只能修改自己添加的链）
-I	在指定链某一条规则前插入一条新规则

对策略来说，有如下策略：

ACCEPT	允许该包通过
DROP	丢弃该包，不做任何操作
REJECT	拒绝该包，并返回消息
DNAT	目标地址转换
SNAT	源地址转换
REDIRECT	重定向到另一个端口
MASQUERADE	地址伪装
LOG	将封包信息记录到日志/var/log

试验环境：

主机名	IP	角色
01	192.168.1.2	公网IP
02	192.168.1.1 192.168.2.1	防火墙，边缘路由
03	192.168.2.2	服务器

1）03上做了http服务，现在要求01不能访问03的web服务，在02上配置iptables：

iptables -A FORWARD -s 192.168.1.2 -d 192.168.2.2 -p tcp -dport 80 -j REJECT

此时，01不能访问03的WEB服务，其他服务正常

2）我们想做一个源地址的转换， 内网多个客户端共用一个外网IP去访问服务器：

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.1

此时，再用01去访问03时，在03的httpd访问日志中，显示的不是01的地址，而是通过已经转换的192.168.1.1:

3） 目标地址转换，通常用于隐藏内部服务器的IP地址。比如在本例中，03是内部服务器，现在想实现的目标是用户通过02上的192.168.2.1来访问03的web服务，在02上配置NAT:

iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --dport 80 -j     DNAT --to-destination 192.168.1.2

此时：elinks 192.168.2.1就是访问03的192.168.1.2这台服务器了。很好的将03进行隐藏。

【注】源地址转换必须在POSTROUTING上做，目标地址转换必须在PREROUTING上做。

四，结语

在企业中，会经常用到iptables来做NAT，已达到内网安全的目的。在本篇中，学到了iptables的命令格式及SNAT和DNAT的用法。在后续的文章中，会继续学习其他用法，并分析各种用法的原理。