iptables基本命令到深入

1、关闭firewalld，安装iptables-server并启动服务

　　systemctl stop firewalld

　　systemctl disable firewalld

　　yun -y install iptables-server

　　yum -y install iptables-server

2、熟悉iptable框架

　　1）iptables的4个表（区分大小写）：

　　　　iptables默认有4个表，nat表（地址转换表）、filter表（数据过滤表）、raw表（状态跟踪表）、mangle表（包标记表）。

　　2）iptables的5个链（区分大小写）：

　　　　INPUT链（入站规则）

　　　　OUTPUT链（出站规则）

　　　　FORWARD链（转发规则）

　　　　PREROUTING链（路有前规则）

　　　　POSTROUTING链（路由后规则）

3、iptables命令的基本使用方法
　　1）iptables语法的基本格式　

　　　　iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]

　　　　iptables -t filter -I INPUT -p icmp -j REJECT

　　　　iptables -t filter -I INPUT -p icmp -j ACCEPT

　　　　iptables -I INPUT -p icmp -j REJECT

##注意事项//注意事项与规律：

//可以不指定表，默认为filter表

//可以不指定链，默认为对应表的所有链

//除非设置默认策略，否则必须指定匹配条件

//选项/链名/目标操作用大写字母，其余都小写

#######################################//目标操作：

// ACCEPT：允许通过/放行

// DROP：直接丢弃，不给出任何回应

// REJECT：拒绝通过，必要时会给出提示

// LOG：记录日志，然后传给下一条规则

iptables命令的常用选项如图所示

创建iptables规则：

　　iptables -t filter -A input -p tcp -j accept　　#追击规则到filter表中的input链末尾，允许任何人使用tcp协议访问本机
　　iptables -I input -p udp -j accept　　　　　#插入规则到filter表中的input链的开头，允许任何人使用UDP协议访问本机
　　iptables -I input 2 -p icmp -j Accept　　　　#插入规则到filter表中国的input链的第2行，允许任何人使用icmp协议访问本机

查看iptables防火墙规则：

　　iptables -nL input　　　　#仅查看input链的规则
　　iptables -nL input --line-numbers　　#查看规则显示行号

删除规则，清空所有规则

　　iptables -D input 3　　　　#删除filter表中input链的第3 条规则
　　iptables -nL input 　　　　#查看规则是否已经删除
　　iptables -F　　　　　　　 #清空filter表中所有链的防火墙规则
　　iptables -t nat -F　　　　 #清空nat表中的所有链的防火墙规则

　　iptables -t mangle -F　　 #清空mangle表中的所有链的防火墙规则

设置防火墙默认规则

　　iptables -t filter -P INPUT DROP　　#当所有规则不匹配的时候走这一条规则
　　iptables -nL

filter过滤和转发控制

1、iptables防火墙可以根据很多很灵活的规则进行过滤行为

主机型防火墙案例

　　iptables -I INPUT -p tcp --dport 80 -j REJECT

　　iptables -I INPUT -s 192.168.2.100 -j REJECT

　　iptables -I INPUT -d 192.168.2.5 -p tcp -- dport 80 -j REJECT

　　iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT

　　iptables -A INPUT -s 192.168.4.120 -j DROP　　　　#丢弃192.168.4.120发给本机的所有数据包
　　iptables -A INPUT -s 10.0.10.0/24 -j DROP　　　　　#丢弃10.0.10.0/24网络中所有主机发送给本机的所有数据包

　　iptables -A INPUT -s 114.21.33.12 -p tcp --dport 22 -j REJECT　　#拒绝114.21.33.12使用TCP协议远程连接本机ssh（22端口）

开启linux路由转发功能

linux内核默认支持软路由功能，通过修改内核参数即可开启或关闭路由转发功能
　　echo 0 > /proc/sys/net/ipv4/ip_forward　　　　#关闭路由转发（当前有效，重启失效）
　　echo 1 > /proc/sys/net/ipv4/ip_forward　　　　#开启路由转发（当前有效，重启失效）

　　echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf　　#修改/etc/sysctl.conf配置文件，可以实现永久有效规则

网络型防火墙案例

1）网络型防火墙案例

部署如表-3所示的网络拓扑，一定要把proxy主机的路由转发功能打开。

表-3 实验拓扑

添加网关的命令

[root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
[root@client ~]# nmcli connection up eth0
[root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.5
[root@web1 ~]# nmcli connection up eth1

确认不同网络的联通性

[root@client ~]# ping 192.168.2.100
[root@web1 ~]# ping 192.168.4.100

在web1主机上启动http服务

[root@web1 ~]# yum -y install httpd
[root@web1 ~]# echo "test page" > /var/www/html/index.html
[root@web1 ~]# systemctl restart httpd

没有防火墙的清空下client访问web服务

[root@client ~]# curl http://192.168.2.100 //成功

设置proxy主机的防火墙规则，保护防火墙后面的Web服务器

[root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP

设置完防火墙规则后，再次使用client客户端访问测试效果

[root@client ~]# curl http://192.168.2.100 //失败

禁ping的相关策略

1）默认直接禁ping的问题？

[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
//设置完上面的规则后，其他主机确实无法ping本机，但本机也无法ping其他主机
//当本机ping其他主机，其他主机回应也是使用icmp，对方的回应被丢弃

2）禁止其他主机ping本机，允许本机ping其他主机

[root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
//仅禁止入站的ping请求，不拒绝入站的ping回应包

注意：关闭ICMP的类型，可以参考help帮助，参考命令如下：

[root@proxy ~]# iptables -p icmp --help

方案

iptables在基本过滤条件的基础上还扩展了很多其他条件，在使用时需要使用-m参数来启动这些扩展功能，语法如下：

iptables 选项链名称 -m 扩展模块 --具体扩展条件 -j 动作

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：根据MAC地址过滤

1）根据IP过滤的确定是对方修改IP后，防火墙是失效

[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
//设置规则禁止192.168.4.100使用ssh远程本机

但是，当client主机修改IP地址后，该规则就会失效，注意因为修改了IP，对client主机的远程连接会断开，需要使用virt-manager开启虚拟机操作：

[root@client ~]# ifconfig eth0 192.168.4.101
[root@client ~]# ssh 192.168.4.5 //依然成功

根据MAC地址过滤，可以防止这种情况的发生

[root@client ~]# ip link show eth0 //查看client的MAC地址
eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22\
> -m mac --mac-source 52:54:00:00:00:0b -j DROP
//拒绝52:54:00:00:00:0b这台主机远程本机

步骤二：基于多端口设置过滤规则

1）一次需要过滤或放行很多端口时会比较方便

[root@proxy ~]# iptables -A INPUT -p tcp \
> -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
//一次性开启20,21,22,25,80,110,143,16501到16800所有的端口

步骤三：根据IP地址范围设置规则

1）允许从 192.168.4.10-192.168.4.20 登录

[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \
> -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT

2）禁止从 192.168.4.0/24 网段其他的主机登录

[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP

配置SNAT实现共享上网

4.1 问题

本案例要求设置防火墙规则，允许位于局域网中的主机可以访问外网，主要包括下列服务：

搭建内外网案例环境
配置SNAT策略实现共享上网访问

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：搭建内外网案例环境

表-4 实验拓扑

这里，我们设定192.168.2.0/24网络为外部网络，192.168.4.0/24为内部网络。

现在，在外部网络中有一台web服务器192.168.2.100，因为设置了网关，client已经可以访问此web服务器了。但，如果查看web1的日志就会发现，日志里记录的是192.168.4.100在访问网页。

我们需要实现的效果是，client可以访问web服务器，但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP，希望访问外网，就需要伪装为公司的外网IP后才可以)。

步骤二：设置防火墙规则，实现IP地址的伪装（SNAT源地址转换）

1）确保proxy主机开启了路由转发功能

[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发

2）设置防火墙规则，实现SNAT地址转换

[root@proxy ~]# iptables -t nat -A POSTROUTING \
> -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5

3）登陆web主机查看日志

[root@proxy ~]# tail /var/log/httpd/access_log
.. ..
192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

通过日志会发现，客户端是先伪装为了192.168.2.5之后再访问的web服务器！