1. 程式人生 > >iptables防火墻四表五鏈介紹

iptables防火墻四表五鏈介紹

iptables

iptables只是Linux防火墻的管理工具而已,位於/sbin/iptables。真正實現防火墻功能的是netfilter,它是Linux內核中實現包過濾的內部結構。

iptables包含4個表,5個鏈。其中表是按照對數據包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是netfilter的兩個維度。 4個表:filter,nat,mangle,raw,默認表是filter(沒有指定表的時候就是filter表)。表的處理優先級:raw>mangle>nat>filter。

filter:一般的過濾功能

nat:用於nat功能(端口映射,地址映射等)

mangle:用於對特定數據包的修改

raw:有限級最高,設置raw時一般是為了不再讓iptables做數據包的鏈接跟蹤處理,提高性能

5個鏈:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

PREROUTING:數據包進入路由表之前

INPUT:通過路由表後目的地為本機

FORWARDING:通過路由表後,目的地不為本機

OUTPUT:由本機產生,向外轉發

POSTROUTIONG:發送到網卡接口之前。

規則表:

1.filter表——三個鏈:INPUT、FORWARD、OUTPUT
作用:過濾數據包 內核模塊:iptables_filter.
2.Nat表——三個鏈:PREROUTING、POSTROUTING、OUTPUT
作用:用於網絡地址轉換(IP、端口) 內核模塊:iptable_nat
3.Mangle表——五個鏈:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改數據包的服務類型、TTL、並且可以配置路由實現QOS內核模塊:iptable_mangle(別看這個表這麽麻煩,咱們設置策略時幾乎都不會用到它)
4.Raw表——兩個鏈:OUTPUT、PREROUTING

作用:決定數據包是否被狀態跟蹤機制處理 內核模塊:iptable_raw
(這個是REHL4沒有的,不過不用怕,用的不多)

規則鏈:

1.INPUT——進來的數據包應用此規則鏈中的策略
2.OUTPUT——外出的數據包應用此規則鏈中的策略
3.FORWARD——轉發數據包時應用此規則鏈中的策略
4.PREROUTING——對數據包作路由選擇前應用此鏈中的規則
(記住!所有的數據包進來的時侯都先由這個鏈處理)
5.POSTROUTING——對數據包作路由選擇後應用此鏈中的規則
(所有的數據包出來的時侯都先由這個鏈處理)

規則表之間的優先順序:

Raw——mangle——nat——filter
規則鏈之間的優先順序(分三種情況):

第一種情況:入站數據流向

從外界到達防火墻的數據包,先被PREROUTING規則鏈處理(是否修改數據包地址等),之後會進行路由選擇(判斷該數據包應該發往何處),如果數據包的目標主機是防火墻本機(比如說Internet用戶訪問防火墻主機中的web服務器的數據包),那麽內核將其傳給INPUT鏈進行處理(決定是否允許通過等),通過以後再交給系統上層的應用程序(比如Apache服務器)進行響應。

第二沖情況:轉發數據流向

來自外界的數據包到達防火墻後,首先被PREROUTING規則鏈處理,之後會進行路由選擇,如果數據包的目標地址是其它外部地址(比如局域網用戶通過網關訪問QQ站點的數據包),則內核將其傳遞給FORWARD鏈進行處理(是否轉發或攔截),然後再交給POSTROUTING規則鏈(是否修改數據包的地址等)進行處理。

第三種情況:出站數據流向
防火墻本機向外部地址發送的數據包(比如在防火墻主機中測試公網DNS服務器時),首先被OUTPUT規則鏈處理,之後進行路由選擇,然後傳遞給POSTROUTING規則鏈(是否修改數據包的地址等)進行處理。

管理和設置iptables規則

1.拒絕進入防火墻的所有ICMP協議數據包
iptables -I INPUT -p icmp -j REJECT

2.允許防火墻轉發除ICMP協議以外的所有數據包
iptables -A FORWARD -p ! icmp -j ACCEPT
說明:使用“!”可以將條件取反。

3.拒絕轉發來自192.168.1.10主機的數據,允許轉發來自192.168.0.0/24網段的數據
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明:註意要把拒絕的放在前面不然就不起作用了啊。

4.丟棄從外網接口(eth1)進入防火墻本機的源地址為私網地址的數據包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.封堵網段(192.168.1.0/24),兩小時後解封。
[[email protected] ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[[email protected] ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[[email protected] ~]# at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
說明:這個策略咱們借助crond計劃任務來完成,就再好不過了。
[1]+ Stopped at now +2 hours

6.只允許管理員從202.13.0.0/16網段使用SSH遠程登錄防火墻主機。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
說明:這個用法比較適合對設備進行遠程管理時使用,比如位於分公司中的SQL服務器需要被總公司的管理員管理時。

7.允許本機開放從TCP端口20-1024提供的應用服務。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.允許轉發來自192.168.0.0/24局域網段的DNS解析請求數據包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.禁止其他主機ping防火墻主機,但是允許從防火墻上ping其他主機
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

10.禁止轉發來自MAC地址為00:0C:29:27:55:3F的和主機的數據包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明:iptables中使用“-m 模塊關鍵字”的形式調用顯示匹配。咱們這裏用“-m mac –mac-source”來表示數據包的源MAC地址。

11.允許防火墻本機對外開放TCP端口20、21、25、110以及被動模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
說明:這裏用“-m multiport –dport”來指定目的端口及範圍

12.禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP數據包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明:此處用“-m –iprange –src-range”指定IP範圍。

13.禁止轉發與正常TCP連接無關的非—syn請求數據包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明:“-m state”表示數據包的連接狀態,“NEW”表示與任何連接無關的,新的嘛!

14.拒絕訪問防火墻的新數據包,但允許響應連接或與已有連接相關的數據包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明:“ESTABLISHED”表示已經響應請求或者已經建立連接的數據包,“RELATED”表示與已建立的連接有相關性的,比如FTP數據連接等。

15.只開放本機的web服務(80)、FTP(20、21、20450-20480),放行外部主機發住服務器其它端口的應答數據包,將其他入站數據包均予以丟棄處理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP




本文出自 “淺景塵” 博客,請務必保留此出處http://857803451.blog.51cto.com/12777961/1952656

iptables防火墻四表五鏈介紹