iptables/netfilter入门到进阶

一、iptables/netfilter的简介：

iptables：规则管理工具；该系统工具有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信
息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

netfilter：防火墙框架，承载并生效规则；netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理。

二、iptables命令组成：

iptables [-t table] COMMAND [chain]
[PARAMETERS] [-m matchname [per-match-options]] [-j targetname
[per-target-options]]

1、table：即功能表。主要分为filter、nat、mangle、raw，其优先级由高到低：raw
–> mangle –> nat –> filter，一般默认为filter功能。

2、COMMAND：命令

a)链管理：

-N, –new-chain chain：新建一个自定义的规则链；

-X, –delete-chain [chain]：删除用户自定义的引用计数为0的空链；

-F, –flush [chain]：清空指定的规则链上的规则；

-E, –rename-chain old-chain new-chain：重命名链；

-Z, –zero [chain [rulenum]]：置零计数器；

注意：每个规则都有两个计数器

packets：被本规则所匹配到的所有报文的个数；

bytes：被本规则所匹配到的所有报文的大小之和；

            -P, –policy chain target

b)规则管理：

-A, –append chain rule-specification：追加新规则于指定链的尾部；

-I, –insert chain [rulenum]
rule-specification：插入新规则于指定链的指定位置，默认为首部；

-R, –replace chain rulenum
rule-specification：替换指定的规则为新的规则；

-D, –delete chain rulenum：根据规则编号删除规则；

-D, –delete chain rule-specification：根据规则本身删除规则；                                    

c)规则显示：

-L, –list [chain]：列出规则；

-v, –verbose：详细信息；

-vv

-n, –numeric：数字格式显示主机地址和端口号；

-x, –exact：显示计数器的精确值，而非圆整后的数据；

–line-numbers：列出规则时，显示其在链上的相应的编号；

-S, –list-rules [chain]：显示指定链的所有规则；       

3、chain：链，主要分为prerouting,
input, forward, output, postrouting，也就是我们平时所说的路由前，输入，转发，输出，路由后，在不同功能表上其所包含的链也是不一样的。比如：

filter：input, forward,
output

nat：prerouting, input,
output, postrouting

mangle：prerouting, input,
forward, output, postrouting

raw：prerouting, output

4、PARAMETERS：匹配条件，一般分为通用匹配和扩展匹配。

通用匹配（PARAMETERS）：

[!] -s, –source address[/mask][,…]：检查报文的源IP地址是否符合此处指定的范围，或是否等于此处给定的地址；

[!] -d, –destination address[/mask][,…]：检查报文的目标IP地址是否符合此处指定的范围，或是否等于此处给定的地址；

[!] -p, –protocol protocol：匹配报文中的协议，可用值tcp,
udp,  udplite, icmp,  icmpv6,esp, 
ah, sctp, mh 或者  “all”, 亦可以数字格式指明协议；

-m, –match match：调用指定的扩展匹配模块来扩展匹配条件检查机制；

[!] -i, –in-interface name：限定报文仅能够从指定的接口流入；only
for packets entering the INPUT, FORWARD 
and  PREROUTING  chains.

[!] -o, –out-interface name：限定报文仅能够从指定的接口流出；for packets entering the FORWARD, OUTPUT and POSTROUTING chains.

扩展匹配（MATCH EXTENSIONS）

                   -m
tcp

                   –sport,
–dport

5、-j targetname
[per-target-options] ：处理动作（跳转目标）

简单target：ACCEPT， DROP

扩展target：REJECT，

LOG

                                     –log-level

                                     –log-prefix

三、iptables的简单使用

1、开放本机22 端口给多有主机访问

[root@localhost ~]#iptables -A INPUT -d
172.18.24.1 -p tcp –dport 22 -j ACCEPT

[root@localhost ~]#iptables -A OUTPUT -s
172.18.24.1 -p tcp –sport 22 -j ACCEPT

[root@localhost ~]#iptables -R INPUT 2  -d 172.18.24.1  -j REJECT 
#禁止其他任何地址访问

[root@localhost ~]#iptables -R OUTPUT
2  -s 172.18.24.1  -j REJECT

2、开放本机的Samba服务，以上述1标准为防火墙

[root@localhost ~]#systemctl start nmb smb

[root@chenxu html]#smbclient -L 172.18.24.1
-U centos #此时在客户端登录，访问超时，登录不上

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p udp –dport 137:138 -j ACCEPT

[root@localhost ~]#iptables -I OUTPUT 2 -s
172.18.24.1 -p udp –sport 137:138 -j ACCEPT

开放137,138，端口，此时客户端也是连接不上的

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p tcp –dport  139 -j ACCEPT

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p tcp –dport  445 -j ACCEPT

[root@localhost ~]#iptables -I OUTPUT 2 -s
172.18.24.1 -p tcp –sport 139 -j ACCEPT

[root@localhost ~]#iptables -I OUTPUT 2 -s
172.18.24.1 -p tcp –sport 445 -j ACCEPT

开放 139和445 端口，此时客户能连接上Samba服务

3、把Samba服务单独创建一个链

[root@localhost ~]#iptables -N
samba_input_rules 创建自定义链

然后添加规则

[root@localhost ~]#iptables -A
samba_input_rules -d 172.18.24.1 -p udp –dport 137:138 -j ACCEPT

[root@localhost ~]#iptables -A
samba_input_rules -d 172.18.24.1 -p tcp –dport 139 -j ACCEPT

[root@localhost ~]#iptables -A
samba_input_rules -d 172.18.24.1 -p tcp –dport 445 -j ACCEPT

布置默认规则

[root@localhost ~]#iptables -A INPUT -d
172.18.24.1 -p tcp –dport 22 -j ACCEPT

[root@localhost ~]#iptables -A INPUT -d
172.18.24.1  -j REJECT

调用Samba规则

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -j samba_input_rules #这样客户端就能够连接Samba服务了

4、如何删除自定义链？

a)首先取消引用

[root@localhost ~]#iptables -D INPUT 2

b)再把自定义链内的规则删除

[root@localhost ~]#iptables -F
samba_input_rules

c)最后删除自定义链

[root@localhost ~]#iptables -X
samba_input_rules

5、设置iptables使本机可以ping出去，其它机器不能ping进来

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p icmp –icmp-type 0 -j ACCEPT

别的机器可以ping进来

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p icmp –icmp-type 8 -j ACCEPT

或者直接定义icmp的规则

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p icmp -j ACCEPT

这样既可以ping出去，又能让别的机器ping进来

6、一次性开放多个端口

[root@localhost ~]#iptables -R INPUT 1 -d
172.18.24.1 -p tcp -m multiport –dports 22,80,139,445 -j ACCEPT

7、开放多个IP端口

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p tcp –dport 23 -m iprange –src-range 172.18.0.100-172.18.0.120
-j ACCEPT  这个区间的IP都能够访问目标地址的23 端口

8、在某个时间段开放端口

[root@localhost ~]#iptables -I INPUT -d
172.18.24.1 -p tcp –dport 80 -m time –timestart 20:00:00 –timestop 23:00:00
–kerneltz -j REJECT

9、对指定报文字符串匹配禁止端口或者开放端口

[root@localhost ~]#iptables -I INPUT  1 -d 172.18.24.1 -p tcp -m multiport –dports
80,443  -m string –algo bm –string
“boy” -j REJECT   #注– – algo是指定算法

[root@localhost ~]#iptables -I OUTPUT  -s 172.18.24.1 -p tcp -m multiport –sports
80,443  -m string –algo bm –string
“boy” -j REJECT

10、在规定单客户端并发连接数下开放端口，超过则限行

[root@localhost ~]#iptables -I INPUT 2 -d 172.18.24.1
-p tcp –dport 22 -m connlimit –connlimit-above 2 -j REJECT

11、平均时间内放行多少连接，超过则限行

~]# iptables –I INPUT -d 172.16.0.7 -p icmp
–icmp-type 8 – -limit 20/minute – -limit-burst 4 -j ACCEPT

12、设置连接跟踪state

State连接跟踪，首先要清除防火墙规则，然后如下

[root@localhost ~]#iptables -A INPUT -d 172.18.24.1
-m state –state ESTABLISHED -j ACCEPT

[root@localhost ~]#iptables -A OUTPUT -s
172.18.24.1 -m state –state ESTABLISHED -j ACCEPT

所有建立连接状态的进栈出栈都保持放行（已经建立连接的）

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p tcp -m multiport –dports 21，22,80,443,3306,139,445
-m state –state NEW -j ACCEPT 放行这些端口的new请求（即第一次连接）

[root@localhost ~]#iptables -R INPUT  1 -d 172.18.24.1 -m state –state
ESTABLISHED,RELATED -j ACCEPT

[root@localhost ~]#modprobe
nf_conntrack_ftp

追踪到的连接放置在文件/proc/net/nf_conntrack                                                     

调整可记录的连接数量最大值的文件/proc/sys/net/nf_conntrack_max                                       

设置超时时长的文件/proc/sys/net/netfilter/*timeout*

13、把连接到特定端口的记录记录到日志中

[root@localhost ~]#iptables -I INPUT 2 -d
172.18.24.1 -p tcp –dport 22 -j LOG –log-prefix “ssh daemon”

[root@localhost ~]#tail /var/log/messages查看日志

四、iptables规则的保存

保存：iptables-save > /PATH/TO/SOME_RULE_FILE

重载：iptabls-restore < /PATH/FROM/SOME_RULE_FILE

                            -n,
–noflush：不清除原有规则

                            -t,
–test：仅分析生成规则集，但不提交

在CentOS 6中：

         保存规则：

         service
iptables save>/etc/sysconfig/iptables

         保存规则于/etc/sysconfig/iptables文件，覆盖保存；

         重载规则：

         service
iptables restore</etc/sysconfig/iptables

         默认重载/etc/sysconfig/iptables文件中的规则

         配置文件：/etc/sysconfig/iptables-config                      

在CentOS 7中：

          (1) 自定义Unit File，进行iptables-restore；

          (2) firewalld服务；

          (3) 自定义脚本；

五、注意事项

1、添加规则时需要考量的因素：

 (1) 实现的功能：用于判定将规则添加至哪个表；

 (2) 报文的流经位置：用于判断将规则添加至哪个链；

 (3) 报文的流向：判定规则中何为”源“，何为”目标“；

 (4) 匹配条件：用于编写正确的匹配规则；

          (a) 专用于某种应用的同类规则，匹配范围小的放前面；

          (b) 专用于某些应用的不同类规则，匹配到的可能性较多的放前面；同一类别的规则可使用自定义链单独存放；

          (c) 用于通用目的的规则放前面；                                

2、规则优化的思路：

使用自定义链管理特定应用的相关规则，模块化管理规则；

 (1) 优先放行双方向状态为ESTABLISHED的报文；

 (2) 服务于不同类别的功能的规则，匹配到报文可能性更大的放前面；

 (3) 服务于同一类别的功能的规则，匹配条件较严格的放在前面；

 (4) 设置默认策略：白名单机制

          (a) iptables -P，不建议；

          (b) 建议在规则的最后定义规则做为默认策略；