iptables实例与命令全解.docx

1、iptables实例与命令全解数据包经过防火墙的路径图1比较完整地展示了一个数据包是如何经过防火墙的，考虑到节省空间，该图实际上包了三种情况：1来自外部，以防火墙（本机）为目的地的包，在图1中自上至下走左边一条路径。2由防火墙（本机）产生的包，在图1中从“本地进程”开始，自上至下走左边一条路径3来自外部，目的地是其它主机的包，在图1中自上至下走右边一条路径。 图1如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.图21禁止端口的实例 禁止ssh端口只允许在192.168.62.1上使用ssh远程登录，从其它计算机上禁止使用ssh#iptables -A IN

2、PUT -s 192.168.62.1 -p tcp -dport 22 -j ACCEPT#iptables -A INPUT -p tcp -dport 22 -j DROP 禁止代理端口#iptables -A INPUT -p tcp -dport 3128 -j REJECT 禁止icmp端口除192.168.62.1外，禁止其它人ping我的主机#iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp -icmp-type echo-request -j ACCEPT #iptables -A INPUT -i et

3、h0 -p icmp -icmp-type echo-request j DROP注：其中echo-request 可用 8 代替。可以用iptables -protocol icmp -help查看ICMP类型还有没有其它办法实现? 禁止QQ端口#iptables -D FORWARD -p udp -dport 8000 -j REJECT2强制访问指定的站点图3要使192.168.52.0/24网络内的计算机(这此计算机的网关应设为192.168.52.10)强制访问指定的站点,在做为防火墙的计算机(192.168.52.10)上应添加以下规则:1. 打开ip包转发功能echo 1 /p

4、roc/sys/net/ipv4/ip_forward2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tcp -dport 80 -j DNAT -to-destination 202.96.134.130:80iptables -t nat -I PREROUTING -i eth0 -p udp -dport 80 -j DNAT -to-destination 202.96.134.130:803. 在NAT/防火墙计算机上的NAT表中添加源地址转换规则:iptables -t nat -I

5、 POSTROUTING -o eth1 -p tcp -dport 80 -s 192.168.52.0/24 -j SNAT -to-source 202.96.134.10:20000-30000iptables -t nat -I POSTROUTING -o eth1 -p udp -dport 80 -s 192.168.52.0/24 -j SNAT -to-source 202.96.134.10:20000-300004. 测试:在内部网的任一台计算机上打开浏览器,输入任一非本网络的IP,都将指向IP为202.96.134.130的网站.3发布内部网络服务器图4要使因特网上的

6、计算机访问到内部网的FTP服务器、WEB服务器,在做为防火墙的计算机上应添加以下规则:1. echo 1 /proc/sys/net/ipv4/ip_forward2. 发布内部网web服务器iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 -dport 80 -j DNAT -to-destination 192.168.52.15:80iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.15 -sport 80 -j SNAT -to-sourc

7、e 202.96.134.10:20000-300003. 发布内部网ftp服务器iptables -t nat -I PREROUTING -p tcp -i eth1 -s 202.96.134.0/24 -dport 21 -j DNAT -to-destination 192.168.52.14:21iptables -t nat -I POSTROUTING -p tcp -i eth0 -s 192.168.52.14 -sport 21 -j SNAT -to-source 202.96.134.10:40000-500004. 注意:内部网的计算机网关要设置为防火墙的ip(19

8、2.168.52.1)5. 测试: 用一台IP地址为202.96.134.0段的计算机虚拟因特网访问,当在其浏览器中访问http:/202.96.134.10时,实际应看到的是192.168.52.15的的web服务;当访问ftp:/202.96.134.10时,实际应看到的是192.168.52.14上的的ftp服务。4智能DNS图51. echo 1 /proc/sys/net/ipv4/ip_forward 2. 在NAT服务器上添加以下规则:在PREROUTING链中添加目的地址转换规则:iptables -t nat -I PREROUTING -i eth0 -p tcp -dpo

9、r 53 -j DNAT -to-destination 202.96.134.130iptables -t nat -I PREROUTING -i eth0 -p udp -dpor 53 -j DNAT -to-destination 202.96.134.130在POSTROUTING链中添加源地址转换规则:iptables -t nat -I POSTROUTING -o eth1 -s 192.168.52.0/24 -p tcp -dpor 53 -j SNAT -to-source 202.96.134.10:40000-50000iptables -t nat -I POST

10、ROUTING -o eth1 -s 192.168.52.0/24 -p udp -dpor 53 -j SNAT -to-source 202.96.134.10:40000-500003. 测试在内部网任一台计算机上,将DNS设置为任意的外网IP,就可以使用DNS测试工具如nslookup来解析DNS服务器202.96.134.130上的名称.5端口映射见上节透明代理设置#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.62.0/24 -dport 80 -j REDIRECT -to-ports 31286通过NAT上网

11、典型NAT上网一般做为NAT的计算机同时也是局域网的网关，假定该机有两块网卡eth0、eth1，eth0连接外网，IP为202.96.134.134；eth1连接局域网，IP为192.168.62.101. 先在内核里打开ip转发功能#echo 1 /proc/sys/net/ipv4/ip_forward2.?使局域网用户能访问internet所要做的nat#iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT -to?202.96.134.134如果上网的IP是动态IP，则使用以下规则：#iptables -t nat -A POSTR

12、OUTING -o eth0 -s 192.168.62.0/24 -j MASQUERADE 如果是通过ADSL上网，且公网IP是动态IP，则使用以下规则：#iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.62.0/24 -j MASQUERADE3. 使internet用户可以访问局域网内web主机所要做的nat#iptables -t nat -A PREROUTING -p tcp -d 202.96.134.134 -dport 80 -j DNAT -to-destination 192.168.62.10注：局域网内的客户端需将

13、默认网关、DNS设为防火墙的IP 在我们的网络机房实现NAT共享上网工作环境:上层代理192.168.60.6(4480)，只授予教师机(192.168.62.111)使用该代理的权限目标：不使用squid代理上网，而是使用NAT的方式上网方法：1) 确保停止教师机(192.168.62.111)的squid或其它代理服务2) 客户端网关、DNS均指向192.168.62.111，浏览器代理设置为192.168.60.6(4480)。测试在当前情况下能否上网3) 在教师机(192.168.62.111)上添加如下iptables规则：#iptables -t nat -A POSTROUTIN

14、G -p tcp -d 192.168.60.6/32 -dport 4480 -j SNAT -to-source 192.168.62.111:10000-30000解释：对于目的地为192.168.60.6、目的端口为4480的TCP包，在经过防火墙路由后，将其源地址转换为192.168.62.111，端口转换为10000-30000间的某个端口。4) 客户端测试能否上网IP规则的保存与恢复iptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载使用命令iptables-save来保存规则。一般用iptables

15、-save /etc/sysconfig/iptables生成保存规则的文件 /etc/sysconfig/iptables，也可以用service iptables save它能把规则自动保存在/etc/sysconfig/iptables中。当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则。iptables 指令语法iptables -t table command match -j target/jump-t table 指定规则表-t 参数用来，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时

16、，则一律视为是 filter。个规则表的功能如下：nat：此规则表拥有 PREROUTING 和 POSTROUTING 两个规则链，主要功能为进行一对一、一对多、多对多等网址转换工作（SNAT、DNAT），这个规则表除了作网址转换外，请不要做其它用途。mangle：此规则表拥有 PREROUTING、FORWARD 和 POSTROUTING 三个规则链。除了进行网址转换工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mang

17、le 的用法。filter： 这个规则表是默认规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。command 常用命令列表：命令 -A, -append范例 iptables -A INPUT .说明 新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。命令 -D, -delete范例 iptables -D INPUT -dport 80 -j DROPiptables -D INPUT 1说明 从某个规则链中删除

18、一条规则，可以输入完整规则，或直接指定规则编号加以删除。命令 -R, -replace范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP说明 取代现行规则，规则被取代后并不会改变顺序。命令 -I, -insert范例 iptables -I INPUT 1 -dport 80 -j ACCEPT说明 插入一条规则，原本该位置上的规则将会往后移动一个顺位。命令 -L, -list范例1 iptables -L INPUT说明 列出某规则链中的所有规则。范例2 iptables -t nat -L 说明 列出nat表所有链中的所有规则。命令 -F, -flu

19、sh范例 iptables -F INPUT说明 删除filter表中INPUT链的所有规则。命令 -Z, -zero范例 iptables -Z INPUT说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。命令 -N, -new-chain范例 iptables -N allowed说明 定义新的规则链。命令 -X, -delete-chain范例 iptables -X allowed说明 删除某个规则链。命令 -P, -policy范例 iptables -P INPUT DROP说明 定义过滤政策。 也就是未符合过滤条件之封包， 默认的处理方

20、式。命令 -E, -rename-chain范例 iptables -E allowed disallowed说明 修改某 自定义规则链的名称。match 常用封包匹配参数参数 -p, -protocol范例 iptables -A INPUT -p tcp说明 匹配通讯协议类型是否相符，可以使用 ! 运算符进行反向匹配，例如：-p !tcp 意思是指除 tcp 以外的其它类型，如udp、icmp .等。如果要匹配所有类型，则可以使用 all 关键词，例如：-p all参数 -s, -src, -source范例 iptables -A INPUT -s 192.168.1.1说明 用来匹配封

21、包的来源 IP，可以匹配单机或网络，匹配网络时请用数字来表示 子网掩码，例如：-s 192.168.0.0/24匹配 IP 时可以使用 ! 运算符进行反向匹配，例如：-s !192.168.0.0/24。参数 -d, -dst, -destination范例 iptables -A INPUT -d 192.168.1.1说明 用来匹配封包的目的地 IP，设定方式同上。参数 -i, -in-interface范例 iptables -A INPUT -i eth0说明 用来匹配封包是从哪块网卡进入，可以使用通配字符 + 来做大范围匹配，例如：-i eth+ 表示所有的 ethernet 网卡也

22、可以使用 ! 运算符进行反向匹配，例如：-i !eth0参数 -o, -out-interface范例 iptables -A FORWARD -o eth0说明 用来匹配封包要从哪 块网卡送出，设定方式同上。参数 -sport, -source-port范例 iptables -A INPUT -p tcp -sport 22说明 用来匹配封包的源端口，可以匹配单一端口，或是一个范围，例如：-sport 22:80表示从 22 到 80 端口之间都算是符合条件，如果要匹配不连续的多个端口，则必须使用 -multiport 参数，详见后文。匹配端口号时，可以使用 ! 运算符进行反向匹配。参数

23、-dport, -destination-port范例 iptables -A INPUT -p tcp -dport 22说明 用来匹配封包的目的地端口号，设定方式同上参数 -tcp-flags范例 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN说明匹配 TCP 封包的状态标志，参数分为两个部分，第一个部分列举出想 匹配的标志，第二部分则列举前述标志中哪些有被设置，未被列举的标志必须是空的。TCP 状态标志包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急） 、PSH（强迫推送） 等均可使用于参数中，除此之外还可以使用关键

24、词 ALL 和 NONE 进行匹配。匹配标志时，可以使用 ! 运算符行反向匹配。参数 -syn范例 iptables -p tcp -syn说明 用来表示TCP通信协议中，SYN位被打开，而ACK与FIN位关闭的分组，即TCP的初始连接，与 iptables -p tcp -tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 !运算符，可用来 匹配非要求连接封包。参数 -m multiport -source-port范例 iptables -A INPUT -p tcp -m multiport -source-port 22,53,80,110说明用来匹配不连续的

25、多个源端口，一次最多可以匹配 15 个端口，可以使用 ! 运算符进行反向匹配。参数 -m multiport -destination-port范例 iptables -A INPUT -p tcp -m multiport -destination-port 22,53,80,110说明用来 匹配不连续的多个目的地端口号，设定方式同上参数 -m multiport -port范例 iptables -A INPUT -p tcp -m multiport -port 22,53,80,110说明 这个参数比较特殊，用来匹配源端口和目的端口号相同的封包，设定方式同上。注意：在本范例中，如果来源

26、端口号为 80目的地端口号为 110，这种封包并不算符合条件。参数 -icmp-type范例 iptables -A INPUT -p icmp -icmp-type 8说明用来匹配 ICMP 的类型编号，可以使用代码或数字编号来进行 匹配。请打 iptables -p icmp -help 来查看有哪些代码可用。参数 -m limit -limit范例 iptables -A INPUT -m limit -limit 3/hour说明 用来匹配某段时间内封包的平均流量，上面的例子是用来 匹配：每小时平均流量是否超过一次 3 个封包。 除了每小时平均次外，也可以每秒钟、每分钟或每天平均一次，

27、默认值为每小时平均一次，参数如后： /second、 /minute、/day。 除了进行封 包数量的匹配外，设定这个参数也会在条件达成时，暂停封包的匹配动作，以避免因骇客使用洪水攻击法，导致服务被阻断。参数 -limit-burst范例 iptables -A INPUT -m limit -limit-burst 5说明 用来匹配瞬间大量封包的数量，上面的例子是用来匹配一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。参数 -m mac -mac-source范例 iptables -A INPUT -m mac -mac-source 00:0

28、0:00:00:00:01说明 用来匹配封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 POSTROUTING 规则链上，这是因为封包要送到网 卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包匹配时，并不知道封包会送到哪个网络接口去。参数 -mark范例 iptables -t mangle -A INPUT -m mark -mark 1说明 用来匹配封包是否被表示某个号码，当封包被 匹配成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。参数 -m owner

29、-uid-owner范例 iptables -A OUTPUT -m owner -uid-owner 500说明 用来匹配来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法 匹配出来自其它主机的封包。参数 -m owner -gid-owner范例 iptables -A OUTPUT -m owner -gid-owner 0说明 用来匹配来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。参数 -m owner -pid-owner范例 iptables -A OUTPUT -m o

30、wner -pid-owner 78说明 用来匹配来自本机的封包，是否为某特定进程所产生的，使用时机同上。参数 -m owner -sid-owner范例 iptables -A OUTPUT -m owner -sid-owner 100说明 用来匹配来自本机的封包，是否为某特定 连接（Session ID）的响应封包，使用时机同上。参数 -m state -state范例 iptables -A INPUT -m state -state RELATED,ESTABLISHED说明 用来匹配连接状态， 连接状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。I

31、NVALID 表示该封包的连接编号（Session ID）无法辨识或编号不正确。ESTABLISHED 表示该封包属于某个已经建立的连接。NEW 表示该封包想要起始一个连接（重设连接或将连接重导向）。RELATED 表示该封包是属于某个已经建立的连接，所建立的新连接。例如：FTP-DATA 连接必定是源自某个 FTP 连接。-j target/jump 常用的处理动作：-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分别说明如下：ACCEPT： 将封包放行，进行完此处理动作后，将不再匹配其它规则，直接跳往下一个规则链（natostrouting）。REJECT： 拦阻该