一、iptables的规则表和链

 表(tables):提供特定的功能,iptables内置了4个表,即filter表:包过滤、nat表:网络地址转换、mangle表包重构(修改)和raw表数据跟踪.

链(chains):是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。

1filter表——三个链:INPUT、FORWARD、OUTPUT
  作用:过滤数据包  内核模块:iptables_filter.
2Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
  作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
  作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(我也不知道这个杂用)
4Raw表——两个链:OUTPUT、PREROUTING
  作用:决定数据包是否被状态跟踪机制处理  内核模块:iptable_raw

iptables的规则规范

  同类规则(访问同一应用),匹配范围小的放上面

  不同类规则(访问不同应用),匹配到报文频率较大的放上面

  将那些可由一条规则描述的多个规则合并为一个

  匹配规则时,从上而下匹配,全都匹配不到,按照默认规则

 

四表五链关系图

iptables自定义链位置 iptables的规则表和链_自定义

 

二数据的流经方向

iptables自定义链位置 iptables的规则表和链_linux_02

 

二、iptables命令详解

防火墙的查看  iptables -L -v -n --line-numbers   (iptables -vnL 懒人写法可以放在一起)    

查看规则 
  -L, --list [chain]:列出规则;
  -v, --verbose:详细信息;
    -vv, -vvv  更加详细的信息
  -n, --numeric:数字格式显示主机地址和端口号;
  -x, --exact:显示计数器的精确值;
  --line-numbers:列出规则时,显示其在链上的相应的编号;

防火墙规则设置  

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
链管理
  -N, --new-chain chain:新建一个自定义的规则链;
  -X, --delete-chain [chain]:删除用户自定义的引用计数为0的空链;
  -F, --flush [chain]:清空指定的规则链上的规则;
  -E, --rename-chain old-chain new-chain:重命名链;
  -Z, --zero [chain [rulenum]]:置零计数器;  
  -P, --policy chain target, 设置链路的默认策略

 

规则管理
  -A, --append chain rule-specification:追加新规则于指定链的尾部;
  -I, --insert chain [rulenum] rule-specification:插入新规则于指定链的指定位置,默认为首部;
  -R, --replace chain rulenum rule-specification:替换指定的规则为新的规则;
  -D, --delete chain rulenum:根据规则编号删除规则;
通用匹配条件

[!] -s, --source address[/mask][,...]:检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
[!] -d, --destination address[/mask][,...]:检查报文的目标IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
[!] -p, --protocol protocol:匹配报文中的协议,可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 "all", 亦可以数字格式指明协议;
[!] -i, --in-interface name:限定报文仅能够从指定的接口流入;only for packets entering the INPUT, FORWARD and PREROUTING chains.
[!] -o, --out-interface name:限定报文仅能够从指定的接口流出;for packets entering the FORWARD, OUTPUT and POSTROUTING chains.
隐含扩展匹配条件
-p tcp:可直接使用tcp扩展模块的专用选项;
  [!] --source-port,--sport port[:port] 匹配报文源端口;可以给出多个端口,但只能是连续的端口范围 ;
  [!] --destination-port,--dport port[:port] 匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围 ;
  [!] --tcp-flags mask comp 匹配报文中的tcp协议的标志位;Flags are: SYN ACK FIN RST URG PSH ALL NONE;
    mask:要检查的FLAGS list,以逗号分隔;
    comp:在mask给定的诸多的FLAGS中,其值必须为1的FLAGS列表,余下的其值必须为0;
  [!] --syn: --tcp-flags SYN,ACK,FIN,RST SYN
-p udp:可直接使用udp协议扩展模块的专用选项:
  [!] --source-port,--sport port[:port]
  [!] --destination-port,--dport port[:port]
-p icmp
  [!] --icmp-type {type[/code]|typename}
    0/0:echo reply
    8/0:echo request
显式扩展匹配条件
  必须用-m option选项指定扩展匹配的类型,常见的有以下几种,

1、multiport
以离散或连续的 方式定义多端口匹配条件,最多15个;
  [!] --source-ports,--sports port[,port|,port:port]...:指定多个源端口;
  [!] --destination-ports,--dports port[,port|,port:port]...:指定多个目标端口;

iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT
 
2、iprange
以连续地址块的方式来指明多IP地址匹配条件;
  [!] --src-range from[-to]
  [!] --dst-range from[-to]

# iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -m iprange --src-range 172.16.0.61-172.16.0.70 -j REJECT
 
3、time
匹配数据包到达的时间
  --timestart hh:mm[:ss]
  --timestop hh:mm[:ss]
  [!] --weekdays day[,day...]
  [!] --monthdays day[,day...]
  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  --kerneltz:使用内核配置的时区而非默认的UTC;

4、string
匹配数据包中的字符
  --algo {bm|kmp}
  [!] --string pattern
  [!] --hex-string pattern
  --from offset
  --to offset

~]# iptables -I OUTPUT -m string --algo bm --string "gay" -j REJECT

5、connlimit
用于限制同一IP可建立的连接数目
  --connlimit-upto n
  --connlimit-above n

~]# iptables -I INPUT -d 172.16.0.7 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j REJECT

6、limit
限制收发数据包的速率
  --limit rate[/second|/minute|/hour|/day]
  --limit-burst number

~]# iptables -I OUTPUT -s 172.16.0.7 -p icmp --icmp-type 0 -j ACCEPT

7、state
限制收发包的状态
  [!] --state state
  INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.
  NEW: 新连接请求;
  ESTABLISHED:已建立的连接;
  INVALID:无法识别的连接;
  RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;
  UNTRACKED:未追踪的连接;

state扩展:
内核模块装载:
  nf_conntrack
  nf_conntrack_ipv4
手动装载:
  nf_conntrack_ftp
追踪到的连接:
  /proc/net/nf_conntrack
调整可记录的连接数量最大值:
  /proc/sys/net/nf_conntrack_max
超时时长:
  /proc/sys/net/netfilter/*timeout*

三保存防火墙设置

centos6 
  service iptables save 命令
  它会保存在/etc/sysconfig/iptables这个文件中
  iptables-save 命令
  iptables-save > /etc/sysconfig/iptables
  iptables-restore 命令
  开机的时候,它会自动加载/etc/sysconfig/iptabels
  如果开机不能加载或者没有加载,而你想让一个自己写的配置文件(假设为iptables.2)手动生效的话:
  iptables-restore < /etc/sysconfig/iptables.2
  则完成了将iptables中定义的规则手动生效

 

规划优化

 

1优先放行双向状态的为 ESTABLISHED 和 RELATED 的报文

2不通类型的规则,匹配概率大的放在前面。不通类型的规则,重要的放在前面

3设置默认策略为白名单,然后在规则最后面手动添加所有匹配都不通过,达到黑名单目的