先来一句:好记性不如烂笔头!
1、iptables简介
iptables是基于包过滤的防火墙,它主要工作在osi模型的2,3,4层,也可以工作在7层(iptables + squid)
2、原理
防火墙是一层一层过滤的。按照配置的规则的顺序从上到下,从前到后。
如果匹配上规则既明确表明是阻止还是通过,此时数据包就不再向下匹配新规则了。
如果所有规则都没有匹配上,就会一直向下匹配,直到匹配上默认规则得到明确的阻止还是通过
注释:规则表的先后顺序:raw→mangle→nat→filter
3、表和链
iptables有4张表filter nat mangle raw ,常用的是filter表和nat表
表(tables) | 链(chains) | ||||
INPUT | OUTPUT | FORWARD | PREROUTING | POSTROUTING | |
Filter* | √ | √ | √ | ╳ | ╳ |
Nat* | ╳ | ╳ | √ | √ | √ |
Mangle | √ | √ | √ | √ | √ |
注:filter表 三个链,真正的防火墙功能;Nat表 三个链表 input和后边两个 负责数据包改写、端口映射 |
INPUT: 对进入主机的数据包进行过滤。
OUTPUT: 对流出的数据包进行过滤。
FORWARD: 对流经的数据包进行过滤。转发数据包的功能。
PREROUTING: 在数据包到达防火墙时,进行路由判断之前执行的规则。改变数据包的目的地址和端口等,映射端口或者是ip。
POSTROUTING: 在数据包离开防火墙时,进行路由判断之前的规则。改变数据包的源地址和源端口。局域网共享上网。
规则链的先后顺序
入站顺序:PREROUTING→INPUT
出站顺序:OUTPUT→POSTROUTING
转发顺序:PREROUTING→FORWARD→POSTROUTING
4、iptables的安装
Centos7开始已经没有iptables了,默认使用的是Firewalld
4.1、关闭firewalld
systemctl status firewalld.service #检测是否开启了firewall
systemctl stop firewalld.service #关闭firewall
sytsemctl disable firewalld.service #禁止firewall开机自启
4.2、安装iptables
yum install iptables-services -y
systemctl start iptables.service
systemctl enable iptables.service
service iptables save #所有新加的规则要先保存后再重启,要不会丢配置
iptables-save
5、常用命令
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
5.1、清空已有的规则(慎用)
iptables -F 清除用户自定义的规则
iptables -X 清除用户自定义的链
iptables -Z 清除链的计数器
注释:如果是远程操作,显示如下<<<指向的行,不要轻易清空规则,否则后续会远程不上。
[root@localhost ~]# iptables-save
# Generated by iptables-save v1.4.21 on Tue Apr 19 15:33:29 2022
*filter
:INPUT DROP [14:840] <<<
:FORWARD DROP [0:0] <<<
:OUTPUT ACCEPT [60:7589] <<<
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Tue Apr 19 15:33:29 2022
[root@localhost ~]#
5.2、查看所有的规则
iptables -nL
5.3 基本操作
CentOS 配置防火墙操作实例(启、停、开、闭端口):
查询防火墙状态 : service iptables status
停止防火墙 : service iptables stop
启动防火墙 : service iptables start
重启防火墙 : service iptables restart
永久关闭防火墙 : chkconfig iptables off
永久关闭后启用 : chkconfig iptables on
6、filter配置示例
6.1、删除指定规则
[root@redis3 ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:9000
[root@redis3 ~]# iptables -D INPUT 1
注释:最好选ACCEPT和DROP 因为拒绝会给客户信息 -t filter 一般不添加,默认就是filter
6.1、开放一个端口
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
6.2、允许某个IP或段连接本机
iptables -A INPUT -s 10.100.0.158/32 -p tcp -j ACCEPT
iptables -A INPUT -s 10.100.0.158/32 -p all -j ACCEPT(内网适合)
6.3、允许某个IP连接某个端口
iptables -A INPUT -s 10.88.89.11/32 -p tcp -m tcp --dport 9102 -j ACCEPT
6.4、插入一个规则
iptables -I INPUT 2 -p tcp --dport 9000 -j DROP # 在序号1后插入一条规则
6.5、匹配端口范围
iptables -I INPUT -p tcp -m multiport --dport 21,22,23 -j ACCEPT
iptables -I INPUT -p tcp --dport 18:80 -j DROP
6.6、取反
除网络是192.168.0.0/24的网络外 都允许访问。
[root@test ~]# iptables -t filter -I INPUT ! -s 192.168.0.0/24 -j ACCEPT
只要主机不是10.0.0.1的都允许访问80端口
[root@test ~]# iptables -A INPUT ! -s 10.0.0.1 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i etho ! -s 10.0.0.200 -j DROP
不是必须的)
-m state --state
NEW: 已经或将启动的新连接
ESTBILISHED: 已建立的连接
RELATED: 正在启动的新连接
INVALID: 非法或无法识别的连接
# 允许关联的包(一般的包不需要,ftp比较特殊)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
6.8、允许ICMP类型协议通过
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
或
ipttables -A INPUT -p icmp -s 10.0.0./24 -m icmp --icmp-type any -j ACCEPT
拒绝进入防火墙的所有ICMP协议数据包
iptables -I INPUT -p icmp -j REJECT
禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
6.9、封外部IP
iptables -I INPUT -S 10.0.0.200 -j DROP
或
iptables -I INPUT -p tcp -s 10.0.0.200 --dport 80 -j DROP (细化拒绝)
6.10、一个防DDOS工具脚本(来自于老男孩)
#!/bin/bash
# name wangfei
# version 2.1
function CelIp(){
CleTime="0000"
NowTime=`date +%H%M`
YDenyIpFile="/tmp/deny_ip_`date +%F -d "-1days"`.log"
if [ "$CleTime" == "$NowTime" ] ;then
if [ -f "$YDenyIpFile" ];then
while read line
do
iptables -D INPUT -s $line -j DROP
done<$YDenyIpFile
mv $YDenyIpFile $YDenyIpFile.bak
sleep 60
fi
fi
}
function DenyIp(){
IpList=($(awk -F "[ :/]+" '{ip[$3]=ip[$3]+1}END{for(k in ip) print k,ip[k]}' access.log_06|awk '$2>30{print $1}'))
for ip in ${IpList[@]}
do
if [ `iptables -nL|grep $ip|wc -l` -lt 1 ];then
echo $ip>>/tmp/deny_ip_$(date +%F).log
iptables -I INPUT -s $ip -j DROP && echo "deny $ip success."
fi
done
}
while :
do
CelIp
DenyIp
sleep 5
done
View Code
6.10、必须要执行的操作
#允许本地回环接口(即允许本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允许已建立或相关的通信(如数据库链接)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
6.12、封所有进来的包
注释:所有放行完成后,最后再执行该操作,至少先开放22远程端口。
iptables -A INPUT -j DROP
6.13、保存配置
service iptables save
7、net配置示例
一定要在安装防火墙模块后重启iptables后再配置
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
1、代理服务器设置
# 需要开启linux内核转发
[root@test ~]# sed -i 's@net.ipv4.ip_forward =.*@net.ipv4.ip_forward =1@g' /etc/sysctl.conf
[root@test ~]# sysctl -p
[root@test ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth1 -j SNAT --to-source 10.0.0.55 #要代理的网段 指定外网IP地址
如果是映射到多个ip上,可这样
iptables -t nat -I POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.99-10.0.0.155
# 适用于外网ip不固定的情况(ADSL)
[root@test ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE
多外网IP地址或没有固定的外网IP地址的时候可以自动选择合适的外网网卡使用
注意:
不仅需要nat设置,还需要将iptables的Forward设置为 ACCEPT
2、客户端
内网客户端需要将网关指向代理服务器的内网IP
1、映射端口或IP
注意:
1、 代理端需要打开系统内核转发。
2、 客户端的内网网关需要指向代理服务器的内网IP。
3、 客户端如果是测试环境需要关闭外网网卡。
#将外网访问10.0.0.5的9000端口转发到172.16.1.52:80端口。
iptables -t nat -A PREROUTING -d 10.0.0.5 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.52:80
#将172.168.1.52:80 将返回的数据给客户端时,将源IP改为10.0.0.5
iptables -t nat -A POSTROUTING -d 172.16.1.52 -p tcp --dport 80 -j SNAT --to 10.0.0.5
实现外部10.0.0.99 对映射到172.16.1.5上,如下操作即可。
iptables -t nat -A PREROUTING -d 10.0.0.99 -j DNAT --to-destination 172.16.1.5
iptables -t nat -A POSTROUTING -s 172.16.1.5 -j SNAT --to-source 10.0.0.99
2、本机内部端口转发
将外网访问80端口的数据转发到8080端口
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
将本机访问80端口的转发到本机8080
# iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j DNAT --to 127.0.0.1:8080
# iptables -t nat -A OUTPUT -p tcp -d 192.168.4.177 --dport 80 -j DNAT --to 127.0.0.1:8080
本地连接指的是在本机上,用 127.0.0.1 或者本机 IP 来访问本机的端口。本地连接的数据包不会通过网卡,而是由内核处理后直接发给本地进程。这种数据包在 iptables 中只经过 OUTPUT 链,而不会经过 PREROUTING 链。所以需要在 OUTPUT 链中进行 DNAT。除了对 127.0.0.1 之外,对本机 IP (即 192.168.4.177) 的访问也属于本地连接。