(2010-01-20 10:53:51)

ChinaUnix 講座

2 小時玩轉(zhuǎn) iptables 企業(yè)版
cu.platinum@gmail.com
2006.03.18
最后修改時間：2006.08.24
文檔維護(hù)者：白金(platinum)、陳緒(bjchenxu)
v1.5.4

主題大綱

1. 概述
2. 框架圖
3. 語法
4. 實例分析
5. 網(wǎng)管策略
6. 使用總則、FAQ
7. 實戰(zhàn)

1. 概述
2.4.x、2.6.x 內(nèi)核
netfilter/iptables

2.1 框架圖
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle | mangle ^ mangle
nat | filter | nat
| |
| |
v |
INPUT OUTPUT
| mangle ^ mangle
| filter | nat
v ------>local-------> | filter

2.2 鏈和表
表
filter： 顧名思義，用于過濾的時候
nat： 顧名思義，用于做 NAT 的時候
NAT：Network Address Translator
鏈
INPUT： 位于 filter 表，匹配目的 IP 是本機(jī)的數(shù)據(jù)包
FORWARD： 位于 filter 表，匹配穿過本機(jī)的數(shù)據(jù)包，
PREROUTING： 位于 nat 表，用于修改目的地址（DNAT）
POSTROUTING：位于 nat 表，用于修改源地址（SNAT）

3.1 iptables 語法概述
iptables [-t 要操作的表]
<操作命令>
[要操作的鏈]
[規(guī)則號碼]
[匹配條件]
[-j 匹配到以后的動作]

3.2 命令概述
操作命令（-A、-I、-D、-R、-P、-F）
查看命令（-[vnx]L）

3.2.1 -A
-A <鏈名>
APPEND，追加一條規(guī)則（放到最后）
例如：
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 鏈里追加一條規(guī)則（作為最后一條規(guī)則）
匹配所有訪問本機(jī) IP 的數(shù)據(jù)包，匹配到的丟棄

3.2.2 -I
-I <鏈名> [規(guī)則號碼]
INSERT，插入一條規(guī)則
例如：
iptables -I INPUT -j DROP
在 filter 表的 INPUT 鏈里插入一條規(guī)則（插入成第 1 條）
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 鏈里插入一條規(guī)則（插入成第 3 條）

注意： 1、-t filter 可不寫，不寫則自動默認(rèn)是 filter 表
2、-I 鏈名 [規(guī)則號碼]，如果不寫規(guī)則號碼，則默認(rèn)是 1
3、確保規(guī)則號碼 ≤ （已有規(guī)則數(shù) + 1），否則報錯

3.2.3 -D
-D <鏈名> <規(guī)則號碼 | 具體規(guī)則內(nèi)容>
DELETE，刪除一條規(guī)則
例如：
iptables -D INPUT 3（按號碼匹配）
刪除 filter 表 INPUT 鏈中的第三條規(guī)則（不管它的內(nèi)容是什么）

iptables -D INPUT -s 192.168.0.1 -j DROP（按內(nèi)容匹配）
刪除 filter 表 INPUT 鏈中內(nèi)容為“-s 192.168.0.1 -j DROP”的規(guī)則
（不管其位置在哪里）

注意：
1、若規(guī)則列表中有多條相同的規(guī)則時，按內(nèi)容匹配只刪除序號最小的一條
2、按號碼匹配刪除時，確保規(guī)則號碼 ≤ 已有規(guī)則數(shù)，否則報錯
3、按內(nèi)容匹配刪除時，確保規(guī)則存在，否則報錯

3.2.3 -R

-R <鏈名> <規(guī)則號碼> <具體規(guī)則內(nèi)容>
REPLACE，替換一條規(guī)則


例如：
iptables -R INPUT 3 -j ACCEPT
將原來編號為 3 的規(guī)則內(nèi)容替換為“-j ACCEPT”


注意：
確保規(guī)則號碼 ≤ 已有規(guī)則數(shù)，否則報錯

3.2.4 -P

-P <鏈名> <動作>
POLICY，設(shè)置某個鏈的默認(rèn)規(guī)則

例如：
iptables -P INPUT DROP
設(shè)置 filter 表 INPUT 鏈的默認(rèn)規(guī)則是 DROP

注意：
當(dāng)數(shù)據(jù)包沒有被規(guī)則列表里的任何規(guī)則匹配到時，按此默認(rèn)規(guī)則處理。
動作前面不能加 –j，這也是唯一一種匹配動作前面不加 –j 的情況。

3.2.5 -F

-F [鏈名]
FLUSH，清空規(guī)則

例如：
iptables -F INPUT
清空 filter 表 INPUT 鏈中的所有規(guī)則

iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 鏈中的所有規(guī)則

注意：
1、-F 僅僅是清空鏈中規(guī)則，并不影響 -P 設(shè)置的默認(rèn)規(guī)則
2、-P 設(shè)置了 DROP 后，使用 -F 一定要小心?。。?br>3、如果不寫鏈名，默認(rèn)清空某表里所有鏈里的所有規(guī)則

3.2.6 -[vxn]L

-L [鏈名]
LIST，列出規(guī)則

v：顯示詳細(xì)信息，包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)
x：在 v 的基礎(chǔ)上，禁止自動單位換算（K、M）
n：只顯示 IP 地址和端口號碼，不顯示域名和服務(wù)名稱

例如：
iptables -L
粗略列出 filter 表所有鏈及所有規(guī)則

iptables -t nat -vnL
用詳細(xì)方式列出 nat 表所有鏈的所有規(guī)則，只顯示 IP 地址和端口號

iptables -t nat -vxnL PREROUTING
用詳細(xì)方式列出 nat 表 PREROUTING 鏈的所有規(guī)則以及詳細(xì)數(shù)字，不反解

3.3 匹配條件

流入、流出接口（-i、-o）

來源、目的地址（-s、-d）

協(xié)議類型 （-p）

來源、目的端口（--sport、--dport）

3.3.1 按網(wǎng)絡(luò)接口匹配

-i <匹配數(shù)據(jù)進(jìn)入的網(wǎng)絡(luò)接口>
例如：
-i eth0
匹配是否從網(wǎng)絡(luò)接口 eth0 進(jìn)來

-i ppp0
匹配是否從網(wǎng)絡(luò)接口 ppp0 進(jìn)來

-o 匹配數(shù)據(jù)流出的網(wǎng)絡(luò)接口
例如：
-o eth0
-o ppp0

3.3.2 按來源目的地址匹配

-s <匹配來源地址>
可以是 IP、NET、DOMAIN，也可空（任何地址）
例如：
-s 192.168.0.1 匹配來自 192.168.0.1 的數(shù)據(jù)包
-s 192.168.1.0/24 匹配來自 192.168.1.0/24 網(wǎng)絡(luò)的數(shù)據(jù)包
-s 192.168.0.0/16 匹配來自 192.168.0.0/16 網(wǎng)絡(luò)的數(shù)據(jù)包

-d <匹配目的地址>
可以是 IP、NET、DOMAIN，也可以空
例如：
-d 202.106.0.20 匹配去往 202.106.0.20 的數(shù)據(jù)包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 網(wǎng)絡(luò)的數(shù)據(jù)包
-d www.abc.com 匹配去往域名 www.abc.com 的數(shù)據(jù)包

iptables -A INPUT -s 192.168.2.41 -i eth0 -p tcp --dport 22 -j DROP
來自192.168.2.41，訪問22端口的請求DROP （SSH）

3.3.3 按協(xié)議類型匹配

-p <匹配協(xié)議類型>
可以是 TCP、UDP、ICMP 等，也可為空
例如：
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8 pong: type 0

3.3.4 按來源目的端口匹配
--sport <匹配源端口>
可以是個別端口，可以是端口范圍
例如：
--sport 1000 匹配源端口是 1000 的數(shù)據(jù)包
--sport 1000:3000 匹配源端口是 1000-3000 的數(shù)據(jù)包（含1000、3000）
--sport :3000 匹配源端口是 3000 以下的數(shù)據(jù)包（含 3000）
--sport 1000: 匹配源端口是 1000 以上的數(shù)據(jù)包（含 1000）

--dport <匹配目的端口>
可以是個別端口，可以是端口范圍
例如：
--dport 80 匹配目的端口是 80 的數(shù)據(jù)包
--dport 6000:8000 匹配目的端口是 6000-8000 的數(shù)據(jù)包（含6000、8000）
--dport :3000 匹配目的端口是 3000 以下的數(shù)據(jù)包（含 3000）
--dport 1000: 匹配目的端口是 1000 以上的數(shù)據(jù)包（含 1000）
注意：--sport 和 --dport 必須配合 -p 參數(shù)使用

3.3.5 匹配應(yīng)用舉例

1、端口匹配
-p udp --dport 53
匹配網(wǎng)絡(luò)中目的端口是 53 的 UDP 協(xié)議數(shù)據(jù)包

2、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的所有數(shù)據(jù)包

3、端口和地址聯(lián)合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 協(xié)議數(shù)據(jù)包

注意：
1、--sport、--dport 必須聯(lián)合 -p 使用，必須指明協(xié)議類型是什么
2、條件寫的越多，匹配越細(xì)致，匹配范圍越小

3.4 動作（處理方式）
ACCEPT

DROP

SNAT

DNAT

MASQUERADE

REDIRECT

3.4.1 -j ACCEPT

-j ACCEPT
通過，允許數(shù)據(jù)包通過本鏈而不攔截它
類似 Cisco 中 ACL 里面的 permit


例如：
iptables -A INPUT -j ACCEPT
允許所有訪問本機(jī) IP 的數(shù)據(jù)包通過

3.4.2 -j DROP

-j DROP
丟棄，阻止數(shù)據(jù)包通過本鏈而丟棄它
類似 Cisco 中 ACL 里的 deny


例如：

iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止來源地址為 192.168.80.39 的數(shù)據(jù)包通過本機(jī)

3.4.3 -j DNAT

-j DNAT --to IP[-IP][:端口-端口]（nat 表的 PREROUTING 鏈）
目的地址轉(zhuǎn)換，DNAT 支持轉(zhuǎn)換為單 IP，也支持轉(zhuǎn)換到 IP 地址池
（一組連續(xù)的 IP 地址）
例如：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把從 ppp0 進(jìn)來的要訪問 TCP/80 的數(shù)據(jù)包目的地址改為 192.168.0.1


iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10

3.4.4 -j SNAT

-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 鏈）
源地址轉(zhuǎn)換，SNAT 支持轉(zhuǎn)換為單 IP，也支持轉(zhuǎn)換到 IP 地址池
（一組連續(xù)的 IP 地址）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
將內(nèi)網(wǎng) 192.168.0.0/24 的原地址修改為 1.1.1.1，用于 NAT


iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上，只不過修改成一個地址池里的 IP

3.4.5 -j MASQUERADE

-j MASQUERADE
動態(tài)源地址轉(zhuǎn)換（動態(tài) IP 的情況下使用）


例如：

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是 192.168.0.0/24 的數(shù)據(jù)包進(jìn)行地址偽裝

3.4.6 -j REDIRECT
-j REDIRECT --to-port（nat 表的 PREROUTING 鏈）
端口映射
例如：
iptables -t nat -A PREROUTING -p tcp -dport 80 -j REDIRECT --to-port 8000
將目標(biāo)地址為80端口的請求轉(zhuǎn)向8000端口
iptables -t nat -A PREROUTING -p tcp -d www.domain.com -j REDIRECT --to-port 8000
將目標(biāo)地址為www.domain.com:80端口的請求轉(zhuǎn)向8000端口

3.5 附加模塊

按包狀態(tài)匹配（state）

按來源 MAC 匹配（mac）

按包速率匹配（limit）

多端口匹配（multiport）

3.5.1 state

-m state --state 狀態(tài)
狀態(tài)：NEW、RELATED、ESTABLISHED、INVALID
NEW：有別于 tcp 的 syn
ESTABLISHED：連接態(tài)
RELATED：衍生態(tài)，與 conntrack 關(guān)聯(lián)（FTP）
INVALID：不能被識別屬于哪個連接或沒有任何狀態(tài)
例如：

iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT

3.5.2 mac

-m mac --mac-source MAC
匹配某個 MAC 地址


例如：
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx \
-j DROP
阻斷來自某 MAC 地址的數(shù)據(jù)包，通過本機(jī)


注意：
報文經(jīng)過路由后，數(shù)據(jù)包中原有的 mac 信息會被替換，所以在路由
后的 iptables 中使用 mac 模塊是沒有意義的

3.5.3 limit

-m limit --limit 匹配速率 [--burst 緩沖數(shù)量]
用一定速率去匹配數(shù)據(jù)包
例如：
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP

限制192.168.0.2-255ip下載速度30K每秒
for((i=2;i<255;i++));do
iptables -A FORWARD -s 192.168.0.$i -m limit --limit 20/s -j ACCEPT
iptables -A FORWARD -s 192.168.0.$i DROP
done

注意：
limit 英語上看是限制的意思，但實際上只是按一定速率去匹配而已，要想限制的話后面要再跟一條 DROP

3.5.4 multiport

-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個端口，可以區(qū)分源端口，目的端口或不指定端口

例如：
iptables -A INPUT -p tcp -m multiport --dports \
21,22,25,80,110 -j ACCEPT
注意：

必須與 -p 參數(shù)一起使用

4. 實例分析


單服務(wù)器的防護(hù)

如何做網(wǎng)關(guān)

如何限制內(nèi)網(wǎng)用戶

內(nèi)網(wǎng)如何做對外服務(wù)器

連接追蹤模塊

4.1 單服務(wù)器的防護(hù)
弄清對外服務(wù)對象

書寫規(guī)則
網(wǎng)絡(luò)接口 lo 的處理
狀態(tài)監(jiān)測的處理
協(xié)議 + 端口的處理
實例：一個普通的 web 服務(wù)器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意：確保規(guī)則順序正確，弄清邏輯關(guān)系，學(xué)會時刻使用 -vnL

4.2 如何做網(wǎng)關(guān)

弄清網(wǎng)絡(luò)拓?fù)?br>
本機(jī)上網(wǎng)

設(shè)置 nat
啟用路由轉(zhuǎn)發(fā)
地址偽裝 SNAT/MASQUERADE


實例：ADSL 撥號上網(wǎng)的拓?fù)?br>echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE

4.3 如何限制內(nèi)網(wǎng)用戶

過濾位置 filer 表 FORWARD 鏈

匹配條件 -s -d -p --s/dport

處理動作 ACCEPT DROP


實例：
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP

4.4 內(nèi)網(wǎng)如何做對外服務(wù)器

服務(wù)協(xié)議（TCP/UDP）

對外服務(wù)端口

內(nèi)部服務(wù)器私網(wǎng) IP

內(nèi)部真正服務(wù)端口
實例：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80

4.5 連接追蹤模塊

為什么要使用連接追蹤模塊
FTP 協(xié)議的傳輸原理
傳統(tǒng)防火墻的做法


如何使用

4.5.1 FTP 協(xié)議傳輸原理

使用端口
command port
data port


傳輸模式
主動模式（ACTIVE）
被動模式（PASSIVE）

4.5.1 FTP 協(xié)議傳輸原理

主動模式（ACTIVE）
client server
xxxx |----|----------|--->| 21
yyyy |<---|----------|----| 20
FW1 FW2

被動模式（PASSIVE）
client server
xxxx |----|----------|--->| 21
yyyy |----|----------|--->| zzzz
FW1 FW2

4.5.2 傳統(tǒng)防火墻的做法

只使用主動模式，打開 TCP/20

防火墻打開高范圍端口

配置 FTP 服務(wù)，減小被動模式端口范圍

4.5.3 如何使用連接追蹤模塊

modprobe ip_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

5. 網(wǎng)管策略

怕什么

能做什么

讓什么 vs 不讓什么

三大“紀(jì)律”五項“注意”

其他注意事項

5.1 必加項

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_nat_ftp

5.2 可選方案

堵：
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP


通：
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP

5.3 三大“紀(jì)律”五項“注意”

三大“紀(jì)律”——專表專用
filter
nat
mangle


五項“注意”——注意數(shù)據(jù)包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING

5.4 其他注意事項

養(yǎng)成好的習(xí)慣
iptables -vnL
iptables -t nat -vnL
iptables-save


注意邏輯順序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT


學(xué)會寫簡單的腳本

6. 使用總則

所有鏈名必須大寫
INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING


所有表名必須小寫
filter/nat/mangle


所有動作必須大寫
ACCEPT/DROP/SNAT/DNAT/MASQUERADE


所有匹配必須小寫
-s/-d/-m <module_name>/-p

6. FAQ.1

Q：我設(shè)置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
為何內(nèi)網(wǎng)用戶還是可以訪問那個地址？
A：filter 表的 OUTPUT 鏈?zhǔn)潜緳C(jī)訪問外面的必經(jīng)之路，內(nèi)網(wǎng)數(shù)據(jù)不經(jīng)過該鏈


Q：我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
為何內(nèi)網(wǎng)用戶還是可以訪問那個地址？
A：檢查整個規(guī)則是否存在邏輯錯誤，看是否在 DROP 前有 ACCEPT


Q：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
這條語句為何報錯？
A：POSTROUTING 鏈不支持“流入接口” -i 參數(shù)
同理，PREROUTING 鏈不支持“流出接口” -o 參數(shù)

6. FAQ.2

Q：我應(yīng)該怎么查看某個模塊具體該如何使用？
A：iptables -m 模塊名 -h


Q：執(zhí)行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中，
缺少與 xxx 模塊有關(guān)的文件，或缺少與 yyy 動作有關(guān)的文件
名字為 ipt_xxx.o（2.4內(nèi)核） 或 ipt_yyy.ko（2.6內(nèi)核）


Q：腳本寫好了，內(nèi)網(wǎng)上網(wǎng)沒問題，F(xiàn)TP 訪問不正常，無法列出目錄，為什么？
A：缺少 ip_nat_ftp 這個模塊，modprobe ip_nat_ftp

6. FAQ.3

更多 FAQ 內(nèi)容


http://www./documentation/FAQ/netfilter-faq.html

7. 實戰(zhàn).1






7. 實戰(zhàn).1－參考答案

CU:
ifconfig eth0 202.106.0.20 netmask 255.255.255.0


Client:
ifconfig eth0 192.168.0.1 netmask 255.255.255.0
route add default gw 192.168.0.254


Firewall:
ifconfig eth0 202.106.0.254 netmask 255.255.255.0
ifconfig eth1 192.168.0.254 netmask 255.255.255.0
service iptables stop
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --to 202.106.0.254

7. 實戰(zhàn).2




7. 實戰(zhàn).2－參考答案
CU:
ifconfig eth0 202.106.0.20 netmask 255.255.255.0


Server:
ifconfig eth0 172.17.0.1 netmask 255.255.255.0
route add default gw 172.17.0.254


Client:
ifconfig eth0 192.168.0.1 netmask 255.255.255.0
route add default gw 192.168.0.254


Firewall:
ifconfig eth0 202.106.0.254 netmask 255.255.255.0
ifconfig eth1 192.168.0.254 netmask 255.255.255.0
ifconfig eth2 172.17.0.254 netmask 255.255.255.0
service iptables stop
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --to 202.106.0.254
iptables -t nat -A PREROUTING -d 202.106.0.254 -p tcp -dport 80 -j DNAT --to 172.17.0.1
iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW -j DROP