|
圖: IPTables Table, Chain, and Rule Structure
一����、iptables的表與鏈
iptables具有Filter, NAT, Mangle, Raw四種內(nèi)建表:
1. Filter表
Filter表示iptables的默認(rèn)表,因此如果你沒有自定義表��,那么就默認(rèn)使用filter表��,它具有以下三種內(nèi)建鏈:
- INPUT鏈 – 處理來自外部的數(shù)據(jù)�����。
- OUTPUT鏈 – 處理向外發(fā)送的數(shù)據(jù)�����。
- FORWARD鏈 – 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機(jī)的其他網(wǎng)卡設(shè)備上。
2. NAT表
NAT表有三種內(nèi)建鏈:
- PREROUTING鏈 – 處理剛到達(dá)本機(jī)并在路由轉(zhuǎn)發(fā)前的數(shù)據(jù)包�����。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的目標(biāo)IP地址(destination ip address)��,通常用于DNAT(destination NAT)���。
- POSTROUTING鏈 – 處理即將離開本機(jī)的數(shù)據(jù)包����。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的源IP地址(source ip address)�,通常用于SNAT(source NAT)。
- OUTPUT鏈 – 處理本機(jī)產(chǎn)生的數(shù)據(jù)包��。
3. Mangle表
Mangle表用于指定如何處理數(shù)據(jù)包��。它能改變TCP頭中的QoS位����。Mangle表具有5個(gè)內(nèi)建鏈:
- PREROUTING
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
4. Raw表
Raw表用于處理異常,它具有2個(gè)內(nèi)建鏈:
- PREROUTING chain
- OUTPUT chain
5.小結(jié)
下圖展示了iptables的三個(gè)內(nèi)建表:
圖: IPTables 內(nèi)建表
二�、IPTABLES 規(guī)則(Rules)
牢記以下三點(diǎn)式理解iptables規(guī)則的關(guān)鍵:
- Rules包括一個(gè)條件和一個(gè)目標(biāo)(target)
- 如果滿足條件,就執(zhí)行目標(biāo)(target)中的規(guī)則或者特定值�����。
- 如果不滿足條件,就判斷下一條Rules��。
目標(biāo)值(Target Values)
下面是你可以在target里指定的特殊值:
- ACCEPT – 允許防火墻接收數(shù)據(jù)包
- DROP – 防火墻丟棄包
- QUEUE – 防火墻將數(shù)據(jù)包移交到用戶空間
- RETURN – 防火墻停止執(zhí)行當(dāng)前鏈中的后續(xù)Rules�,并返回到調(diào)用鏈(the calling chain)中�����。
如果你執(zhí)行iptables –list你將看到防火墻上的可用規(guī)則����。下例說明當(dāng)前系統(tǒng)沒有定義防火墻,你可以看到���,它顯示了默認(rèn)的filter表����,以及表內(nèi)默認(rèn)的input鏈, forward鏈, output鏈����。
# iptables -t filter –list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
查看mangle表:
# iptables -t mangle –list
查看NAT表:
# iptables -t nat –list
查看RAW表:
# iptables -t raw –list
!注意:如果不指定-t選項(xiàng),就只會(huì)顯示默認(rèn)的filter表����。因此����,以下兩種命令形式是一個(gè)意思:
# iptables -t filter –list
(or)
# iptables –list
以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規(guī)則:
# iptables –list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
以上輸出包含下列字段:
- num – 指定鏈中的規(guī)則編號(hào)
target – 前面提到的target的特殊值
prot – 協(xié)議:tcp, udp, icmp等
source – 數(shù)據(jù)包的源IP地址
destination – 數(shù)據(jù)包的目標(biāo)IP地址
三����、清空所有iptables規(guī)則
在配置iptables之前,你通常需要用iptables –list命令或者iptables-save命令查看有無現(xiàn)存規(guī)則���,因?yàn)橛袝r(shí)需要?jiǎng)h除現(xiàn)有的iptables規(guī)則:
iptables –flush
或者
iptables -F
這兩條命令是等效的�。但是并非執(zhí)行后就萬事大吉了����。你仍然需要檢查規(guī)則是不是真的清空了,因?yàn)橛械膌inux發(fā)行版上這個(gè)命令不會(huì)清除NAT表中的規(guī)則�����,此時(shí)只能手動(dòng)清除:
iptables -t NAT -F
四����、永久生效
當(dāng)你刪除、添加規(guī)則后,這些更改并不能永久生效��,這些規(guī)則很有可能在系統(tǒng)重啟后恢復(fù)原樣��。為了讓配置永久生效�,根據(jù)平臺(tái)的不同,具體操作也不同�。下面進(jìn)行簡單介紹:
1.Ubuntu
首先,保存現(xiàn)有的規(guī)則:
iptables-save > /etc/iptables.rules
然后新建一個(gè)bash腳本�����,并保存到/etc/network/if-pre-up.d/目錄下:
#!/bin/bash
iptables-restore < /etc/iptables.rules
這樣���,每次系統(tǒng)重啟后iptables規(guī)則都會(huì)被自動(dòng)加載。
�����!注意:不要嘗試在.bashrc或者.profile中執(zhí)行以上命令���,因?yàn)橛脩敉ǔ2皇莚oot��,而且這只能在登錄時(shí)加載iptables規(guī)則��。
2.CentOS, RedHat
# 保存iptables規(guī)則
service iptables save
# 重啟iptables服務(wù)
service iptables stop
service iptables start
查看當(dāng)前規(guī)則:
cat /etc/sysconfig/iptables
五�、追加iptables規(guī)則
可以使用iptables -A命令追加新規(guī)則,其中-A表示Append����。因此,新的規(guī)則將追加到鏈尾���。
一般而言��,最后一條規(guī)則用于丟棄(DROP)所有數(shù)據(jù)包��。如果你已經(jīng)有這樣的規(guī)則了����,并且使用-A參數(shù)添加新規(guī)則�,那么就是無用功。
1.語法
iptables -A chain firewall-rule
- -A chain – 指定要追加規(guī)則的鏈
- firewall-rule – 具體的規(guī)則參數(shù)
2.描述規(guī)則的基本參數(shù)
以下這些規(guī)則參數(shù)用于描述數(shù)據(jù)包的協(xié)議�、源地址、目的地址���、允許經(jīng)過的網(wǎng)絡(luò)接口����,以及如何處理這些數(shù)據(jù)包。這些描述是對(duì)規(guī)則的基本描述�。
-p 協(xié)議(protocol)
- 指定規(guī)則的協(xié)議,如tcp, udp, icmp等�����,可以使用all來指定所有協(xié)議�����。
- 如果不指定-p參數(shù)�,則默認(rèn)是all值。這并不明智���,請總是明確指定協(xié)議名稱。
- 可以使用協(xié)議名(如tcp)����,或者是協(xié)議值(比如6代表tcp)來指定協(xié)議。映射關(guān)系請查看/etc/protocols
- 還可以使用–protocol參數(shù)代替-p參數(shù)
-s 源地址(source)
- 指定數(shù)據(jù)包的源地址
- 參數(shù)可以使IP地址����、網(wǎng)絡(luò)地址、主機(jī)名
- 例如:-s 192.168.1.101指定IP地址
- 例如:-s 192.168.1.10/24指定網(wǎng)絡(luò)地址
- 如果不指定-s參數(shù)����,就代表所有地址
- 還可以使用–src或者–source
-d 目的地址(destination)
- 指定目的地址
- 參數(shù)和-s相同
- 還可以使用–dst或者–destination
-j 執(zhí)行目標(biāo)(jump to target)
- -j代表”jump to target”
- -j指定了當(dāng)與規(guī)則(Rule)匹配時(shí)如何處理數(shù)據(jù)包
- 可能的值是ACCEPT, DROP, QUEUE, RETURN
- 還可以指定其他鏈(Chain)作為目標(biāo)
-i 輸入接口(input interface)
- -i代表輸入接口(input interface)
- -i指定了要處理來自哪個(gè)接口的數(shù)據(jù)包
- 這些數(shù)據(jù)包即將進(jìn)入INPUT, FORWARD, PREROUTE鏈
- 例如:-i eth0指定了要處理經(jīng)由eth0進(jìn)入的數(shù)據(jù)包
- 如果不指定-i參數(shù)��,那么將處理進(jìn)入所有接口的數(shù)據(jù)包
- 如果出現(xiàn)! -i eth0���,那么將處理所有經(jīng)由eth0以外的接口進(jìn)入的數(shù)據(jù)包
- 如果出現(xiàn)-i eth+,那么將處理所有經(jīng)由eth開頭的接口進(jìn)入的數(shù)據(jù)包
- 還可以使用–in-interface參數(shù)
-o 輸出(out interface)
- -o代表”output interface”
- -o指定了數(shù)據(jù)包由哪個(gè)接口輸出
- 這些數(shù)據(jù)包即將進(jìn)入FORWARD, OUTPUT, POSTROUTING鏈
- 如果不指定-o選項(xiàng)�,那么系統(tǒng)上的所有接口都可以作為輸出接口
- 如果出現(xiàn)! -o eth0,那么將從eth0以外的接口輸出
- 如果出現(xiàn)-i eth+���,那么將僅從eth開頭的接口輸出
- 還可以使用–out-interface參數(shù)
3.描述規(guī)則的擴(kuò)展參數(shù)
對(duì)規(guī)則有了一個(gè)基本描述之后�����,有時(shí)候我們還希望指定端口���、TCP標(biāo)志、ICMP類型等內(nèi)容�。
–sport 源端口(source port)針對(duì) -p tcp 或者 -p udp
- 缺省情況下,將匹配所有端口
- 可以指定端口號(hào)或者端口名稱�����,例如”–sport 22″與”–sport ssh”�����。
- /etc/services文件描述了上述映射關(guān)系。
- 從性能上講�����,使用端口號(hào)更好
- 使用冒號(hào)可以匹配端口范圍���,如”–sport 22:100″
- 還可以使用”–source-port”
–-dport 目的端口(destination port)針對(duì)-p tcp 或者 -p udp
- 參數(shù)和–sport類似
- 還可以使用”–destination-port”
-–tcp-flags TCP標(biāo)志 針對(duì)-p tcp
- 可以指定由逗號(hào)分隔的多個(gè)參數(shù)
- 有效值可以是:SYN, ACK, FIN, RST, URG, PSH
- 可以使用ALL或者NONE
-–icmp-type ICMP類型 針對(duì)-p icmp
- –icmp-type 0 表示Echo Reply
- –icmp-type 8 表示Echo
4.追加規(guī)則的完整實(shí)例:僅允許SSH服務(wù)
本例實(shí)現(xiàn)的規(guī)則將僅允許SSH數(shù)據(jù)包通過本地計(jì)算機(jī)�,其他一切連接(包括ping)都將被拒絕���。
# 1.清空所有iptables規(guī)則
iptables -F
# 2.接收目標(biāo)端口為22的數(shù)據(jù)包
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
# 3.拒絕所有其他數(shù)據(jù)包
iptables -A INPUT -j DROP
六�����、更改默認(rèn)策略
上例的例子僅對(duì)接收的數(shù)據(jù)包過濾,而對(duì)于要發(fā)送出去的數(shù)據(jù)包卻沒有任何限制�����。本節(jié)主要介紹如何更改鏈策略�,以改變鏈的行為。
1. 默認(rèn)鏈策略
/!\警告:請勿在遠(yuǎn)程連接的服務(wù)器����、虛擬機(jī)上測試����!
當(dāng)我們使用-L選項(xiàng)驗(yàn)證當(dāng)前規(guī)則是發(fā)現(xiàn)���,所有的鏈旁邊都有policy ACCEPT標(biāo)注���,這表明當(dāng)前鏈的默認(rèn)策略為ACCEPT:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
這種情況下,如果沒有明確添加DROP規(guī)則����,那么默認(rèn)情況下將采用ACCEPT策略進(jìn)行過濾。除非:
a)為以上三個(gè)鏈單獨(dú)添加DROP規(guī)則:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP
b)更改默認(rèn)策略:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
糟糕?��?����!如果你嚴(yán)格按照上一節(jié)的例子配置了iptables���,并且現(xiàn)在使用的是SSH進(jìn)行連接的,那么會(huì)話恐怕已經(jīng)被迫終止了��!
為什么呢?因?yàn)槲覀円呀?jīng)把OUTPUT鏈策略更改為DROP了����。此時(shí)雖然服務(wù)器能接收數(shù)據(jù),但是無法發(fā)送數(shù)據(jù):
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
DROP all – anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
七�、配置應(yīng)用程序規(guī)則
盡管5.4節(jié)已經(jīng)介紹了如何初步限制除SSH以外的其他連接,但是那是在鏈默認(rèn)策略為ACCEPT的情況下實(shí)現(xiàn)的�,并且沒有對(duì)輸出數(shù)據(jù)包進(jìn)行限制。本節(jié)在上一節(jié)基礎(chǔ)上����,以SSH和HTTP所使用的端口為例,教大家如何在默認(rèn)鏈策略為DROP的情況下�,進(jìn)行防火墻設(shè)置。在這里��,我們將引進(jìn)一種新的參數(shù)-m state����,并檢查數(shù)據(jù)包的狀態(tài)字段。
1.SSH
# 1.允許接收遠(yuǎn)程主機(jī)的SSH請求
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
# 2.允許發(fā)送本地主機(jī)的SSH響應(yīng)
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
- -m state: 啟用狀態(tài)匹配模塊(state matching module)
- –-state: 狀態(tài)匹配模塊的參數(shù)���。當(dāng)SSH客戶端第一個(gè)數(shù)據(jù)包到達(dá)服務(wù)器時(shí),狀態(tài)字段為NEW�����;建立連接后數(shù)據(jù)包的狀態(tài)字段都是ESTABLISHED
- –sport 22: sshd監(jiān)聽22端口,同時(shí)也通過該端口和客戶端建立連接�����、傳送數(shù)據(jù)��。因此對(duì)于SSH服務(wù)器而言���,源端口就是22
- –dport 22: ssh客戶端程序可以從本機(jī)的隨機(jī)端口與SSH服務(wù)器的22端口建立連接����。因此對(duì)于SSH客戶端而言�����,目的端口就是22
如果服務(wù)器也需要使用SSH連接其他遠(yuǎn)程主機(jī)���,則還需要增加以下配置:
# 1.送出的數(shù)據(jù)包目的端口為22
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
# 2.接收的數(shù)據(jù)包源端口為22
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
2.HTTP
HTTP的配置與SSH類似:
# 1.允許接收遠(yuǎn)程主機(jī)的HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
# 1.允許發(fā)送本地主機(jī)的HTTP響應(yīng)
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
3.完整的配置
# 1.刪除現(xiàn)有規(guī)則
iptables -F
# 2.配置默認(rèn)鏈策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 3.允許遠(yuǎn)程主機(jī)進(jìn)行SSH連接
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
# 4.允許本地主機(jī)進(jìn)行SSH連接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
# 5.允許HTTP請求
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
References
[6] man 8 iptables
|
