Linux 防火墙工具--iptables

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux 防火墙工具--iptables相关的知识,希望对你有一定的参考价值。

iptables介绍

iptables是基于内核的防火墙,功能非常强大,iptables内置了“三表五链”

    三张表

    1.filter     定义允许或者不允许的

    2.nat       定义地址转换的 

     3.mangle     修改报文原数据

    五个规则链

    1.PREROUTING (路由前)

    2.INPUT (数据包流入口)

    3.FORWARD (转发管卡)

    4.OUTPUT(数据包出口)

    5.POSTROUTING(路由后)

  对于filter来讲只能做在3个链上:INPUT ,FORWARD ,OUTPUT

  对于nat来讲只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING

  对于mangle来讲5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING


iptables写法及参数

iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 动作或跳转]

所有链名必须大写,表名必须小写,动作必须大写,条件匹配必须小写

常用参数:

    -A    向规则链中添加一条规则,默认被添加到末尾

     -T    指定要操作的表,默认是filter

    -D    从规则链中删除规则,可以指定序号或者匹配的规则来删除

    -R    进行规则替换

    -I    插入一条规则,默认被插入到首部

    -F    清空所选的链,重启后恢复

    -N    新建用户自定义的规则链

    -X    删除用户自定义的规则链

    -p    用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,

    -s    指定源地址

    -d    指定目的地址

    -i    进入接口(网卡)

    -o    流出接口(网卡)

    -m    多状态

    -j    采取的动作,accept,drop,snat,dnat,masquerade

    --sport  源端口

    --dport  目的端口,端口必须和协议一起来配合使用

触发动作:(-j后面)

    ACCEPT    允许数据包通过

    DROP      丢弃数据包

    REJECT    拒绝数据包通过

    LOG      将数据包信息记录到syslog日志

    DNAT      目标地址转换

    SNAT      源地址转换

    MASQUERADE    地址欺骗

     REDIRECT    重定向


iptables示例

基本操作

    iptables -L      列出iptables规则
    iptables -F      清除iptables内置规则
    iptables -X      清除iptables自定义规则

配置ssh登录规则

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

只允许192.168.0.100的机器进行SSH连接

iptables -A INPUT -s 192.168.0.100 -p tcp --dport 22 -j ACCEPT

目的地址转换,映射内部地址

iptables -t nat -A PREROUTING -i eth0 -p tcp --dprot 81 -j DNAT --to 192.168.0.2:80

源地址转换,隐藏内部地址

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1

开启转发功能

iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 只允许已建连接及相关链接对内转发
ptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 允许对外转发

过滤某个MAC

iptables -A FORWARD -m mac --mac -source MAC地址 -j DROP

数据包整流

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP

一次匹配多个端口

iptables -A INPUT -p tcp -m muliport --dport 21,22,25,80,110 -j ACCEPT

丢弃非法连接

iptables -A INPUT  -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables-A FORWARD -m state --state INVALID -j DROP


实例

1 将192.168.0.1主机发送给本机22端口的所有数据记录到messages日志中

iptables -I INPUT -s 192.168.0.1 -p tcp --dport 22 -j LOG

2 允许任何机器通过eth1访问本机80端口

iptables -I INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

3 公司192.168.0.0/24网段通过128.166.122.1连接外网

echo "net.ipv4.ip_forward = 1" /etc/sysctl.conf

sysctl -p 加载配置

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 128.166.122.1

4 一个公有IP128.166.122.1对外开放,要求内部web服务器192.168.0.1可以被访问

iptables -t nat -I POSTROUTING -d 128.166.122.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1

5 数据包过大,被分切为多个片发送,保证数据接收后可以组合在一起用-f

iptables -A OUTPUT -f -d 192.168.1.2 -j DROP (丢弃发送到192.168.1.2上)

6 限制某个时间段内数据包的个数,超过则拒绝

iptables -I INPUT -m limit --limit 500/sec -j ACCEPT

iptables -P INPUT DROP

7 拒绝转发含有某些关键字的数据连接 --string 拒绝qq的数据包

iptables -I FORWARD -m string --algo bm --string "qq" -j REJECT

8 转发某个IP段的数据包

iptables -A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.10 -p tcp --dport 80 -j ACCEPT






本文出自 “实用Linux知识技能分享” 博客,请务必保留此出处http://superleedo.blog.51cto.com/12164670/1886999

以上是关于Linux 防火墙工具--iptables的主要内容,如果未能解决你的问题,请参考以下文章

保证Linux系统安全之使用iptables工具管理防火墙

Linux防火墙--iptables学习

防火墙IPtables管理工具介绍

(服务运维)Linux内核防火墙Netfilter和iptables用户工具

Linux防火墙工具iptables基础介绍

linux Centos防火墙工具iptables的使用