iptables概念和参数（一）

系统运维 2023-07-16 大猫手机阅读

iptables基本规则演示（二）:http://www.gray-track.com/722.html

iptables

firewall: 分为两类防火墙 1，主机防火墙,2，网络防火墙他们工作于主机或网络的边缘，对于进出的报文根据事先定义的规则作检查，将那些能够被规则所匹配到的报文作出相应处理的组件。

网络防火墙，有些则是专业的硬件防火墙，如：checkpoint, netscreen

iptable：主机程序，也可以说是软件防火墙 iptables：规则编写工具 netfilter: 网络过滤器, 内核中工作在TCP/IP网络协议栈上的框架；

再者还有IDS：入侵检测，IPS：入侵防范，有些公司还有HoneyPot: 蜜罐来防止并追踪攻击者的手段，如果有兴趣可以玩玩kali， (backtrack) OpenBSD: ipfw ipchains iptables/netfilter

kernel, framework

hooks function: prerouting: 进入本机后路由功能发生之前 input：到达本机内部 output: 由本机发出 forward: 由本机转发 postrouting：路由功能发生之后，即将离开本机之前

路由发生的时刻：报文进入本机后：判断目标地址报文离开本机之前：判断经由哪个接口发出；

报文流向经由的位置：到本内部：prerouting, input 由本机发出：output, postrouting 由本机转发：prerouting, forward, postrouing

规则的功能：过滤：firewall，地址转换：NAT Server Network Address Translation mangle：修改报文首部中的某些信息 raw：关闭nat表上启用的连接追踪功能

iptables：每个钩子函数上可放置n条规则；对应于每个钩子上的多条规则就称为一个链（CHAIN）每个功能有多个链，所以，就称作表；

链：链上的规则次序即为检查次序，因此有一定的法则 (1) 同类规则，匹配范围小的放上面； (2) 不同类规则，匹配报文几率较大的放上面； (3) 应该设置默认策略；

ptables有四表五链 filter: input, forward, output 添加规则时的考量点： (1) 要实现的功能：判断添加在哪个表上； (2) 报文流向及经由路径：判断添加在哪个链上；

功能的优先级：由高而低： raw --> mangle --> nat --> filter

规则的组成部分：报文的匹配条件, 匹配之后如何处理

匹配条件：基本匹配条件、扩展匹配条件如何处理：内建处理机制、自定义处理机制（自定义的链）注意：报文不可能经由自定义链，只有在被内置链上的引用才能生效（即做为自定义目标）

iptables：规则管理工具自动实现规则的语法检查

规则和链有计数器： pkts: 由规则或链匹配到的报文的个数； bytes：由规则或链匹配到的所有报文大小之和；

链：应该有默认策略；

iptables命令生成规则，送往netfilter; 规则通过内核接口直接送至内核，因此，会立即生效。但不会永久有效；如果期望有永久有效，需要保存至配置文件中，此文件还开机时加载和由用户手工加载； iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET

-t TABLE: 默认为filter, 共有filter, nat, mangle, raw四个可用；

SUBCOMMAND：链： -F：flush，清空指定表的指定链上所有规则；省略链名时，清空表中的所有链； -N：new, 新建一个用户自定义的链；自定义链只能作为默认链上的跳转对象，即在默认链通过引用来生效自定义链； -X：drop，删除用户自定义的空链；非空自定义链和内置链无法删除； -Z：zero，将规则的计数器置0； -P：policy，设置链的默认处理机制；当所有都无法匹配或有匹配有无法做出有效处理机制时，默认策略即生效； filter表的可用策略：ACCEPT, DROP, REJECT -E：rename，重命名自定义链；

注意：被引用中的链，无法删除和改名

规则： -A：append，在链尾追加一条规则； -I：insert，在指定位置插入一条规则； -D：delete，删除指定的规则； -R：replace，替换指定的规则；查看： -L：list，列出指定链上的所有规则； -n: numeric，以数字格式显示地址和端口号，即不反解； -v: verbose，详细格式，显示规则的详细信息，包括规则计数器等； -vv: -vvv: --line-numbers: 显示规则编号； -x: exactly，显示计数器的精确值； pkts bytes target prot opt in out source destination pkts: 被本规则所匹配到的包个数； bytes：被本规则所匹配到的所包的大小之和； target: 处理目标（目标可以为用户自定义的链） prot: 协议 {tcp, udp, icmp} opt: 可选项 in: 数据包流入接口 out: 数据包流出接口 source: 源地址 destination: 目标地址

CRETERIA: 匹配条件检查IP首部，检查TCP、UDP或ICMP首部；基于扩展机制，也可以进行额外的检查；如做连接追踪；

注意：可同时指定多个条件，默认多条件要同时被满足；

匹配条件：

通用匹配： [!] -s, --src, --source IP|Network：检查报文中的源IP地址； -d, --dst, --destination：检查报文中的目标IP地址； -p, --protocol：检查报文中的协议，即ip首部中的protocols所标识的协议；tcp、udp或icmp三者之一； -i, --in-interface：数据报文的流入接口；通常只用于PREROUTING, INPUT, FORWARD链上的规则； -o, --out-interface：检查报文的流出接口；通常只用于FORWARD, OUTPUT, POSTROUTING链上的规则；

扩展匹配：使用iptables的模块实现扩展性检查机制隐式扩展：如果在通用匹配上使用-p选项指明了协议的话，则使用-m选项指明对其协议的扩展就变得可有可无了； tcp: --dport PORT[-PORT] --sport --tcp-flags LIST1 LIST2 LIST1: 要检查的标志位； LIST2：在LIST1中出现过的，且必须为1标记位；而余下的则必须为0; 例如：--tcp-flags syn,ack,fin,rst syn --syn：用于匹配tcp会话三次握手的第一次； udp: --sport --dport icmp: --icmp-types 8: echo request 0：echo reply

显式扩展：必须指明使用的扩展机制； -m 模块名称每个模块会引入新的匹配机制；

想知道有哪些模块可用： rpm -ql iptables

小写字母，以.so结尾；

multiport扩展：以离散定义多端口匹配；最多指定15个端口；

专用选项： --source-ports, --sports PORT[,PORT,...] --destination-ports, --dports PORT[,PORT,...] --ports PORT[,PORT,...]

例子： iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp -m multiport --sports 22,80,443 -j ACCEPT

iprange扩展：指定连续的ip地址范围；在匹配非整个网络地址时使用；

专用选项： [!] --src-range IP[-IP] [!] --dst-range IP[-IP]

示例： iptables -A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT iptables -A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

string扩展：检查报文中出现的字符串，与给定的字符串作匹配；

字符串匹配检查算法： kmp, bm

专用选项： --algo {kmp|bm} --string "STRING" --hex-string "HEX_STRING"：HEX_STRING为编码成16进制格式的字串；示例： iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string "sex" --algo kmp -j REJECT

time扩展：基于时间区间做访问控制

专用选项： --datestart YYYY[-MM][-DD][hh[:mm[:ss]]] --dattestop

--timestart --timestop

--weekdays DAY1[,DAY2,...]

示例： 1. iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT

connlimit扩展：基于连接数作限制；对每个IP能够发起的并发连接数作限制；

专用选项： --connlimit-above [n]

# iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT

limit扩展：基于发包速率作限制；

专用选项：令牌桶算法 --limit n[/second|/minit|/hour|/day] --limit-burst n

iptables -R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

state扩展：