iptables概念和参数（一）

iptables基本规则演示（二）:http://www.gray-track.com/722.html

iptables

firewall: 分为两类防火墙
1，主机防火墙,2，网络防火墙
他们工作于主机或网络的边缘，对于进出的报文根据事先定义的规则作检查，将那些能够被规则所匹配到的报文作出相应处理的组件。

网络防火墙，有些则是专业的硬件防火墙，如：checkpoint, netscreen

iptable：主机程序，也可以说是软件防火墙
iptables：规则编写工具
netfilter: 网络过滤器, 内核中工作在TCP/IP网络协议栈上的框架；

再者还有IDS：入侵检测，IPS：入侵防范，有些公司还有HoneyPot: 蜜罐来防止并追踪攻击者的手段，如果有兴趣可以玩玩kali， (backtrack)
OpenBSD:
ipfw
ipchains
iptables/netfilter

kernel, framework

hooks function:
prerouting: 进入本机后路由功能发生之前
input：到达本机内部
output: 由本机发出
forward: 由本机转发
postrouting：路由功能发生之后，即将离开本机之前

路由发生的时刻：
报文进入本机后：
判断目标地址
报文离开本机之前：
判断经由哪个接口发出；

报文流向经由的位置：
到本内部：prerouting, input
由本机发出：output, postrouting
由本机转发：prerouting, forward, postrouing

规则的功能：
过滤：firewall，
地址转换：NAT Server
Network Address Translation
mangle：修改报文首部中的某些信息
raw：关闭nat表上启用的连接追踪功能

iptables：每个钩子函数上可放置n条规则；对应于每个钩子上的多条规则就称为一个链（CHAIN）
每个功能有多个链，所以，就称作表；

链：链上的规则次序即为检查次序，因此有一定的法则
(1) 同类规则，匹配范围小的放上面；
(2) 不同类规则，匹配报文几率较大的放上面；
(3) 应该设置默认策略；

ptables有四表五链
filter: input, forward, output
添加规则时的考量点：
(1) 要实现的功能：判断添加在哪个表上；
(2) 报文流向及经由路径：判断添加在哪个链上；

功能的优先级：
由高而低：
raw --> mangle --> nat --> filter

规则的组成部分：
报文的匹配条件, 匹配之后如何处理

匹配条件：基本匹配条件、扩展匹配条件
如何处理：内建处理机制、自定义处理机制（自定义的链）
注意：报文不可能经由自定义链，只有在被内置链上的引用才能生效（即做为自定义目标）

iptables：规则管理工具
自动实现规则的语法检查

规则和链有计数器：
pkts: 由规则或链匹配到的报文的个数；
bytes：由规则或链匹配到的所有报文大小之和；

链：应该有默认策略；

iptables命令生成规则，送往netfilter;
规则通过内核接口直接送至内核，因此，会立即生效。但不会永久有效；
如果期望有永久有效，需要保存至配置文件中，此文件还开机时加载和由用户手工加载；
iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET

-t TABLE:
默认为filter, 共有filter, nat, mangle, raw四个可用；

SUBCOMMAND：
链：
-F：flush，清空指定表的指定链上所有规则；省略链名时，清空表中的所有链；
-N：new, 新建一个用户自定义的链；自定义链只能作为默认链上的跳转对象，即在默认链通过引用来生效自定义链；
-X：drop，删除用户自定义的空链；非空自定义链和内置链无法删除；
-Z：zero，将规则的计数器置0；
-P：policy，设置链的默认处理机制；当所有都无法匹配或有匹配有无法做出有效处理机制时，默认策略即生效；
filter表的可用策略：ACCEPT, DROP, REJECT
-E：rename，重命名自定义链；

注意：被引用中的链，无法删除和改名

规则：
-A：append，在链尾追加一条规则；
-I：insert，在指定位置插入一条规则；
-D：delete，删除指定的规则；
-R：replace，替换指定的规则；
查看：
-L：list，列出指定链上的所有规则；
-n: numeric，以数字格式显示地址和端口号，即不反解；
-v: verbose，详细格式，显示规则的详细信息，包括规则计数器等；
-vv:
-vvv:
--line-numbers: 显示规则编号；
-x: exactly，显示计数器的精确值；
pkts bytes target prot opt in out source destination
pkts: 被本规则所匹配到的包个数；
bytes：被本规则所匹配到的所包的大小之和；
target: 处理目标 （目标可以为用户自定义的链）
prot: 协议 {tcp, udp, icmp}
opt: 可选项
in: 数据包流入接口
out: 数据包流出接口
source: 源地址
destination: 目标地址

CRETERIA: 匹配条件
检查IP首部，检查TCP、UDP或ICMP首部；
基于扩展机制，也可以进行额外的检查；如做连接追踪；

注意：可同时指定多个条件，默认多条件要同时被满足；

匹配条件：

通用匹配：
[!] -s, --src, --source IP|Network：检查报文中的源IP地址；
-d, --dst, --destination：检查报文中的目标IP地址；
-p, --protocol：检查报文中的协议，即ip首部中的protocols所标识的协议；tcp、udp或icmp三者之一；
-i, --in-interface：数据报文的流入接口；通常只用于PREROUTING, INPUT, FORWARD链上的规则；
-o, --out-interface：检查报文的流出接口；通常只用于FORWARD, OUTPUT, POSTROUTING链上的规则；

扩展匹配：使用iptables的模块实现扩展性检查机制
隐式扩展：如果在通用匹配上使用-p选项指明了协议的话，则使用-m选项指明对其协议的扩展就变得可有可无了；
tcp:
--dport PORT[-PORT]
--sport
--tcp-flags LIST1 LIST2
LIST1: 要检查的标志位；
LIST2：在LIST1中出现过的，且必须为1标记位；而余下的则必须为0;
例如：--tcp-flags syn,ack,fin,rst syn
--syn：用于匹配tcp会话三次握手的第一次；
udp:
--sport
--dport
icmp:
--icmp-types
8: echo request
0：echo reply

显式扩展：必须指明使用的扩展机制；
-m 模块名称
每个模块会引入新的匹配机制；

想知道有哪些模块可用：
rpm -ql iptables

小写字母，以.so结尾；

multiport扩展：
以离散定义多端口匹配；最多指定15个端口；

专用选项：
--source-ports, --sports PORT[,PORT,...]
--destination-ports, --dports PORT[,PORT,...]
--ports PORT[,PORT,...]

例子：
iptables -I INPUT 1 -d 172.16.100.11 -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp -m multiport --sports 22,80,443 -j ACCEPT

iprange扩展：
指定连续的ip地址范围；在匹配非整个网络地址时使用；

专用选项：
[!] --src-range IP[-IP]
[!] --dst-range IP[-IP]

示例：
iptables -A INPUT -d 172.16.100.11 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.11 -p tcp --sport 23 -m iprange --dst-range 172.16.100.1-172.16.100.100 -j ACCEPT

string扩展：
检查报文中出现的字符串，与给定的字符串作匹配；

字符串匹配检查算法：
kmp, bm

专用选项：
--algo {kmp|bm}
--string "STRING"
--hex-string "HEX_STRING"：HEX_STRING为编码成16进制格式的字串；
示例：
iptables -I OUTPUT 1 -s 172.16.100.11 -p tcp --sport 80 -m string --string "sex" --algo kmp -j REJECT

time扩展：
基于时间区间做访问控制

专用选项：
--datestart YYYY[-MM][-DD][hh[:mm[:ss]]]
--dattestop

--timestart
--timestop

--weekdays DAY1[,DAY2,...]

示例：
# iptables -R INPUT 1 -d 172.16.100.11 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Thu,Fri -j REJECT

connlimit扩展：
基于连接数作限制；对每个IP能够发起的并发连接数作限制；

专用选项：
--connlimit-above [n]

# iptables -I INPUT 2 -d 172.16.100.11 -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT

limit扩展：
基于发包速率作限制；

专用选项：令牌桶算法
--limit n[/second|/minit|/hour|/day]
--limit-burst n

iptables -R INPUT 3 -d 172.16.100.11 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

state扩展：