iptables備忘錄

不知道是哪位高人總結的iptables文檔。在此謝謝了。寫下來備忘。

 先來看下資料包的流程。

-->PREROUTING-->[ROUTE]-->FORWARD------->POSTROUTING-->出

     mangle(1)        |   mangle(1)      |    mangle(1)                     ^

      nat(2)         |    filter(2)          |    nat(2)

                   |                         |

                   v                         |

                 INPUT                     OUTPUT

                   | mangle(1)               ^ filter(3)

                   | filter(2)              |  nat (2)                                              

                   v ------>local--------->|  mangle (1)

--------------------------------------------------------------------------------

如果不考慮mangle表 如下

     nat           |       filter            ^ nat

                   |                         | 

                   |                         ^ filter(2)

                   | filter                  |  nat (1)

                   v ------>local----------->| 

鍊和表

表

filter      用于過濾的時候

nat         用于做NAT的時候

鍊

INPUT           位于filter表，比對目的ip是本機的資料包

OUTPUT          位于filter表，比對源ip是本機的資料包

FORWARD         位于filter表，比對穿過本機的資料包

PREROUTING      位于nat表，用于修改目的位址(DNAT)

POSTROUTING     位于nat表，用于修改源位址(SNAT)

iptables文法

iptables [-t 要操作的表] 操作指令 [要操作的鍊] [規則号碼] [比對條件] [-j 比對到以後的動作]

指令概述

·操作指令 (-A、-I、-D、-R、-P、-F)

·檢視指令 (-[vnx]L)

-A 鍊名

APPEND 追加一條規則(放到最後)

例如:

iptables -t filter -A INPUT -j DROP

在 filter 表的 INPUT 鍊裡追加一條規則（作為最後一條規則）

    比對所有通路本機 IP 的資料包，比對到的丢棄

-I 鍊名 [規則号碼]

    INSERT，插入一條規則

例如：

    iptables -I INPUT -j DROP

    在 filter 表的 INPUT 鍊裡插入一條規則（插入成第 1 條）

    iptables -I INPUT 3 -j DROP

    在 filter 表的 INPUT 鍊裡插入一條規則（插入成第 3 條）

注意： 1、-t filter 可不寫，不寫則自動預設是 filter 表

       2、-I 鍊名 [規則号碼]，如果不寫規則号碼，則預設是 1

       3、確定規則号碼 ≤ （已有規則數 + 1），否則報錯

-D 鍊名 <規則号碼 | 具體規則内容>

    DELETE，删除一條規則

    iptables -D INPUT 3（按号碼比對）

    删除 filter 表 INPUT 鍊中的第三條規則（不管它的内容是什麼）

    iptables -D INPUT -s 192.168.0.1 -j DROP（按内容比對）

    删除 filter 表 INPUT 鍊中内容為“-s 192.168.0.1 -j DROP”的規則

   （不管其位置在哪裡）

注意：

    1、若規則清單中有多條相同的規則時，按内容比對隻删除序号最小的一條

    2、按号碼比對删除時，確定規則号碼 ≤ 已有規則數，否則報錯

    3、按内容比對删除時，確定規則存在，否則報錯

-R 鍊名 規則号碼具體規則内容

    REPLACE，替換一條規則

    iptables -R INPUT 3 -j ACCEPT

    将原來編号為 3 的規則内容替換為“-j ACCEPT”

    確定規則号碼 ≤ 已有規則數，否則報錯

-P 鍊名 動作

    POLICY，設定某個鍊的預設規則

    iptables -P INPUT DROP

    設定 filter 表 INPUT 鍊的預設規則是 DROP

    當資料包沒有被規則清單裡的任何規則比對到時，按此預設規則處理

-F [鍊名]

    FLUSH，清空規則

    iptables -F INPUT

    清空 filter 表 INPUT 鍊中的所有規則

    iptables -t nat -F PREROUTING

    清空 nat 表 PREROUTING 鍊中的所有規則

    1、-F 僅僅是清空鍊中規則，并不影響 -P 設定的預設規則

    2、-P 設定了 DROP 後，使用 -F 一定要小心！！！

    3、如果不寫鍊名，預設清空某表裡所有鍊裡的所有規則

-[vxn]L

-L 列出規則

    LIST，列出規則

    v：顯示詳細資訊，包括每條規則的比對包數量和比對位元組數

    x：在 v 的基礎上，禁止自動機關換算（K、M）

    n：隻顯示 IP 位址和端口号碼，不顯示域名和服務名稱

    iptables -L

    粗略列出 filter 表所有鍊及所有規則

    iptables -t nat -vnL

    用詳細方式列出 nat 表所有鍊的所有規則，隻顯示 IP 位址和端口号

    iptables -t nat -vxnL PREROUTING

    用詳細方式列出 nat 表 PREROUTING 鍊的所有規則以及詳細數字，不反解

比對條件

·流入、流出接口(-i、-o)

·來源、目的位址(-s、-d)

·協定類型       (-p)

·來源、目的端口(--sport、--dport)

按網絡接口比對

-i 比對資料進入的網絡接口

-i eth0

比對是否從網絡接口eth0進來

-i ppp0

比對是否從網絡接口ppp0進來

-o 比對資料流出的網絡接口

-o eth0

-o ppp0

按來源目的位址比對

-s 比對來源位址，可以是IP、NET、DOMAIN，也可空(任何)

    -s 192.168.0.1      比對來自 192.168.0.1 的資料包

    -s 192.168.1.0/24   比對來自 192.168.1.0/24 網絡的資料包

    -s 192.168.0.0/16   比對來自 192.168.0.0/16 網絡的資料包

-d：比對目的位址，可以是 IP、NET、DOMAIN，也可以空

    -d 202.106.0.20     比對去往 202.106.0.20 的資料包

    -d 202.106.0.0/16   比對去往 202.106.0.0/16 網絡的資料包

    -d www.abc.com      比對去往域名 www.abc.com 的資料包

按協定類型比對

3.3.3 按協定類型比對

-p：比對協定類型

    可以是 TCP、UDP、ICMP 等，也可為空

    -p tcp

    -p udp

    -p icmp --icmp-type 類型

    ping: type 8       pong: type 0

3.3.4 按來源目的端口比對

--sport：比對源端口，可以是個别端口，可以是端口範圍

    --sport 1000        比對源端口是 1000 的資料包

    --sport 1000:3000   比對源端口是 1000-3000 的資料包（含1000、3000）

    --sport :3000       比對源端口是 3000 以下的資料包（含 3000）

    --sport 1000:       比對源端口是 1000 以上的資料包（含 1000）

--dport：比對目的端口，可以是個别端口，可以是端口範圍

    --dport 80          比對源端口是 80 的資料包

    --dport 6000:8000   比對源端口是 6000-8000 的資料包（含6000、8000）

    --dport :3000       比對源端口是 3000 以下的資料包（含 3000）

    --dport 1000:       比對源端口是 1000 以上的資料包（含 1000）

    --sport 和 --dport 必須配合 -p 參數使用

3.3.5 比對應用舉例

1、端口比對

-p udp --dport 53

比對網絡中目的位址是 53 的 UDP 協定資料包

2、位址比對

-s 10.1.0.0/24 -d 172.17.0.0/16

比對來自 10.1.0.0/24 去往 172.17.0.0/16 的所有資料包

3、端口和位址聯合比對

-s 192.168.0.1 -d www.abc.com -p tcp --dport 80

比對來自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 協定資料包

1、--sport、--dport 必須聯合 -p 使用，必須指明協定類型是什麼

2、條件寫的越多，比對越細緻，比對範圍越小

3.4 動作（處理方式）

ACCEPT

DROP

SNAT

DNAT

MASQUERADE

3.4.1 -j ACCEPT

-j ACCEPT

    通過，允許資料包通過本鍊而不攔截它

    類似 Cisco 中 ACL 裡面的 permit

    iptables -A INPUT -j ACCEPT

    允許所有通路本機 IP 的資料包通過

3.4.2 -j DROP

-j DROP

    丢棄，阻止資料包通過本鍊而丢棄它

    類似 Cisco 中 ACL 裡的 deny

    iptables -A FORWARD -s 192.168.80.39 -j DROP

     阻止來源位址為 192.168.80.39 的資料包通過本機

3.4.3 -j SNAT

-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 鍊）

    源位址轉換，SNAT 支援轉換為單 IP，也支援轉換到 IP 位址池

   （一組連續的 IP 位址）

iptables -t nat -A POSTROUTING -s 192.168.0.0/24

    -j SNAT --to 1.1.1.1

将内網 192.168.0.0/24 的原位址修改為 1.1.1.1，用于 NAT

    -j SNAT --to 1.1.1.1-1.1.1.10

同上，隻不過修改成一個位址池裡的 IP

3.4.4 -j DNAT

-j DNAT --to IP[-IP][:端口-端口]（nat 表的 PREROUTING 鍊）

    目的位址轉換，DNAT 支援轉換為單 IP，也支援轉換到 IP 位址池

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80

    -j DNAT --to 192.168.0.1

把從 ppp0 進來的要通路 TCP/80 的資料包目的位址改為 192.168.0.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81

    -j DNAT --to 192.168.0.2:80

    -j DNAT --to 192.168.0.1-192.168.0.10

3..5 -j MASQUERADE

-j MASQUERADE

動态源位址轉換（動态 IP 的情況下使用）

    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

    将源位址是 192.168.0.0/24 的資料包進行位址僞裝

3.5 附加子產品

按包狀态比對    （state）

按來源 MAC 比對（mac）

按包速率比對    （limit）

多端口比對      （multiport）

3.5.1 state

-m state --state 狀态

狀态：NEW、RELATED、ESTABLISHED、INVALID

      NEW：有别于 tcp 的 syn

      ESTABLISHED：連接配接态

      RELATED：衍生态，與 conntrack 關聯（FTP）

      INVALID：不能被識别屬于哪個連接配接或沒有任何狀态

    iptables -A INPUT -m state --state RELATED,ESTABLISHED

         -j ACCEPT

3.5.2 mac

-m mac --mac-source MAC

比對某個 MAC 位址

   iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx

        -j DROP

   阻斷來自某 MAC 位址的資料包，通過本機

   MAC 位址不過路由，不要試圖去比對路由後面的某個 MAC 位址

3.5.3 limit

-m limit --limit 比對速率 [--burst 緩沖數量]

    用一定速率去比對資料包

   iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s

        -j ACCEPT

   iptables -A FORWARD -d 192.168.0.1 -j DROP

   limit 僅僅是用一定的速率去比對資料包，并非 “限制”

3.5.4 multiport

-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]

一次性比對多個端口，可以區分源端口，目的端口或不指定端口

   iptables -A INPUT -p tcp -m multiports --ports

       21,22,25,80,110 -j ACCEPT

    必須與 -p 參數一起使用   

4. 執行個體分析

單伺服器的防護

如何做網關

如何限制内網使用者

内網如何做對外伺服器

連接配接追蹤子產品

4.1 單伺服器的防護

弄清對外服務對象

書寫規則

    網絡接口 lo 的處理

    狀态監測的處理

    協定 + 端口的處理

執行個體：一個普通的 web 伺服器

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

注意：確定規則循序正确，弄清邏輯關系，學會時刻使用 -vnL

4.2 如何做網關

弄清網絡拓撲

本機上網

設定 nat

    啟用路由轉發

    位址僞裝 SNAT/MASQUERADE

執行個體：ADSL 撥号上網的拓撲

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0

    -j MASQUERADE

4.3 如何限制内網使用者

過濾位置 filer 表 FORWARD 鍊

比對條件 -s -d -p --s/dport

處理動作 ACCEPT DROP

執行個體：

iptables -A FORWARD -s 192.168.0.3 -j DROP

iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66

    -j DROP

iptables -A FORWARD -d bbs.chinaunix.net -j DROP

4.4 内網如何做對外伺服器

服務協定（TCP/UDP）

對外服務端口

内部伺服器私網 IP

内部真正服務端口

    -j DNAT --to 192.168.1.1

    -j DNAT --to 192.168.1.2:80

4.5 連接配接追蹤子產品

為什麼要使用連接配接追蹤子產品

    FTP 協定的傳輸原理

    傳統防火牆的做法

如何使用

4.5.1 FTP 協定傳輸原理

使用端口

    command port

    data port

傳輸模式

    主動模式（ACTIVE）

    被動模式（PASSIVE）

主動模式

             client              server

          xxxx |---|----------|-->| 21

          yyyy |<--|----------|---| 20

                  FW1         FW2

被動模式

          xxxx |---|----------|--->| 21

          yyyy |---|----------|--->| zzzz

4.5.2 傳統防火牆的做法

隻使用主動模式，打開 TCP/20

防火牆打開高範圍端口

配置 FTP 服務，減小被動模式端口範圍

4.5.3 如何使用連接配接追蹤子產品

modprobe ipt_conntrack_ftp

modprobe ipt_nat_ftp

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -m state --state

    RELATED,ESTABLISHED -j ACCEPT

5. 網管政策

怕什麼

能做什麼

讓什麼 vs 不讓什麼

三大“紀律”五項“注意”

其他注意事項

5.1 必加項

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" >

    /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

5.2 可選方案

堵：

iptables -A FORWARD -p tcp --dport xxx -j DROP

iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP

通：

iptables -A FORWARD -p tcp --dport xxx -j ACCEPT

iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED

    -j ACCEPT

iptables -P FORWARD DROP

5.3 三大“紀律”五項“注意”

三大“紀律”——專表專用

    filter

    nat

    mangle

五項“注意”——注意資料包的走向

    PREROUTING

    INPUT

    FORWARD

    OUTPUT

    POSTROUTING

5.4 其他注意事項

養成好的習慣

    iptables -vnL

    iptables-save

注意邏輯順序

    iptables -A INPUT -p tcp --dport xxx -j ACCEPT

    iptables -I INPUT -p tcp --dport yyy -j ACCEPT

學會寫簡單的腳本

FAQ

Q：我設定了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP

   為何内網使用者還是可以通路那個位址？

A：filter 表的 OUTPUT 鍊是本機通路外面的必經之路，内網資料不經過該鍊

Q：我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP

A：檢查整個規則是否存在邏輯錯誤，看是否在 DROP 前有 ACCEPT

Q：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE

   這條語句為何報錯？

A：POSTROUTING 鍊不支援“流入接口” -i 參數

   同理，PREROUTING 鍊不支援“流出接口” -o 參數

Q：我應該怎麼檢視某個子產品具體該如何使用？

A：ipitables -m 子產品名 -h

Q：執行 iptables -A FORWARD -m xxx -j yyy

   提示 iptables: No chain/target/match by that name

A：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中，

   缺少與 xxx 子產品有關的檔案，或缺少與 yyy 動作有關的檔案

   名字為 ipt_xxx.o（2.4核心）或 ipt_yyy.ko（2.6核心）

Q：腳本寫好了，内網上網沒問題，FTP 通路不正常，無法列出目錄，為什麼？

A：缺少 ip_nat_ftp 這個子產品，modprobe ip_nat_ftp