2、iptables基本应用

iptables：规则管理工具

添加、修改、删除、显示等；

规则和链有计数器：

pkts：  由规则或链所匹配到的报文的个数；

bytes：由规则或链匹配到的所有报文大小之和；

iptables命令：

iptables [-t table] {-A|-D} chain rule-specification     chain：链    

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]] 

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

 

-t table：filter, nat, mangle, raw

链管理：

-F：flush       清空规则链；省略链，表示清空指定表上的所有的链；

-N：new        创建新的自定义规则链；

-X：drop        删除用户自定义的空的规则链，如果有规则，先使用-F清空；

-Z：zero        清零，置零规则计数器；

-P：Policy     为指定链设置默认策略；对filter表中的链而言，默认策略通常有ACCEPT, DROP, REJECT;

-E: rEname    重命名自定义链；引用计数不为0的自定义链，无法改名，也无法删除；

链上的规则管理：

-A：append，将新规则追加于指定链的尾部；

-I：insert，将新规则插入至指定链的指定位置；

-D：delete，删除指定链上的指定规则；

有两种规则指定方式：

(1) 指定匹配条件；

(2) 指定规则编号；

-R：replace，替换指定链上的指定规则；

查看规则：

-L：list，列出指定链上的所有规则；

-n: numberic，以数字格式显示地址和端口号；

-v: verbose，显示详细信息；

-vv, -vvv，越多，显示越详细

--line-numbers：显示规则编号；

-x: exactly, 显示计数器计数结果的精确值；

示例

# iptables -t filter -N IN_PUBLIC //添加自定义规则连

# iptables -L -n  //查看，默认是filter

Chain IN_PUBLIC (0 references)     //此时的计数为空，没有引用，而且内部内有规则，可以修改名称
target        prot        opt source     destination

# iptables -t filter -E IN_PUBLIC OUT_PUBLIC

Chain OUT_PUBLIC (0 references)
target    prot      opt source     destination

# systemctl restart firewalld   //如果重启firewalld的话，会自动生成很多规则

# iptables -L -n

Chain INPUT (policy ACCEPT)
target      prot   opt   source     destination
ACCEPT      all    --    0.0.0.0/0  0.0.0.0/0     ctstate RELATED,ESTABLI

all：表示所有协议tcp、udp、icmp

ctstate：表示链接追踪状态，后面表示追踪的状态

RELATED：

ESTABLI

target还可以是一个自定义链，自定义链放在内置链上，当报文被内置链检查时，一旦由自定义链所匹配，就由自定义链上的规则所检查

某个链被引用了，它不可以被删除；链不被引用，内部的规则是不会生效的

# systemctl restart firewalld
# iptables -L -n

RETURN：返回调用者 

匹配条件：

基本匹配：

[!] -s, --src, --source IP|Netaddr：检查报文中源IP地址是否符合此处指定的地址范围； [!]：表示取反，可省

[!] -d, --dst, --destination IP|Netaddr：检查报文中源IP地址(目标地址转为源IP)是否符合此处指定的地址范围；

[!] -p, --protocol {tcp|udp|icmp}：检查报文中的协议，即ip首部中的protocols所标识的协议；

[!] -i, --in-interface IFACE：数据报文的流入接口；仅能用于PREROUTING, INPUT及FORWARD链上；

[!] -o, --out-interface IFACE：数据报文的流出接口；仅能用于FORWARD, OUTPUT及POSTROUTING链上；

扩展匹配：-m macth_name --spec_options

例如：-m tcp --dport 22  检查tcp目标端口，如果已经使用-p指明协议，就不需要在使用-m指明了

隐式扩展：对-p protocol指明的协议进行的扩展，可省略-m选项；

• -p tcp 
• --dport PORT[-PORT]：目标端口，可以是单个端口或连续多个端口(必须是连续的)；
• --sport PORT[-PORT]：匹配源端口
• --tcp-flags LIST1 LIST2：检查LIST1所指明的所有标志位，且这其中，LIST2所表示出的所有标记位必须为1，而余下的必须为0；没有LIST1中指明的，不作检查；

SYN, ACK, FIN, RST, PSH, URG

示例：--tcp-flags SYN,ACK,FIN,RST SYN  //表示只检查SYN、ACK、FIN、RST这四个位，其他都不做检查，并且SYN必须为1，其他的都为0，

                                                                     //因为这SYN在LIST2列表中，此示例表示第一次握手

           --syn:相当于--tcp-flags SYN,ACK,FIN,RST SYN，两个功能相同

• -p udp
• --dport
• --sport
• -p icmp

--icmp-type   //报文类型

可用数字表示其类型：

• 0：echo-reply   回显应答
• 8：echo-request  回显请求

显式扩展: 必须使用-m选项指定使用的扩展；

允许自己ping别的主机，不允许别的主机ping自己   //这里首先需要把INPUT/OUTPUT/FORWARD的默认规则改为DROP，但需要提前开放22号端口，否则无法使用ssh服务

# iptables -A OUTPUT -s 192.168.184.144 -p icmp --icmp-type 8 -j ACCEPT  ping别的主机，先从本主机出去，目标地址不知道，ping请求是8
# iptables -A INPUT -d 192.168.184.144 -p icmp --icmp-type 0 -j ACCEPT   ping别的主机，要接受ping后的报文，目标地址是本机，报文类型是回显应答

别的主机无法ping通，因为144只放行了响应报文，即从本机出去的报文

目标：

-j     TARGET：jump至指定的TARGET

• ACCEPT: 接受
• DROP: 丢弃
• REJECT: 拒绝，有回应报文
• RETURN: 返回调用链
• REDIRECT：端口重定向
• LOG: 记录日志
• MARK：做防火墙标记
• DNAT：目标地址转换
• SNAT：源地址转换
• MASQUERADE：地址伪装
• ...
• 自定义链：由自定义链上的规则进行匹配检查；为什么要用自定义链：当链上的规则过多时，可以把功能相近的放在一个单独的链上，做单独管理；

示例

# iptables -t filter -A INPUT -s 0.0.0.0 -d 192.168.184.144 -p tcp -j ACCEPT  //访问本机的属于TCP的报文，都放行，-s IP:表示全部主机，可省略

# iptables -t filter -A OUTPUT -s 192.168.184.144 -p tcp -j ACCEPT  //TCP协议报文跟任何主机通信都允许出去

现在把filter表的所有规则改为drop，ssh链接还能保持？

# iptables -P INPUT DROP  //一定要谨慎
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP   

此时并没有断开，因为有之前定义的ACCEPT规则，这里只允许tcp协议的报文访问，如果icmp协议即ping命令的话，则报文无法进来，如果设置了INPUT能进来，也无法OUTPUT出去，所以报文要能进能出，当不希望某个IP访问服务器时，因该在INPUT上直接拒绝。

在测试iptables规则是，为了防止定义的DROP规则无法使ssh服务登录，可以利用&&

# iptables -t filter -A INPUT -d 192.168.184.144 -p tcp -j DROP   //访问本机的报文且属于tcp协议的都拒绝，这是ssh服务就无法链接

# iptables -t filter -A INPUT -d 192.168.184.144 -p tcp -j DROP && sleep 5 && iptables -F

                                              //拒绝后过5面直接清空iptables规则，执行后不会拒绝ssh服务 

做报文流入接口限制，ping进来时限制流入，ping出去时限制流出

# iptables -A INPUT -d 192.168.184.144 -o eth0 -j ACCEPT   //流入接口是不能做流出限制的

iptables v1.4.21: Can't use -o with INPUT

Try `iptables -h' or 'iptables --help' for more information.

# iptables -A INPUT -d 192.168.184.144 -i eth0 -j ACCEPT   //如果有多块网卡，除了eth0允许报文流入，其他都是不被允许的

# iptables -A OUTPUT -s 192.168.184.144 -o eth0 -j ACCEPT   //报文从eth0流出

如何只放行一个ssh端口，而非所有tcp端口(ssh端口属于tcp协议)？这里就是用到扩展匹配的隐式扩展

仅放行对本机ssh服务的访问。客户端端口是随机的，只能限定所放行的目标端口

# iptables -I INPUT -d 192.168.184.144 -p tcp --dport 22 -j ACCEPT  //仅放行对本机访问的22端口，这里仅放行了入栈

# iptables -I OUTPUT -s 192.168.184.144 -p tcp --sport 22 -j ACCEPT  //这里是服务器响应报文请求的内容，所以也用22号端口进行响应

此时访问没有问题

如果想让web服务访问，只需要开启80端口

# iptables -I INPUT -d 192.168.184.144 -p tcp --dport 80 -j ACCEPT    //所有访问144主机且的端口是80的报文
# iptables -I OUTPUT -s 192.168.184.144 -p tcp --sport 80 -j ACCEPT   //所有从144主机发出且是从80端口发出的

此时浏览器就可以访问80端口了