2010-01-18 13:16:08 
阿炯
iptables是运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的处理和转发。在大部分Linux发行版中,可以通过手册页或 iptables man 获取用户手册。通常iptables需要内核模块支持才能运行,此处相应的内核模块通常是Xtables。因此iptables操作需要超级用户权限,其可执行文件通常位于 /sbin/iptables 或 /usr/sbin/iptables。同时需要说明的是,以上命令通常只用于处理 IPv4 数据包,而对于 IPv6 数据包,则使用类似的 ip6tables 命令。
iptables 支持内核2.4以上版本,旧版内核环境下则使用ipchains(于2.2版内核)或ipwadm(于2.0版内核)完成类似的功能。2014年1月19日起发行的Linux内核3.13版则使用nftables取而代之,但仍然提供 iptables 命令做为兼容接口。
iptables、ip6tables等都使用Xtables框架。存在“表(tables)”、“链(chain)”和“规则(rules)”三个层面。每个“表”指的是不同类型的数据包处理流程,如filter表表示进行数据包过滤,而nat表针对连接进行地址转换操作。每个表中又可以存在多个“链”,系统按照预订的规则将数据包通过某个内建链,例如将从本机发出的数据通过OUTPUT链。在“链”中可以存在若干“规则”,这些规则会被逐一进行匹配,如果匹配,可以执行相应的动作,如修改数据包或者跳转。跳转可以直接接受该数据包或拒绝该数据包,也可以跳转到其他链继续进行匹配,或者从当前链返回调用者链。当链中所有规则都执行完仍然没有跳转时,将根据该链的默认策略(policy)执行对应动作;如果也没有默认动作,则是返回调用者链。
filter表
filter表是默认的表,如果不指明表则使用此表。其通常用于过滤数据包。其中的内建链包括:
INPUT,输入链。发往本机的数据包通过此链。
OUTPUT,输出链。从本机发出的数据包通过此链。
FORWARD,转发链。本机转发的数据包通过此链。
nat表
nat表如其名,用于地址转换操作。其中的内建链包括:
PREROUTING,路由前链,在处理路由规则前通过此链,通常用于目的地址转换(DNAT)。
POSTROUTING,路由后链,完成路由规则后通过此链,通常用于源地址转换(SNAT)。
OUTPUT,输出链,类似PREROUTING,但是处理本机发出的数据包。
mangle表
mangle表用于处理数据包。其和nat表的主要区别在于,nat表侧重连接而mangle表侧重每一个数据包。其中内建链列表如下:
PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING
raw表
raw表用于处理异常,有如下两个内建链:
PREROUTING
OUTPUT
超级用户(root)可以用"iptables -L"指令显示防火墙上的配置。完整的配置可以添加-v或-vv参数来显示更详细信息,或者使用 iptables-save -c 导出生成当前表的命令。由于没有指明“表”,因此默认使用filter表。
最重要的3个表介绍
1.iptables的3个表:
filter:顾名思义,用于过滤的时候
nat:顾名思义,用于做NAT 的时候
manager:见下
2.iptables的5条链
INPUT:匹配目的IP 是本机的数据包
OUPUT:匹配源IP是本机的数据包
FORWARD:匹配穿过本机的数据包
PREROUTING:用于修改目的地址(DNAT)
POSTROUTING:用于修改源地址(SNAT)
3.manager简介
这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容,比如 TTL,TOS或MARK。注意MARK并没有真正地改动数据包,它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序(如tc)可以使用这种标记对包进行过滤或高级路由,这个表有五个内建的链:
PREROUTING,POSTROUTING,OUTPUT,INPUT和 FORWARD。
PREROUTING在包进入防火墙之后、路由判断之前改变包,POSTROUTING是在所有路由判断之后。OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后,但在用户空间的程序看到它之前改变包。注意,mangle表不能做任何 NAT,它只是改变数据包的TTL,TOS或MARK,而不是其源目的地址。NAT是在nat表中操作的,以下是mangle表中仅有的几种操作:
◆ TOS
◆ TTL
◆ MARK
TOS操作用来设置或改变数据包的服务类型域,这常用来设置网络上的数据包如何被路由等策略。
注意:这个操作并不完善,有时得不所愿。它在Internet上还不能使用,而且很多路由器不会注意到这个域值。换句话说,不要设置发往Internet的包,除非你打算依靠TOS来路由,比如用iproute2。TTL操作用来改变数据包的生存时间域,我们可以让所有数据包只有一个特殊的TTL。它的存在有一个很好的理由,那就是我们可以欺骗一些ISP。为什么要欺骗他们呢?因为他们不愿意让我们共享 一个连接。那些ISP会查找一台单独的计算机是否使用不同的TTL,并且以此作为判断连接是否被共享的标志。MARK用来给包设置特殊的标记,iproute2能识别这些标记,并根据不同的标记(或没有标记)决定不同的路由。用这些标记我们可以做带宽限制和基于请求的分类。
iptables 中的数据报文流程
linux 用户可以通过 iptables 及其一系列的规则来高度控制数据报文的传输;而 iptables 中的表则是其构件块,描述了功能的大类,iptables一共有4个表分别如下:
filter
nat
mangle
raw
每个表都有自己的一组内置链,用户基于这些链可以建立一组规则,常用的有 filter 表中的 INPUT、OUTPUT、和 FORWARD 链等。
下图描述了数据包进入一台主机的 iptables 的工作流程:
XXXXXXXXXXXXXXXXXX
XXX Network XXX
XXXXXXXXXXXXXXXXXX
+
|
v
+-------------+ +------------------+
|table: filter| <---+ | table: nat |
|chain: INPUT | | | chain: PREROUTING|
+-----+-------+ | +--------+---------+
| | |
v | v
[local process] | **************** +--------------+
| +---------+ Routing decision +------> |table: filter |
v **************** |chain: FORWARD|
**************** +------+-------+
Routing decision |
**************** |
| |
v **************** |
+-------------+ +------> Routing decision <---------------+
|table: nat | | ****************
|chain: OUTPUT| | +
+-----+-------+ | |
| | v
v | +-------------------+
+--------------+ | | table: nat |
|table: filter | +----+ | chain: POSTROUTING|
|chain: OUTPUT | +--------+----------+
+--------------+ |
v
XXXXXXXXXXXXXXXXXX
XXX Network XXX
XXXXXXXXXXXXXXXXXX
本文要介绍的端口转发就是基于 nat 表的 PREROUTING 和 POSTROUTING 链, 所有的数据报文都要先经过 nat 的 PREROUTING 链进行处理, 再根据路由规则选择是进入 filter 的 INPUT 链还是 filter 的 FORWARD 链, 不管进入哪个链, 之后都会进去 nat 表的 POSTROUTING 链, 最后数据报文再转发出去.
语法概述
-t 要操作的表
如果不加-t则用默认表filter
例如:
iptables -t nat
对nat表进行操作
-A APPEND,追加一条规则(放到最后)
例如:
iptables -t filter -A INPUT -j DROP
在filter 表的INPUT 链里追加一条规则(作为最后一条规则)
匹配所有访问本机IP 的数据包,匹配到的丢弃
-I [规则号码] INSERT,插入一条规则
例如:
iptables -I INPUT -j DROP
在filter 表的INPUT 链里插入一条规则(插入成第1 条)
iptables -I INPUT 3 -j DROP
在filter 表的INPUT 链里插入一条规则(插入成第3 条)
注意:
1、-t filter 可不写,不写则自动默认是filter 表
2、-I 链名[规则号码],如果不写规则号码,则默认是1
3、确保规则号码≤ (已有规则数+ 1),否则报错
-D DELETE,删除一条规则
例如:
iptables -D INPUT 3(按号码匹配)
删除filter 表INPUT 链中的第三条规则(不管它的内容是什么)
iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配)
删除filter 表INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则(不管其位置在哪里)
注意:
1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条
2、按号码匹配删除时,确保规则号码≤ 已有规则数,否则报错
3、按内容匹配删除时,确保规则存在,否则报错
-R REPLACE,替换一条规则
例如:
iptables -R INPUT 3 -j ACCEPT
将原来编号为3 的规则内容替换为“-j ACCEPT”
注意:
确保规则号码≤ 已有规则数,否则报错
-P POLICY,设置某个链的默认规则
例如:
iptables -P INPUT DROP
设置filter 表INPUT 链的默认规则是DROP
注意:
当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理。动作前面不能加–j,这也是唯一一种匹配动作前面不加–j 的情况。
-F [链名] FLUSH,清空规则
例如:
iptables -F INPUT
清空filter 表INPUT 链中的所有规则
iptables -t nat -F PREROUTING
清空nat 表PREROUTING 链中的所有规则
注意:
1、-F 仅仅是清空链中规则,并不影响-P 设置的默认规则
2、-P 设置了DROP 后,使用-F 一定要小心!!!
3、如果不写链名,默认清空某表里所有链里的所有规则
-[vxn]L
-L [链名] LIST,列出规则
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在v 的基础上,禁止自动单位换算(K、M)
n:只显示IP 地址和端口号码,不显示域名和服务名称
例如:
iptables -L
粗略列出filter 表所有链及所有规则
iptables -t nat -vnL
用详细方式列出nat 表所有链的所有规则,只显示IP 地址和端口号
iptables -t nat -vxnL PREROUTING
用详细方式列出nat 表PREROUTING 链的所有规则以及详细数字,不反解
匹配条件
-i
例如:
-i eth0
匹配是否从网络接口eth0 进来
-i ppp0
匹配是否从网络接口ppp0 进来
-o 匹配数据流出的网络接口
例如:
-o eth0
-o ppp0
-s
可以是IP、NET、DOMAIN,也可空(任何地址)
例如:
-s 192.168.0.1 匹配来自192.168.0.1 的数据包
-s 192.168.1.0/24 匹配来自192.168.1.0/24 网络的数据包
-s 192.168.0.0/16 匹配来自192.168.0.0/16 网络的数据包
-d
可以是IP、NET、DOMAIN,也可以空
例如:
-d 202.106.0.20 匹配去往202.106.0.20 的数据包
-d 202.106.0.0/16 匹配去往202.106.0.0/16 网络的数据包
-d www.abc.com 匹配去往域名www.abc.com 的数据包
-p
可以是TCP、UDP、ICMP 等,也可为空
例如:
-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8 pong: type 0
--sport
可以是个别端口,可以是端口范围
例如:
--sport 1000 匹配源端口是1000 的数据包
--sport 1000:3000 匹配源端口是1000-3000 的数据包(含1000、3000)
--sport :3000 匹配源端口是3000 以下的数据包(含3000)
--sport 1000: 匹配源端口是1000 以上的数据包(含1000)
注意:--dport 必须配合-p 参数使用
--dport
可以是个别端口,可以是端口范围
例如:
--dport 80 匹配目的端口是80的数据包
--dport 6000:8000 匹配目的端口是6000-8000的数据包(含6000、8000)
--dport :3000 匹配目的端口是3000以下的数据包(含3000)
--dport 1000: 匹配目的端口是1000以上的数据包(含1000)
注意:--dport 必须配合-p参数使用
动作(处理方式)
ACCEPT
-j ACCEPT
通过,允许数据包通过本链而不拦截它,类似Cisco中ACL里面的permit
例如:
iptables -A INPUT -j ACCEPT
允许所有访问本机IP 的数据包通过
DORP
-j DROP
丢弃,阻止数据包通过本链而丢弃它,类似Cisco 中ACL 里的deny
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止来源地址为192.168.80.39 的数据包通过本机
DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的PREROUTING 链)目的地址转换,DNAT 支持转换为单IP,也支持转换到IP 地址池(一组连续的IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
把从ppp0 进来的要访问TCP/80 的数据包目的地址改为192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10
SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的POSTROUTING 链)源地址转换,SNAT 支持转换为单IP,也支持转换到IP 地址池(一组连续的IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
将内网192.168.0.0/24 的原地址修改为1.1.1.1,用于NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
同上,只不过修改成一个地址池里的IP
MASQUERADE
-j MASQUERADE 动态源地址转换(动态IP 的情况下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
将源地址是192.168.0.0/24 的数据包进行地址伪装
附加模块
state
-m state --state 状态
状态:NEW、RELATED、ESTABLISHED、INVALID
NEW:有别于tcp 的syn
ESTABLISHED:连接态
RELATED:衍生态,与conntrack 关联(FTP)
INVALID:不能被识别属于哪个连接或没有任何状态
例如: iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
mac
-m mac --mac-source MAC 匹配某个MAC 地址
例如:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
阻断来自某MAC 地址的数据包,通过本机
注意:
报文经过路由后,数据包中原有的mac 信息会被替换,所以在路由后的iptables 中使用mac 模块是没有意义的
limit
-m limit --limit 匹配速率[--burst 缓冲数量]用一定速率去匹配数据包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,要想限制的话后面要再跟一条DROP
multiport
-m multiport 端口1[,端口2,..,端口n]一次性匹配多个端口,可以区分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
注意:
必须与-p参数一起使用,如果是一段连续的端口直接使用min-port:max-port来表示即可,不必每个端口都写出后用','来分隔。上文对此有所提及。
盘点一些阻止Ping的操作
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
or
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
从iptables中移除ping操作规则
iptables -D INPUT -p icmp --icmp-type echo-request -j REJECT
You can block ping (icmp echo requests) from all hosts using this
iptables -I INPUT -j DROP -p icmp --icmp-type echo-request
限制指定来源的ip地址
iptables -I INPUT -s 192.168.10.19 -j DROP -p icmp --icmp-type echo-request
iptables -A INPUT -s x.x.x.x -p ICMP --icmp-type 8 -j ACCEPT
Now drop ICMP packets from rest
iptables -A INPUT -p ICMP --icmp-type 8 -j DROP
iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp -i eth0 -j DROP
ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP
Simplest method of disabling ping response is to add an entry in /etc/sysctl.conf file. If the Iptables flushes or stop server will start responding to ping responses again. I suggest the following entry in your /etc/sysctl.conf file
net.ipv4.icmp_echo_ignore_all = 1