一、iptables编写规则
1、命令格式
2、常用选项说明
[-t 表名]:该规则所操作的哪个表,可以使用filter、nat等,如果没有指定则默认为filter
-A:新增一条规则,到该规则链列表的最后一行
-I:插入一条规则,原本该位置上的规则会往后顺序移动,没有指定编号则为1
-D:从规则链中删除一条规则,要么输入完整的规则,或者指定规则编号加以删除
-R:替换某条规则,规则替换不会改变顺序,而且必须指定编号。
-P:设置某条规则链的默认动作
-nL:-L、-n,查看当前运行的防火墙规则列表
chain名:指定规则表的哪个链,如INPUT、OUPUT、FORWARD、PREROUTING等
[规则编号]:插入、删除、替换规则时用,--line-numbers显示号码
[-i|o 网卡名称]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出
[-p 协议类型]:可以指定规则应用的协议,包含tcp、udp和icmp等
[-s 源IP地址]:源主机的IP地址或子网地址
[--sport 源端口号]:数据包的IP的源端口号
[-d目标IP地址]:目标主机的IP地址或子网地址
[--dport目标端口号]:数据包的IP的目标端口号
<-j 动作>:处理数据包的动作,包括ACCEPT、DROP、REJECT等
3、应用语法及举例
创建一条自定义的空规则链
语法:iptables [-t table] -N chain
举例:# iptables -t filter -N testchain
删除一条自定义的空规则链
语法:iptables [-t table] -X chain
举例:# iptables -t filter -X testchain
为自定义的链修改名子
语法:iptables [-t table] -E old-chin-name new-chain-name
举例:# iptables -t filter -E testchain chain
为链指定默认策略,修改默认的属性
语法:iptables [-t table] -P chain—name target
举例:# iptables -t filter -P FORWARD DROP
清空链中的规则,操作前将规则做好备份,注意,规则是有编号,在链中自上而下,从1开始
语法: iptables [-t table] -F [chain [rulenum]] [options...]
举例:# iptables -t filter -F INPUT
列出表中的所有规则
语法: iptables [-t table] -L [chain [rulenum]] [options...]
-n:数字格式显示ip和port
-v:显示信息
-x:exactly:精确值,不执行单位换
--line-nambers:显示各规则的行号
[root@example.com ~]# iptables -t filter -nvLChain INPUT (policy ACCEPT 292 packets, 22404 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- eth0 * 192.168.0.0/16 192.168.1.8Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 36 packets, 2688 bytes) pkts bytes target prot opt in out source destination 141 14166 ACCEPT all -- * * 192.168.1.8 0.0.0.0/0
pkts:packets,被本规则所有匹配到的报文的个数
baytes:被本规则所匹配到的所有报文的大小子和,单位是字节,会执行单位换算
target:目标,即处理机制
port:协议一般为(TCP|UDP|ICMP)
opt:可选项
in:数据包的流入端口
out:数据包的流出接口
scource:源地址
destination:目标地址
把规则的计数器清零
语法: iptables [-t table] -Z [chain [rulenum]] [options...]
举例:# iptables -t filter -Z
附加/删除一条规则
语法:iptables [-t table] {-A|-D} chain rule-specification
说明:rule-specification :匹配条件 -j 处理机制包括ACCEPT、DROP、REJECT等
通用匹配条件:
-s 匹配原地址,可以IP,也可以网络地址:可以使用!操作符取反,!172.168.0.0/16 相当于 --src,或 --source
-d 匹配目标地址,可以IP,也可以网络地址:可以使用!操作符取反,!172.168.0.0/16
-p 匹配协议,通常只能使用{TCP|UDP|ICMP}三者之一
-i 数据报文流入的接口,通常只用于INPUT,FORWARD和PREROUTING
-o 数据报文流出的接口,通常只用OUTPUT,FORWARD和POSTROUTING
# iptables -t filter -A OUTPUT -s 192.168.1.8 -j ACCEPT
# iptables -A INPUT -i eth0 -s 192.168.0.0/16 -d 192.168.1.8 -j ACCEPT
# iptables -A INPUT -i eth0 -d 192.168.1.8 -p tcp -j ACCEPT
# iptables -A INPUT -i eth0 -d 192.168.1.8 -p icmp -j REJECT
删除一条规则
说明:在使用前最好用--line-number 选项列出行号,然后根据行号进行删除,当一条被删除,另外的下一条会被补上。不要执行多次删除行号的操作,这是由于在删除一行以后该行的下一行的行号会自行减一,若在执行一遍删除就会把刚上来的一行给删除。
语法: iptables [-t table] -D chain rulenum
举例:# iptables -D INPUT 2
指定位置插入规则
语法:iptables [-t table] -I chain [rulenum] rule-specification
举例:# iptables -I INPUT -i lo -j ACCEPT //不加行号就是插入到最前端
# iptables -I INPUT 2 -i lo -j ACCEPT //规则插入到指定行号
替换规则(覆盖指定规则)
语法:iptables [-t table] -R chain rulenum rule-specification
举例:# iptables -R INPUT 1 -i lo -j DROP //替换规则一定要是正确
显示指定链上的规则添加命令
语法:iptables [-t table] -S [chain [rulenum]]
举例:# iptables -S //显示所有链上的规则
# iptables -S INPUT //只显示INPUT链上的规则
# iptables -S INPUT 3 //显示INPUT链上第三条规则
4、扩展匹配条件之隐含扩展及举例
使用-p {tcp|udp|icmp}指定某特定协议后,自动能够对协议进行的扩展
-p tcp
--dport m[-n],匹配的目标端口,可以是连续的多个端口,可以取反
--sport:m[-n],匹配的源端口,可以是连续的多个端口,可以取反
--tcp-flags (常用参数:urg psh rst syn ack fin ALL NONE)
-p udp
--dport m[-n],匹配的目标端口,可以是连续的多个端口,可以取反
--sport:m[-n],匹配的源端口,可以是连续的多个端口,可以取反
-p icmp
--icmp-type (0:ping响应、8:ping请求)
放行来自于192.168.0.0/16网络的主机对本机192.168.1.8的ssh服务的请求:
# iptables -t filter -A INPUT -s 192.168.0.0/16 -d 192.168.1.8 -p tcp --dport 22 -j REJECT
# iptables -t filter -A OUTPUT -s 192.168.1.8 -d 192.168.0.0/16 -p tcp --sport 22 -j REJECT
清除tcp报头所有标志位全为1或0的报文,这种为恶意访问:
# iptables -A -p tcp --tcp-flags ALL ALL -j DORP
# iptables -A -p tcp --tcp-flags ALL NONE -j DORP
放行本机的tftp服务:
# iptables -A INPUT -s 192.168.0.0/16 -d 192.168.1.8 -p udp --dport 69 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -d 192.168.0.0/16 -p udp --sport 69 -j ACCEPT
放行本机的DNS服务:
# iptables -A INPUT -s 192.168.0.0/16 -d 192.168.1.8 -p udp --dport 53 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -d 192.168.0.0/16 -p udp --sport 53 -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p udp --dport 53 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p udp --sport 53 -j ACCEPT
# iptables -A INPUT -s 192.168.0.0/16 -d 192.168.1.8 -p tcp --dport 53 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -d 192.168.0.0/16 -p tcp --sport 53 -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p tcp --dport 53 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 53 -j ACCEPT
放行ping其他主机:
# iptables -A OUTPUT -s 192.168.1.8 -p icmp --icmp-type 8 -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p icmp --icmp-type 0 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p icmp --icmp-type 0 -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p icmp --icmp-type 8 -j ACCEPT
5、扩展匹配条件之显式扩展
说明:必须要明确指定的扩展模块
语法规则:-m 扩展模块名称 --专用选项1 --专用选项2
multiport:多端口匹配,一次指定多个离散端口,可以取反
--source-ports --sport ports{port1 port2}
--destination-ports, --dports
--ports
将本机的ssh和web服务开启:
# iptables -I INPUT -d 192.168.1.8 -p tcp -m multiport --dports 22,80 -j ACCEPT
# iptables -I OUTPUT -s 192.168.1.8 -p tcp -m multiport --sports 22,80 -j ACCEPT
iprange:ip地址服务
[!] --src-range from [-to]
[!] --dst-range from [-to]
将本机的telnet服务仅允许192.168.1.1-192.168.1.88网段的主机能访问:
# iptables -A INPUT -d 192.168.1.8 -p tcp --dport 23 -m iprange --src-range 192.168.1.1-192.168.1.88 -j ACCEPT
# iptables -A INPUT -s 192.168.1.8 -p tcp --sport 23 -m iprange --dst-range 192.168.1.1-192.168.1.88 -j ACCEPT
time :指定时间范围
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
[!] --weekdays day[,day....]
将本机的901端口在每周一到周五的早上08:00-晚上18:00开启:
# iptables -A INOUT -d 192.168.1.8 -p tcp --dport 901 -m time --weekdays Mob,Tus,Wed,Thu,FrI --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 901 -j ACCEPT
string :字符串匹配
--alog {bm|kmp} :字符匹配查找时使用的算法
--string “STRING”:要查找的字符串
--hex-string "HEX-STRING" 要查找的字符,先编码成16进制格式
将页面含有字母bols页面DROP:
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 80 -m string --algo kmp --string "bols" -j DROP
connlimit:每IP对指定服务的最大并发连接数
[!] --connlimit-above [n]
限定访问web服务器页面的最带请求不能超过5个:
# iptables -I INPUT -d 192.168.1.8 -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
limit:报文速率控制
--limit #[/second|/minute|/hour|/day]默认每小时三个
--limit-burst #初始峰值
设定别人ping主机每秒钟次数为2次,峰值不能超过5次:
# iptables -I INPUT -d 192.168.1.8 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -j ACCEPT
state:状态追踪
--state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态
NEW:该包想要开始一个连接(重新连接或将连接重定向)。
RELATED:该包是属于某个已经建立的连接所建立的新连接。例如:FTP的数据传输连接就是控制连接所 RELATED出来的连接。--icmp-type 0 ( ping 应答) 就是--icmp-type 8 (ping 请求)所RELATED出来的。
ESTABLISHED :只要发送并接到应答,一个数据连接从NEW变为ESTABLISHED,而且该状态会继续匹配这个连接的后续数据包。
INVALID:数据包不能被识别属于哪个连接或没有任何状态比如内存溢出,收到不知属于哪个连接的ICMP错误信息,一般应该DROP这个状态的任何数据。
应用场景:我们知道服务器的80端口是提供web服务的,一般客户端连接服务端时的状态为NEW或者ESTABLISHED,而服务端响应服务时的状态为ESTABLISHED,现在有一种***叫反弹***,(其工作原理为:其驻留在用户计算机里的一段服务程序,而***者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦***者所掌握的客户端程序发出请求,反弹***便和他连接起来,将用户的信息窃取出去。)但这种***的特点就是服务器端响应客户端的状态为NEW,而不是ESTABLISHED,基于这种原理我们就可以将响应状态为ESTABLISHED的端口服务给DROP掉。但是一定要注意当使用此模块时会消耗一定的内存空间,若服务器的响应请求很多就不建议使用。特别是反向代理的服务器。
当请求本机的22、80端口时只开启 NEW,ESTABLISHED两种状态,而本机响应客户端是之开启ESTABLISHED状态,同时开启本机的ping请求,但是其每秒响应2次,峰值为5次:
# iptables -A INPUT -d 192.168.1.8 -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP# iptables -A INPUT -d 192.168.1.8 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
优化上例的规则:
# iptables -I INPUT -d 192.168.1.8 ! -p icmp -m state --state ESTABLISHED -j ACCEPT
# iptables -I INPUT 2 -d 192.168.1.8 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
# iptables -D INPUT 3
# iptables -D INPUT 4
# iptables -I OUTPUT -s 192.168.1.8 -m state --state ESTABLISHED -j ACCEPT
# iptables -D OUTPUT 2
[root@example.com ~]# iptables -nvLChain INPUT (policy DROP 66 packets, 5148 bytes) pkts bytes target prot opt in out source destination 172 10448 ACCEPT !icmp -- * * 0.0.0.0/0 192.168.1.8 state ESTABLISHED 2 120 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.8 multiport dports 22,80 state NEW Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 499 61149 ACCEPT all -- * * 192.168.1.8 0.0.0.0/0 state ESTABLISHED
同时还可以自定义个链,把这个链应用到上例中:
# iptables -t filter -N clean_in
# iptables -A clean_in -d 192.168.1.8 -p tcp --tcp-flags ALL ALL -j DROP# iptables -A clean_in -d 192.168.1.8 -p tcp --tcp-flags ALL NONE -j DROP# iptables -A clean_in -d 192.168.255.255 -p icmp -j DROP # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP# iptables -A clean_in -d 192.168.1.8 -m state --state INVALID -j DROP
# iptables -A clean_in -d 192.168.1.8 -j RETURN
# iptables -I INPUT -d 192.168.1.8 -j clean_in
注意:前面我们已经看了state模块的安全机制很不错,但是要注意若使用state模块一般尽量不要用在一个繁忙的服务器上,特别是反向代理服务器。这是因为使用state模块会占用一定的系统资源,下面在给出使用state模块是一些建议:
对于进入状态为ESTABLISHED都应该放行
对于返回状态为ESTABLISHED都应该放行
严格检查进入的状态为NEW的链接
所有状态为INVALID都应该拒绝
举例:如何放行工作于被动模式下的FTP服务
# iptables -A INPUT -d 192.168.1.8 -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 22 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -d 192.168.1.8 -p tcp --dport 21 -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp --sport 21 -j ACCEPT
# iptables -A INPUT -d 192.168.1.8 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.1.8 -p tcp -m state --state ESTABLISHED -j ACCEPT
在开启ftp服务时还要将其相关模块加载至内核中,下面是手动加载,重启后会丢失:
[root@example.com ~]# modprobe ip_nat_ftp[root@example.com ~]# modprobe ip_conntrack_ftp
也可以写入配置文件中,并把配置文件定义在/etc/rc.local中,来开机自动加载:
[root@example.com ~]# vim /etc/sysconfig/iptables-configIPTABLES_MODULES="ip_nat_ftp ip_conntraack_ftp"
下面是将上面的规则进行优化的一种方法:
# iptables -I INPUT -d 192.168.1.8 -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -D INPUT 4
# iptables -I INPUT 2 -d 192.168.1.8 -p tcp -m multiport --dports 21,22,80 -m state --state NEW -j ACCEPT
# iptables -D INPUT 3
# iptables -D INPUT 3
# iptables -I OUTPUT -s 192.168.1.8 -m state --state ESTABLISHED -j ACCEPT
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
扩展学习
在上面的state模块中还有下面一些其性能相关的配置文件:
/proc/sys/net/nf_conntrack_max:调整连接追踪功能所能容纳的最大连接数,因此,建议按需调大此值
/proc/net/nf_conntrack:记录了当前追踪的所有连接
/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established:定义了连接的超时时间
6、总结
由于在写iptables规则是保存在内存中,若机器重启或者iptables服务重启均会导致规则的丢失,下面就是讲如何保存及生效规则:
第一种:service iptables save ,规则会被保存至/etc/sysconfig/iptables文件中, 默认若在此启动iptables时也会读取此文件中的内容生成此文件指定的规则。
第二种: iptables-save > /path/to/some_rulefile 保存iptables至别的位置 ,若想在次载入规则就使用iptables-restore < /path/to/some_rulefile 从自定义的位置读取并使之生效。
我们在写iptables规则时一般有两种总体方针,第一、通即定义白名单,默认为堵,只对能识别的进行放行,第二、堵即定义黑名单,默认为通,只对能识别的进行阻截。上面两种在日常使用时最好使用默认为堵,设置白名单,这样做的好处是能根据自己的需求灵活定义规则,但是最大的劣势就是一旦自己不小心清空规则或者规则定义错误,那么就不能通过ssh连接服务器,遇到这种情况只有两种方法,要么在写规则时执行一个定时任务,用来清理刚才定义的内容。还有就是让人到机房把机器重启。若两者都不行就要看自己的人品了你放服务器的机房突然断电。最后在写规则时最好将控制强的放在前面,应用访问频繁的也要放在前面,这要做能节约系统资源。