iptables詳解

2024-06-28 13:19:16

字體：大中小

來源：轉載

供稿：網友

iptables詳解

Netfilter包含有三種表，三種表下共包含有五種鏈，鏈下面包含各種規則。即表包含若干鏈，鏈包含若干規則。（一）三種表為：filternat mangle

1、filter:處理與本機有關的數據包，是默認表，包含有三種鏈：inputoutput forward2、nat表：與本機無關。主要處理源與目的地址IP和端口的轉換。有三種鏈：PReroutingpostrouting output3、mangle表：用于高級路由信息包，如包頭內有更改（如tos改變包的服務類型，ttl包的生存時間，mark特殊標記）。有兩種鏈：preroutingoutput （kernel 2.4.18后又加了兩種鏈：inputforward）這種表很少使用。 （二）五種鏈1、prerouting:進入netfilter后的數據包在進入路由判斷前執行的規則。改變包。2、Input：當經過路由判斷后，要進入本機的數據包執行的規則。3、output:由本機產生，需向外發的數據包執行的規則。4、forward:經過路由判斷后，目的地不是本機的數據包執行的規則。與nat 和mangle表相關聯很高，與本機沒有關聯。5、postrouting:經過路由判斷后，發送到網卡接口前。即數據包準備離開netfilter時執行的規則。

上圖中，運行中的守護進程，是指本機。Input的包都會發到本機。本機處理后再經output 發出去。（三）數據包進入netfilter后的經過圖：1、數據包進入linux服務器入接口，接口把數據包發往netfilter，數據包就此進入netfilter。2、經prerouting處理，（如是否需要更改數據包的源IP地址等）3、數據包到路由，路由通過路由表判斷數據包的目的地。如果目的地是本機，就把數據包轉給intput處理后進入本機。如果目的地不是本機，則把數據包轉給forward處理。4、數據包通過forward處理后，再轉給postrouting處理，（是否有目標地址需要改變等），處理后數據包就出了netfilter，到linux服務器出接口，就出了linux服務器。5、如果數據包進了本機后經過處理需要外發數據包，或本機自身有數據包需要外發，就把數據包發給output鏈進行處理后，轉給postrouting處理后，出linux服務器。進入外面的花花世界。 （四）規則的執行順序當數據包進入netfilter，就會和里面的規則進行對比。規則是有順序的。先和規則1對比，如果和規則1相匹配，被規則1接受（accept），則數據將不再和后面的規則進行對比。如果不匹配，則按順序和后面的規則進行對比，直到被接受。如果所有的規則都不匹配，則進行默認策略操作，以決定數據包的去向。所以規則的順序很重要。IPTABLE主要是理解上面的內容，一些詳細參數可以見附件中的指南。 二、iptalbe語法及參數iptable [-t table] command [chain] [match][-j target]注釋：iptable [-t 表名] -命令 [鏈接] [匹配] [-j 動作/目標]（一） table (表）1、filter表：默認用filter表執行所有的命令。只操作與本機有關的數據包。2、nat表：主要用于NAT地址轉換。只有數據流的第一個數據包被這個鏈匹配，后面的包會自動做相同的處理。分為:DNAT（目標地址轉換）、SNAT（源地址轉換）、MASQUERADE（1）DNAT操作主要用在這樣一種情況，你有一個合法的IP地址，要把對防火墻的訪問重定向到其他的機子上（比如DMZ）。也就是說，我們改變的是目的地址，以使包能重路由到某臺主機。（2）SNAT 改變包的源地址，這在極大程度上可以隱藏你的本地網絡或者DMZ等。內網到外網的映射。（3）MASQUERADE的作用和SNAT完全一樣，只是計算機的負荷稍微多一點。因為對每個匹配的包，MASQUERADE都要查找可用的IP地址，而不象SNAT用的IP地址是配置好的。當然，這也有好處，就是我們可以使用通過PPP、PPPOE、SLIP等撥號得到的地址，這些地址可是由ISP的DHCP隨機分配的。3、mangle表：用來改變數據包的高級特性，一般不用。(二) command(命令）詳解1、 -A或者--append//將一條或多條規則加到鏈尾2、 -D或者--delete//從鏈中刪除該規則3、 -R或者--replace //從所選鏈中替換一條規則4、-L或者--list//顯示鏈的所有規則5、 -I或者--inset//根據給出的規則序號，在鏈中插入規則。按序號的順序插入，如是 “1”就插入鏈首6、 -X或者--delete-chain//用來刪除用戶自定義鏈中規則。必須保證鏈中的規則都不在使用時才能刪除鏈。如沒有指定鏈，將刪除所有自定義鏈中的規則。7、-F或者--flush//清空所選鏈中的所有規則。如指定鏈名，則刪除對應鏈的所有規則。如沒有指定鏈名，則刪除所有鏈的所有規則。8、-N或者--new-chain//用命令中所指定的名字創建一個新鏈。9、-P或者--policy//設置鏈的默認目標，即策略。與鏈中任何規則都不匹配的信息包將強制使用此命令中指定的策略。10、-Z或者--zero//將指定鏈中的所有規則的包字節計數器清零。（三） match 匹配分為四大類：通用匹配、隱含匹配、顯示匹配、針對非正常包的匹配1、通用匹配 無論我們使用何種協議，裝入何種擴展，通用匹配都可以使用。不需要前提條件（1） -p(小寫）或--protocol用來檢查某些特定協議。協議有TCP/UDP/ICMP三種?？捎枚禾柗珠_這三種協議的任何組合。也可用“！”號進行取反，表示除該協議外的剩下的協議。也可用all表示全部協議。默認是all，但只代表tcp/udp/icmp三種協議。$ iptable -A INPUT -p TCP,UDP$ iptable -A INPUT -p !ICMP//這兩種表示的意思為一樣的。(2) -s 或 --source以Ip源地址匹配包。根據源地址范圍確定是否允許或拒絕數據包通過過濾器?？墒褂?ldquo;！”符號。默認是匹配所有ip地址?？墒菃蝹€Ip地址，也可以指定一個網段。如：192.168.1.1/255.255.255.255表示一個地址。 192.168.1.0/255.255.255.0表示一個網段。（3） -d 或--destination用目的Ip地址來與它們匹配。與 source 的格式用法一樣（4） -i 以包進入本地所使用的網絡接口來匹配包。只能用INPUT / FORWARD/PREROUTING 三個鏈中。用在其他任何鏈中都會出錯。可使用“+” “！”兩種符號。只用一個“+"號，表示匹配所有的包，不考慮使用哪個接口。如： iptable -AINPUT -i + //表匹配所有的包。放在某類接口后面，表示所有此類接口相匹配。如：iptable -A INPUT -i eth+//表示匹配所有ethernet 接口。（5）-o 以數據包出本地所使用的網絡接口來匹配包。與-i一樣的使用方法。只能用OUTPUT / FORWARD /POSTROUTING三個鏈中。用在其他任何鏈中都會出錯。可使用“+” “！”兩種符號。（6） -f (或--fragment )用來匹配一個被分片的包的第二片或以后的部分。因一個數據包被分成多片以后，只有第一片帶有源或目標地址。后面的都不帶，所以只能用這個來匹配?？煞乐顾槠?。2、隱含匹配 這種匹配是隱含的，自動的載入內核的。如我們使用 --protocoltcp 就可以自動匹配TCP包相關的特點。分三種不同協議的隱含匹配:tcpudp icmp 2.1 tcpmatchtcp match 只能隱含匹配TCP包或流的細節。但必須有 -p tcp 作為前提條件。 （2.1.1） TCP--sport基于tcp包的源端口匹配包，不指定此項則表示所有端口。iptable -A INPUT -p TCP--sport22:80 //TCP源端口號22到80之間的所有端口。iptable -A INPUT -p TCP--sport22://TCP源端口號22到65535之間的所有端口。 （2.1.2） TCP--dport基于tcp包的目的端口來匹配包。與--sport端口用法一樣。 （2.1.3） TCP--flags匹配指定的TCP標記。iptable -p TCP --tcp-flagsSYN,FIN,ACK SYN 2.2 UDPmatch（2.1.1） UDP --sport基于UDP包的源端口匹配包，不指定此項則表示所有端口。（2.1.1） UDP --dport基于UDP包的目的端口匹配包，不指定此項則表示所有端口。 2.3 icmpmatchicmp --icmp-type根據ICMP類型包匹配。類型的指定可以使用十進制數或相關的名字，不同的類型，有不同的ICMP數值表示。也可以用“！”取反。例：iptable -A INPUT -p icmp-imcp-type8 3、顯示匹配顯示匹配必須用 -m裝載。 （1）limitmatch必須用 -m limit 明確指出?？梢詫χ付ǖ囊巹t的匹配次數加以限制。即，當某條規則匹配到一定次數后，就不再匹配。也就是限制可匹配包的數量。這樣可以防止DOS攻擊。限制方法：設定對某條規則的匹配最大次數。設一個限定值。當到達限定值以后，就停止匹配。但有個規定，在超過限制次數后，仍會每隔一段時間再增加一次匹配次數。但增加的空閑匹配數最大數量不超過最大限制次數。--limit rate最大平均匹配速率：可賦的值有'/second', '/minute', '/hour', or'/day'這樣的單位，默認是3/hour。--limit-burst number待匹配包初始個數的最大值:若前面指定的極限還沒達到這個數值,則概數字加1.默認值為5 iptable -A INPUT -m limit--limt 3/hour//設置最大平均匹配速率。也就是單位時間內，可匹配的數據包個數。 --limt 是指定隔多長時間發一次通行證。 iptable -A INPUT -mlimit --limit-burst 5 //設定剛開始發放5個通行證，也最多只可匹配5個數據包。 （2） mac match只能匹配MAC源地址?；诎腗AC源地址匹配包 iptable -A INPUT -mmac --mac-source00:00:eb:1c:24//源地址匹配些MAC地址 (3) markmatch以數據包被設置的MARK來匹配包。這個值由 MARK TARGET 來設置的。 （4） multiport match這個模塊匹配一組源端口或目標端口,最多可以指定15個端口。只能和-p tcp 或者 -p udp 連著使用。多端口匹配擴展讓我們能夠在一條規則里指定不連續的多個端口。如果沒有這個擴展，我們只能按端口來寫規則了。這只是標準端口匹配的增強版。不能在一條規則里同時用標準端口匹配和多端口匹配。三個選項：--source-port ;--destination-port ; --portiptable -A INPUT -p TCP-m multiport --source-port22,28,115iptable -A INPUT -p TCP-m multiport --destination-port22,28,115iptable -A INPUT -p TCP-m multiport --port 22,28,115 (5) state match狀態匹配擴展要有內核里的連接跟蹤代碼的協助。因為是從連接跟蹤機制得到包的狀態。這樣不可以了解所處的狀態。（6) tos match根據TOS字段匹配包，用來控制優先級。(7) ttlmatch根據IP頭里的TTL字段來匹配包。用來更改包的TTL，有些ISP根據TTL來判斷是不是有多臺機器共享連接上網。 iptables -t mangle -A PREROUTING -i eth0-j TTL --ttl-set 64 iptables -t mangle -A PREROUTING -i eth0 -jTTL --ttl-dec 1 # 離開防火墻的時候實際上TTL已經-2了，因為防火墻本身要-1一次。 iptables -t mangle -A PREROUTING -i eth0 -jTTL --ttl-inc 1 # 離開防火墻的時候不增不減，tracert就不好用了，呵呵。（8） owner match基于包的生成者（即所有者或擁有者）的ID來匹配包。owner 可以是啟動進程的用戶的ID，或用戶所在的級的ID或進程的ID，或會話的ID。此只能用在OUTPUT 中。此模塊設為本地生成包匹配包創建者的不同特征。而且即使這樣一些包（如ICMP ping應答）還可能沒有所有者，因此永遠不會匹配。--uid-owner userid如果給出有效的user id，那么匹配它的進程產生的包。--gid-owner groupid如果給出有效的group id，那么匹配它的進程產生的包。--sid-owner seessionid根據給出的會話組匹配該進程產生的包。（四） targets/jump 指由規則指定的操作，對與規則匹配的信息包執行什么動作。 1、accept這個參數沒有任何選項。指定 -j accept 即可。一旦滿足匹配不再去匹配表或鏈內定義的其他規則。但它還可能會匹配其他表和鏈內的規則。即在同一個表內匹配后就到上為止，不往下繼續。2、drop-j drop 當信息包與規則完全匹配時，將丟棄該包。不對它做處理。并且不向發送者返回任何信息。也不向路由器返回信息。3、reject與drop相同的工作方式，不同的是，丟棄包后，會發送錯誤信息給發送方。 iptables -A FORWARD -p TCP --dport 22 -jREJECT --reject-with icmp-net-unreachable4、DNAT用在prerouting鏈上。做目的網絡地址轉換的。就是重寫目的的IP地址。如果一個包被匹配，那么和它屬于同一個流的所有的包都會被自動轉換。然后可以被路由到正確的主機和網絡。也就是如同防火墻的外部地址映射。把外部地址映射到內部地址上。iptables -t nat -APREROUTING -d 218.104.235.238 -pTCP --dport 110,125 -jDNAT --to-destination 192.168.9.1//把所有訪問218.104.235.238地址 110.125端口的包全部轉發到192.168.9.1上。--to-destination //目的地重寫5、SNAT用在nat 表的postrouting鏈表。這個和DNAT相反。是做源地址轉換。就是重寫源地址IP。常用在內部網到外部網的轉換。--to-sourceiptables -t nat POSTROUTING -o eth0 -p tcp-j SNAT --to-source 218.107.248.127//從eth0接口往外發的數據包都把源地址重寫為218.107.248.127******************** iptables -t nat -A PREROUTING -p tcp -d15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.9 #將所有的訪問15.45.23.67:80端口的數據做DNAT發到192.168.1.9:80如果和192.168.1.9在同一內網的機器要訪問15.45.23.67，防火墻還需要做設置，改變源IP為防火墻內網IP192.168.1.1。否則數據包直接發給內網機器，對方將丟棄。 iptables -t nat -A POSTROUTING -p tcp --dst15.45.23.67 --dport 80 -j SNAT --to-source 192.168.1.1 #將所有的訪問15.45.23.67:80端口的數據包源IP改為192.168.1.1如果防火墻也需要訪問15.45.23.67:80，則需要在OUTPUT鏈中添加，因為防火墻自己發出的包不經過PREROUTING。 iptables -t nat -A OUTPUT --dst 15.45.23.67--dport 80 -j DNAT --to-destination 192.168.1.9********************6、MASQUERADEmasquerade 的作用和 SNAT的作用是一樣的。區別是，他不需要指定固定的轉換后的IP地址。專門用來設計動態獲取IP地址的連接的。MASQUERADE的作用是，從服務器的網卡上，自動獲取當前ip地址來做NAT如家里的ADSL上網，外網的IP地址不是固定的，你無法固定的設定NAT轉換后的IP地址。這時就需要用masquerade來動態獲取了。iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -jmasquerade//即把192.168.1.0 這個網段的地址都重寫為動態的外部IP地址。7、REDIRECT只能在NAT表中的PREROUTING OUTPUT 鏈中使用在防火墻所在的機子內部轉發包或流到另一個端口。比如，我們可以把所有去往端口HTTP的包REDIRECT到HTTPproxy（例如squid），當然這都發生在我們自己的主機內部。--to-portsiptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8080不使用這個選項，目的端口不會被改變。指定一個端口，如--to-ports 8080指定端口范圍，如--to-ports 8080-80908、RETURN顧名思義，它使包返回上一層，順序是：子鏈——>父鏈——>缺省的策略。具體地說，就是若包在子鏈中遇到了RETURN，則返回父鏈的下一條規則繼續進行條件的比較，若是在父鏈（或稱主鏈，比如INPUT）中遇到了RETURN，就要被缺省的策略（一般是ACCEPT或DROP）操作了。（譯者注：這很象C語言中函數返回值的情況）9、MIRROR顛倒IP頭中的源地址與目的地址，再轉發。10、LOG在內核空間記錄日志，dmesg等才能看。11、ULOG在用戶空間記錄日志。（五）IP轉發功能打開轉發IP功能（IP forwarding）：echo "1" > /proc/sys/net/ipv4/ip_forward如果使用PPP、DHCP等動態IP，需要打開：echo "1" > /proc/sys/net/ipv4/ip_dynaddr本文轉載自http://www.server110.com/linux/201310/2242.html

上一篇：mysql高可用架構之mysql-mmm配置詳解

下一篇：統計和分析系統性能【IO CPU 內存】的工具集合