專案介紹

iptables是Linux系統(tǒng)下的免費套件過濾防火牆軟體，可實現(xiàn)封包過濾、封包重定向和網路位址轉換等功能。它是一個高效且靈活的解決方案，可取代昂貴的商業(yè)防火牆。 iptables具有強大的配置選項和規(guī)則設置，使用戶能夠根據自身需求對網路流量進行精細控制，提高網路安全性和效能。

iptables的規(guī)則其實是指網路管理員預先定義的條件，則規(guī)則一般的定義為「如果封包頭符合這樣的條件，就這樣處理這個封包」。規(guī)則儲存在核心空間的資訊包過濾表中，這些規(guī)則分別指定了來源位址、目的位址、傳輸協(xié)定（如TCP、UDP、ICMP）和服務類型（如HTTP、FTP和SMTP）等。當封包與規(guī)則相符時，iptables會根據規(guī)則所定義的方法來處理這些封包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火牆的主要工作就是新增、修改和刪除這些規(guī)則。

iptables內建了4個表，分別是filter表、nat表、mangle表和raw表，分別用於實現(xiàn)套件過濾、網路位址轉換、套件重構（修改）和資料追蹤處理。而每一條鏈其實只是眾多規(guī)則中的一個檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當一個封包到達一個鏈時，iptables就會從鏈中第一條規(guī)則開始檢查，看該封包是否符合規(guī)則所定義的條件。如果滿足，系統(tǒng)就會根據該條規(guī)則所定義的方法處理該封包；否則iptables將繼續(xù)檢查下一條規(guī)則。如果該封包不符合鏈中任一條規(guī)則，iptables就會根據該鏈預先定義的預設策略來處理封包。

總的來說，iptables是一個功能強大的工具，用於配置Linux系統(tǒng)上的防火牆和網路位址轉換功能。

#替換系統(tǒng)防火牆:?在Centos7系統(tǒng)中預設防火牆管理工具不是iptables,當需要使用時則需要自行安裝替換.

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld

[root@localhost ~]# yum install -y iptables iptables-services

[root@localhost ~]# systemctl restart iptables
[root@localhost ~]# systemctl enable iptables

查詢完整防火牆規(guī)則:?使用 -L -n –line-numbers 參數(shù)檢視防火牆預設設定規(guī)則.

[root@localhost ~]# iptables -L -n --line-numbers
[root@localhost ~]# iptables -F # 臨時清空規(guī)則
Chain INPUT (policy ACCEPT)
numtarget prot opt source destination 
1ACCEPT all--0.0.0.0/00.0.0.0/0state RELATED,ESTABLISHED
2ACCEPT icmp --0.0.0.0/00.0.0.0/0 
3ACCEPT all--0.0.0.0/00.0.0.0/0 
4ACCEPT tcp--0.0.0.0/00.0.0.0/0state NEW tcp dpt:22
5REJECT all--0.0.0.0/00.0.0.0/0reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
numtarget prot opt source destination 
1REJECT all--0.0.0.0/00.0.0.0/0reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
numtarget prot opt source destination

設定防火牆預設拒絕:?設定預設拒絕規(guī)則,把 INPUT 鏈設定為預設拒絕,也就是拒絕所有連線請求.

[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -L -n --line-numbers

Chain INPUT (policy DROP) #這里可以看出INPUT鏈已變成DROP
numtarget prot opt source destination 

Chain FORWARD (policy ACCEPT)
numtarget prot opt source destination 

Chain OUTPUT (policy ACCEPT)
numtarget prot opt source destination

開啟防火牆ICMP回顯:?在預設規(guī)則拒絕的情況下,設定開啟ICMP測試,允許主機ping通.

[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@localhost ~]# iptables -L -n --line-numbers

Chain INPUT (policy DROP)
numtarget prot opt source destination 
1ACCEPT icmp --0.0.0.0/00.0.0.0/0 

Chain FORWARD (policy ACCEPT)
numtarget prot opt source destination 

Chain OUTPUT (policy ACCEPT)
numtarget prot opt source destination

允許客戶SSH遠端連線:?在預設拒絕的情況下,設定開啟22號連接埠,允許遠端ssh連線至本機.

[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --sport 22 -j ACCEPT

[root@localhost ~]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
numtarget prot opt source destination 
1ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22
Chain OUTPUT (policy ACCEPT)
numtarget prot opt source destination 
1ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp spt:22

刪除指定規(guī)則:?在預設拒絕的情況下,刪除INPUT鏈,第2條資料,刪除ICMP規(guī)則.

[root@localhost ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
numtarget prot opt source destination 
1ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22
2ACCEPT icmp --0.0.0.0/00.0.0.0/0 

[root@localhost ~]# iptables -D INPUT 2
[root@localhost ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
numtarget prot opt source destination 
1ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22

指定允許網段存取:?在預設拒絕的情況下,設定只允許192.168.1.0/24網段的主機存取本機的22號連接埠.

[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -s 192.168.1.0/24 -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -L -n --line-numbers

Chain INPUT (policy DROP)
numtarget prot opt source destination 
1ACCEPT tcp--192.168.1.0/24 0.0.0.0/0tcp dpt:22

Chain OUTPUT (policy ACCEPT)
numtarget prot opt source destination 
1ACCEPT tcp--192.168.1.0/24 0.0.0.0/0tcp spt:22

拒絕存取指定連接埠:?在INPUT規(guī)則鏈中,新增拒絕所有人存取本機的8888號連接埠.

[root@localhost ~]# iptables -I INPUT -p tcp --dport 8888 -j REJECT
[root@localhost ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
numtarget prot opt source destination 
1REJECT tcp--0.0.0.0/00.0.0.0/0tcp dpt:8888 reject-with icmp-port-unreachable
2ACCEPT tcp--192.168.1.0/24 0.0.0.0/0tcp dpt:22

拒絕存取指定主機網段的連接埠:?在INPUT規(guī)則鏈中,新增拒絕192.168.1.20主機存取本機的80埠.

[root@localhost ~]# iptables -I INPUT -p tcp -s 192.168.1.20 --dport 80 -j REJECT
[root@localhost ~]# iptables -L -n --line-numbers

Chain INPUT (policy DROP)
numtarget prot opt source destination 
1REJECT tcp--192.168.1.20 0.0.0.0/0tcp dpt:80 reject-with icmp-port-unreachable
2REJECT tcp--0.0.0.0/00.0.0.0/0tcp dpt:8888 reject-with icmp-port-unreachable
3ACCEPT tcp--192.168.1.0/24 0.0.0.0/0tcp dpt:22

拒絕存取指定連接埠範圍:?在INPUT規(guī)則鏈中,新增拒絕所有主機存取本機1000-2000連接埠.

[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:2000 -j REJECT
[root@localhost ~]# iptables -A INPUT -p udp --dport 1000:2000 -j REJECT
[root@localhost ~]# iptables -L -n --line-numbers

Chain INPUT (policy DROP)
numtarget prot opt source destination 
1REJECT tcp--192.168.1.20 0.0.0.0/0tcp dpt:80 reject-with icmp-port-unreachable
2REJECT tcp--0.0.0.0/00.0.0.0/0tcp dpt:8888 reject-with icmp-port-unreachable
3ACCEPT tcp--192.168.1.0/24 0.0.0.0/0tcp dpt:22
4REJECT tcp--0.0.0.0/00.0.0.0/0tcp dpts:1000:2000 reject-with icmp-port-unreachable
5REJECT udp--0.0.0.0/00.0.0.0/0udp dpts:1000:2000 reject-with icmp-port-unreachable

SNAT-來源位址轉換<內網對應到公網>:?從本地發(fā)出的封包,經過SNAT後,會自動偽裝成公網的IP,並以公網IP存取指定服務.

#例：將本地 192.168.1.1 的請求自動偽裝成外網地址 59.110.167.234
[root@localhost ~]# iptables -t nat -A POSTROUTING -o ens32 -s 192.168.1.1 -j SNAT --to-source 59.110.167.234

-o#指定外網接口,此處為ens32
-s#指定內網口地址,此處為192.168.1.1
--to-source #外網口的地址

DNAT-目標位址轉換<公網對應到內網>:?從公網接收的封包,經過DNAT後,會自動將封包轉到指定的內網主機.

#例：將請求 59.110.167.234 且端口為 80 的數(shù)據包,自動映射到內網 192.168.1.10
[root@localhost ~]# iptables -t nat -A PREROUTING -i ens32 -d 59.110.167.234 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10

--to-destination #內網口地址,此處為192.168.1.1
-i #綁定外網接口,此處為ens32
-d #外網地址,此處為8.8.8.8
-dport #內網端口,此處為80

限制實體請求連線數(shù):?iptables可以利用connlimit模組實作限制相同IP針對某個連接埠的連線數(shù). 允許限制每個客戶端IP的並發(fā)連線數(shù),即每個IP同時連線到一個伺服器個數(shù),也可以限制內網用戶的網路使用,對伺服器而言則可以限制每個IP發(fā)起的連線數(shù).

# 限制同一IP同時最多100個http連接
[root@localhost ~]# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
[root@localhost ~]# iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT

# 只允許每組C類IP同時100個http連接
[root@localhost ~]# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT

# 只允許每個IP同時5個80端口轉發(fā),超過的丟棄
[root@localhost ~]# iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

# 限制某IP最多同時100個http連接
[root@localhost ~]# iptables -A INPUT -s 192.168.1.100 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

# 限制每IP在一定的時間(比如60秒)內允許新建立最多100個http連接數(shù)
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT

設定基本防火牆規(guī)則:?我們可以在新安裝的系統(tǒng)中依序執(zhí)行下方程式碼,來設定一個基本的防火牆規(guī)則.

# 刪除已有規(guī)則
iptables --delete-chain
iptables --flush

# 默認禁止進,允許出,允許回環(huán)網卡
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# 允許已建立的或相關連接的通行
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 限制80端口443端口的單個IP的最大連接數(shù)為10
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
iptables -I INPUT -p tcp --dport 443 -m connlimit --connlimit-above 10 -j DROP

# 允許80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的連接
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT

# 允許SSH端口的連接,放行SSH端口
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

# 允許ping
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

# 放行允許DNS解析端口
iptables -A OUTPUT -p udp -m udp -d 8.8.8.8 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp -d 114.114.114.114 --dport 53 -j ACCEPT

# 保存規(guī)則
iptables-save

生產常用設定規(guī)則:?下面是收藏的一些生成環(huán)境下常用規(guī)則的配置,一般情況下配置這些規(guī)則足夠使用.

 filter -P INPUT DROP #設置默認規(guī)則,拒絕所有
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT#放行80口
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT #放行22口
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT#放行22口

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT#放行80端口
iptables -t filter -I INPUT -p tcp --dport 443-j ACCEPT#插入在頂端一條放行443端口的規(guī)則
iptables -t filter -I INPUT 2 -p tcp --dport 443 -j ACCEPT #在第二列插入一條443放行規(guī)則
iptables -t filter -A INPUT -p tcp --dport 80 -j DROP#丟棄80端口的請求
iptables -I INPUT 2 -p icmp -j DROP#丟棄ICMP請求
iptables -t filter -D INPUT 3#刪除第三條規(guī)則

iptables -A FORWARD -s 192.168.1.10 -j REJECT#拒絕IP的轉發(fā)請求
iptables -I INPUT -s 10.20.30.0/24 -j DROP #丟棄IP網段的入站請求
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP#丟棄從eth1網卡流入,且地址匹配的數(shù)據包
iptables -A INPUT -o eth0 -s 192.168.1.0/24 -j DROP#丟棄從eth0網卡流出,且地址匹配的數(shù)據包
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT #放行20-21端口的數(shù)據包

iptables -I INPUT -p tcp -m multiport --dport 80-90,85 -j ACCEPT
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.100 -j ACCEPT

以上是Linux防火牆之-iptables詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！