0x01 簡介
iptables其實不是真正的防火牆,我們可以把它理解成一個客戶端代理,用戶通過iptables這個代理,將用戶的安全設定執行到對應的"安全框架"中,這個"安全框架"才是真正的防火牆,這個框架的名字叫 netfilter。
iptables是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。
如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器, 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。
0x02 歷史版本
Linux內核各版本集成的防火牆歷史版本:
2.0.X內核:ipfwadm
2.2.X內核:ipchains
2.4.X內核:iptables
0x03 iptables語法
3.1 基本語法
iptables(選項)(參數)
選項:
-t<表>:指定要操縱的表;
-A:向規則鏈中添加條目;
-D:從規則鏈中刪除條目;
-i:向規則鏈中插入條目;
-R:替換規則鏈中的條目;
-L:顯示規則鏈中已有的條目;
-F:清楚規則鏈中已有的條目;
-Z:清空規則鏈中的數據包計算器和字節計數器;
-N:創建新的用戶自定義規則鏈;
-P:定義規則鏈中的默認目標;
-h:顯示幫助信息;
-p:指定要匹配的數據包協議類型;
-s:指定要匹配的數據包源ip地址;
-j<目標>:指定要跳轉的目標;
-i<網絡接口>:指定數據包進入本機的網絡接口;
-o<網絡接口>:指定數據包要離開本機所使用的網絡接口。
iptables命令選項輸入順序:
iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動作
表名包括:
raw:高級功能,如:網址過濾。
mangle:數據包修改(QOS),用於實現服務質量。
net:地址轉換,用於網關路由器。
filter:包過濾,用於防火牆規則。
規則鏈名包括:
INPUT鏈:處理輸入數據包。
OUTPUT鏈:處理輸出數據包。
PORWARD鏈:處理轉發數據包。
PREROUTING鏈:用於目標地址轉換(DNAT)。
POSTOUTING鏈:用於源地址轉換(SNAT)。
動作包括:
accept:接收數據包。
DROP:丟棄數據包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址轉換。
DNAT:目標地址轉換。
MASQUERADE:IP偽裝(NAT),用於ADSL。
LOG:日志記錄。
3.2 查看現有防火牆策略
iptables -L -n
iptables -L -n --line-number #--line-number參數會顯示策略編號,該編號在刪除策略時使用
3.3 增加防火牆策略
iptables -A INPUT -s 192.168.220.0/24 -p TCP --dport 22 -j ACCEPT #開放這個網段的22端口
iptables -A INPUT -s 192.168.1.1 -p TCP --dport 22 -j ACCEPT #開放單個IP的22端口
iptables -A INPUT -p TCP --dport 22 -j DROP
說明:
1.-A代理在末尾追加,如果要在開頭插入使用-I
2.多IP使用逗號(半角)相隔,多端口添加-m multiport然后端口使用逗號(半角)相隔
3.4 修改防火牆策略
iptables -R INPUT 2 -s 192.168.1.1 -p TCP --dport 22 -j DROP
數字2是--line-nember查到的,所有參數都要寫-R不是在原策略基礎上修改而就是直接取化,所以這里的-s雖然原來就是192.168.1.1但還是要寫,不然結果就是DROP掉所有ip對22端口的連接請求
3.5 刪除防火牆策略
iptables -D INPUT 2 #2是--line-number查到的,此句會刪除第2條策略
iptables -F #此句會清空所有防火牆規則,慎用
3.6 保存防火牆規則
上邊對防火牆的修改只是臨時的,並沒有存入配置文件(/etc/sysconfig/iptables),防火牆服務重啟之后策略會退回到之前保存的策略狀態;要防火牆配置永久生效要進行保存
service iptbales save
0x04 參考鏈接
http://www.zsythink.net/archives/1199
https://www.cnblogs.com/lsdb/p/7060251.html
http://www.webkaka.com/tutorial/server/2019/030525/