首页 > 系统管理 > Iptables > Iptables理论详解
2015
02-20

Iptables理论详解

前言

IPtables应该对于每一个玩linux的人都不陌生,但是对于初学者来说对于它还是有点吃力,所以我在这里就详细聊聊Iptables这个话题。

一、IPtables框架图

04174645_z6aT

1 ?当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。

2 ? 如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROTING链输出。

3 ?如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

二、IPtables的表和链

表:

Filter nat mangle raw

链:

PREROUTING INPUT FORWARD OUTPUT POSTROUTING

我们在看一张图说明一下表和链的对应关系

fd039245d688d43f78fd6b9a7c1ed21b0ef43b06

ok,看到这张图我相信大家都明白了他们了对应关系

三、IPtables语法介绍

iptables定义规则的方式比较复杂:

格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

-t table :3个filter nat mangle

COMMAND:定义如何对规则进行管理

chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的

CRETIRIA:指定匹配标准

 

-j ACTION :指定如何进行处理

 

比如:不允许172.16.0.0/24的进行访问dns服务。

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp –dport 53 -j DROP

当然你如果想拒绝的更彻底:

iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp –dport 53 -j REJECT

 

iptables -L -n -v #查看定义规则的详细信息

 

四:详解COMMAND

4.1、链管理命令(这都是立即生效的)

-P :设置默认策略的(设定默认门是关着的还是开着的)

iptables?-P?INPUT?(DROP|ACCEPT)??默认是关的/默认是开的

比如:

iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。

 

-F: FLASH,清空规则链的(注意每个链的管理权限)

#清空nat表中的PREROUTING的规则
iptables?-t?nat?-F?PREROUTING?
#清空nat表的所有链
iptables?-t?nat?-F

 

-N:NEW 支持用户新建一个链

-X: 用于删除用户自定义的空链

使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了

-R:用来Rename chain主要是用来给用户自定义的链重命名

-E oldname newname 修改链名

-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)

iptables -Z :清空file表中的链,如果要清空nat表需要 IPtables -t nat -Z

 

 

4.2、规则管理命令

-A:追加,在当前链的最后新增一个规则

-I num : 插入,把当前规则插入为第几条。

-I 3 :插入为第三条

-R num:Replays替换/修改第几条规则

格式:iptables -R 3 …………

-D num:删除,明确指定删除第几条规则

4.3、查看管理命令 “-L”

?附加子命令

?-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。

?-v:显示详细信息

?-vv

?-vvv :越多越详细

?-x:在计数器上显示精确值,不做单位换算

?–line-numbers : 显示规则的行号

?-t nat:显示所有的关卡的信息

 

五、详解匹配标准

5.1、通用匹配

源地址目标地址的匹配

?-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP

IP | IP/MASK | 0.0.0.0/0.0.0.0

而且地址可以取反,加一个“!”表示除了哪个IP之外

?-d:表示匹配目标地址

?-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)

?-i eth0:从这块网卡流入的数据

流入一般用在INPUT和PREROUTING上

?-o eth0:从这块网卡流出的数据

流出一般在OUTPUT和POSTROUTING上

5.2、扩展匹配

隐含扩展:对协议的扩展

-p tcp :TCP协议的扩展。一般有三种扩展(tcp,udp,icmp)

–dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如

–dport 21 ?或者 –dport 21-23 (此时表示21,22,23)

–sport:指定源端口

–tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)

对于它,一般要跟两个参数:

1.检查的标志位

2.必须为1的标志位

–tcpflags syn,ack,fin,rst syn ? = ? ?–syn

表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn

-p udp:UDP协议的扩展

–dport

–sport

-p icmp:icmp数据报文的扩展

–icmp-type:

禁ping的时候会用到

echo-request(请求回显),一般用8 来表示

所以 –icmp-type 8 匹配请求回显数据包

echo-reply (响应的数据包)一般用0来表示

显式扩展(-m)

扩展各种模块

-m multiport:表示启用多端口扩展

之后我们就可以启用比如 –dports 21,23,80

-m limit 限制速率
–limit 20/min #每分 20 个
–limit-burst 2 #允许收集多少个令牌桶

-m string?? 字符串匹配

–algo bm|kmp 指定算法

-m iprange: 指 定 匹 配 的 IP 地 址 范 围 , 如
172.16.100.1-172.16.109.254

-m iprange –src-range –dst-range

-m time 指定时间
–datestart –datestop
–timestart –timestop
–weekdays –monthdays

看到这些扩展选项的时候,感觉到IPtables的强大了吧。当我遇到DDos的攻击的时候可以使用IPtables限速这无疑也是保护服务器的一种方式。

六、详解-j ACTION

常用的ACTION:

DROP:悄悄丢弃 一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表

REJECT:明示拒绝

ACCEPT:接受

custom_chain:转向一个自定义的链

DNAT

SNAT

MASQUERADE:源地址伪装

REDIRECT:重定向:主要用于实现端口重定向

MARK:打防火墙标记的

RETURN:返回

在自定义链执行完毕后使用返回,来返回原规则链。

到此IPtables的理论知识就说完了,后续博客就跟进一些IPtables的使用样例,如果在理解的过程中有什么问题,请留言!

 




最后编辑:
作者:tshare365
这个作者貌似有点懒,什么都没有留下。
捐 赠您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请狠狠点击

留下一个回复