1、iptables 规则说明
1.1、iptables 规则组成
- 规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理,规则在链接上的次序即为其检查时的生效次序;
- 匹配条件:默认为与条件,同时满足
- 基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
- 扩展匹配:通过复杂高级功能匹配
- 处理动作:称为target,跳转目标
- 内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG…
- 自定义处理动作:自定义chain,利用分类管理复杂情形
- 规则要添加在链上,才生效;添加在自定义链上不会自动生效
- 白名单:只有指定的特定主机可以访问,其它全拒绝
- 黑名单:只有指定的特定主机拒绝访问,其它全允许,默认方式
1.2、iptables规则添加时考量点
- 要实现哪种功能:判断添加在哪张表上
- 报文流经的路径:判断添加在哪个链上
- 报文的流向:判断源和目的
- 匹配规则:业务需要
2、iptables 用法说明
iptables命令格式详解
iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]2.1、-t table:指定表
raw,mangle,nat,[filter]默认
2.2、SUBCOMMAND:子命令
# 链管理类
-N:new, 自定义一条新的规则链
-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除
-X:delete,删除自定义的空的规则链
-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:ACCEPT:接受, DROP:丢弃
# 查看类
-L:list, 列出指定鏈上的所有规则,本选项须置后
-n:numberic,以数字格式显示地址和端口号
-v:verbose,详细信息
-vv 更详细
-x:exactly,显示计数器结果的精确值,而非单位转换后的易读值
--line-numbers:显示规则的序号
-S selected,以iptables-save 命令格式显示链上规则
#常用
-vnL
-vvnxL --line-numbers
# 规则管理类
-A:append,追加
-I:insert, 插入,要指明插入至的规则编号,默认为第一条
-D:delete,删除
(1) 指明规则序号
(2) 指明规则本身
-R:replace,替换指定链上的指定规则编号
-F:flush,清空指定的规则链
-Z:zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和2.3、chain
PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
2.4、匹配条件
- 基本:通用的,PARAMETERS
- 扩展:需加载模块,MATCH EXTENTIONS
2.5、处理动作
-j targetname [per-target-options]
# 简单动作
ACCEPT
DROP
# 扩展动作
REJECT:--reject-with:icmp-port-unreachable默认
RETURN:返回调用链
REDIRECT:端口重定向
LOG:记录日志,dmesg
MARK:做防火墙标记
DNAT:目标地址转换
SNAT:源地址转换
MASQUERADE:地址伪装
自定义链
3、iptables 基本匹配条件
# 基本匹配条件:无需加载模块,由iptables/netfilter自行提供
-s, --source address[/mask][,...]:源IP地址或者不连续的IP地址
-d, --destination address[/mask][,...]:目标IP地址或者不连续的IP地址
-p, --protocol protocol:指定协议,可使用数字如0(all)
protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp, mh or“all“
参看:/etc/protocols
-i, --in-interface name:报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链
-o, --out-interface name:报文流出的接口;只能应用于数据报文流出的环节,只应用于
FORWARD、OUTPUT、POSTROUTING链4、iptables 扩展匹配条件
扩展匹配条件:需要加载扩展模块(/usr/lib64/xtables/*.so),方可生效
扩展模块的查看帮助 :man iptables-extensions
扩展匹配条件:
- 隐式扩展
- 显式扩展
4.1、隐式扩展
iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。
# tcp 协议的扩展选项
--source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围
--destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
--tcp-flags mask comp
mask 需检查的标志位列表,用,分隔 , 例如 SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须为0,用,分隔tcp协议的扩展选项
--syn:用于匹配第一次握手, 相当于:--tcp-flags SYN,ACK,FIN,RST SYN
# udp 协议的扩展选项
--source-port, --sport port[:port]:匹配报文的源端口或端口范围
--destination-port,--dport port[:port]:匹配报文的目标端口或端口范围# icmp 协议的扩展选项
--icmp-type {type[/code]|typename}
type/code
0/0 echo-reply icmp应答
8/0 echo-request icmp请求4.2、显式扩展及相关模块
显示扩展即必须使用-m选项指明要调用的扩展模块名称,需要手动加载扩展模块
[-m matchname [per-match-options]]
# multiport扩展
# 以离散方式定义多端口匹配,最多指定15个端口
#指定多个源端口
--source-ports,--sports port[,port|,port:port]...
# 指定多个目标端口
--destination-ports,--dports port[,port|,port:port]...
#多个源或目标端
--ports port[,port|,port:port]...# iprange扩展
# 指明连续的(但一般不是整个网络)ip地址范围
--src-range from[-to] 源IP地址范围
--dst-range from[-to] 目标IP地址范围# mac扩展
# mac 模块可以指明源MAC地址,,适用于:PREROUTING, FORWARD,INPUT chains
--mac-source XX:XX:XX:XX:XX:XX# string扩展
# 对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp} 字符串匹配检测算法
bm:Boyer-Moore
kmp:Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
--string pattern 要检测的字符串模式
--hex-string pattern 要检测字符串模式,16进制格式# time扩展
# 根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
--monthdays day[,day...] 每个月的几号
--weekdays day[,day...] 星期几,1 – 7 分别表示星期一到星期日
--kerneltz:内核时区(当地时间),不建议使用,CentOS 7版本以上系统默认为 UTC# connlimit扩展
# 根据每客户端IP做并发连接数数量匹配
# 可防止Dos(Denial of Service,拒绝服务)攻击
--connlimit-upto N #连接的数量小于等于N时匹配
--connlimit-above N #连接的数量大于N时匹配
# limit扩展
# 基于收发报文的速率做匹配 , 令牌桶过滤器
--limit-burst number #前多少个包不限制
--limit #[/second|/minute|/hour|/day]
# state扩展
state 扩展模块,可以根据”连接追踪机制“去检查连接的状态,较耗资源
conntrack机制:追踪本机上的请求和响应之间的关系
# 状态类型
NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发
出的请求
ESTABLISHED:NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信
状态
RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关
系
INVALID:无效的连接,如flag标记不正确
UNTRACKED:未进行追踪的连接,如:raw表中关闭追踪
# 连接跟踪,需要加载模块: modprobe nf_conntrack_ipv4
# 当服务器连接多于最大连接数时dmesg 可以观察到 :kernel: ip_conntrack: table full, dropping packet错误,并且导致建立TCP连接很慢。
# 各种状态的超时后,链接会从表中删除5、Target
# target类型
自定义链, ACCEPT, DROP, REJECT,RETURN,LOG,SNAT,DNAT,REDIRECT,MASQUERADE
LOG:非中断target,本身不拒绝和允许,放在拒绝和允许规则前,并将日志记录在/var/log/messages系统日志中
--log-level level 级别: debug,info,notice, warning, error, crit, alert,emerg
--log-prefix prefix 日志前缀,用于区别不同的日志,最多29个字符6、规则优化最佳实践
- 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条,效率更高
- 谨慎放行入站的新请求
- 有特殊目的限制访问功能,要在放行规则之前加以拒绝
- 同类规则(访问同一应用,比如:http ),匹配范围小的放在前面,用于特殊处理
- 不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更
高- -s 192.168.1.11 -p tcp –dport 3306 -j REJECT
- -s 192.168.1.0/24 -p tcp –dport 80 -j REJECT
- 应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率
- 设置默认策略,建议白名单(只放行特定连接)
- iptables -P,不建议,容易出现“自杀现象”
- 规则的最后定义规则做为默认策略,推荐使用,放在最后一条
7、iptables规则保存
使用iptables命令定义的规则,手动删除之前,其生效期限为kernel存活期限。
# 持久保存规则
iptables-save > /PATH/TO/SOME_RULES_FILE
# 加载规则
iptables-restore < /PATH/FROM/SOME_RULES_FILE
# iptables-restore选项
-n, --noflush:不清除原有规则
-t, --test:仅分析生成规则集,但不提交开机自动重载规则
- 用脚本保存各个iptables命令;让此脚本开机后自动运行
- /etc/rc.d/rc.local文件中添加脚本路径 /PATH/TO/SOME_SCRIPT_FILE
- 用规则文件保存各个规则,开机时自动载入此规则文件中的规则
- 在/etc/rc.d/rc.local文件添加 iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE
- 定义Unit File, CentOS 7,8 可以安装 iptables-services 实现iptables.service
# 使用 iptables-services
yum -y install iptables-services
cp /etc/sysconfig/iptables{,.bak}
# 保存现在的规则到文件中方法1
/usr/libexec/iptables/iptables.init save
# 保存现在的规则到文件中方法2
iptables-save > /etc/sysconfig/iptables
# 开机启动
systemctl enable iptables.service
systemctl mask firewalld.service nftables.service# 范例
# 禁止192.168.1.0/24的地址访问该服务器,仅允许访问80端口
[root@internet ~]# iptables -A INPUT -s 192.168.1.0/24 -j DROP
[root@internet ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
