Iptables 使用 _IPtables

【Iptables 使用】丈夫欲遂平生志，一载寒窗一举汤。这篇文章主要讲述Iptables 使用相关的知识，希望能为你提供帮助。
Iptables iptables简介iptables并不是防火墙，而是一个命令行工具；他实际上操作的是内核态的netfilter；

文章图片

是有数据包是发往本机的才会过input链条，要是想让数据包全部过滤，需要操作prerouting 路由前这个链；
链的概念(Prerouting、Input、forward、output、postrouting)
现在，我们想象一下，这些”关卡”在iptables中为什么被称作”链”呢？我们知道，防火墙的作用就在于对经过的报文匹配”规则”，然后执行对应的”动作”,所以，当报文经过这些关卡的时候，则必须匹配这个关卡上的规则，但是，这个关卡上可能不止有一条规则，而是有很多条规则，当我们把这些规则串到一个链条上的时候，就形成了”链”,所以，我们把每一个”关卡”想象成如下图中的模样，这样来说，把他们称为”链”更为合适，每个经过这个”关卡”的报文，都要将这条”链”上的所有规则匹配一遍，如果有符合条件的规则，则执行规则对应的动作。

文章图片

链与表之间的关系
PREROUTING的规则可以存在于：raw表，mangle表，nat表。
INPUT的规则可以存在于：mangle表，filter表，（centos7中还有nat表，centos6中没有）。
FORWARD的规则可以存在于：mangle表，filter表。
OUTPUT的规则可以存在于：raw表mangle表，nat表，filter表。
POSTROUTING的规则可以存在于：mangle表，nat表。
数据经过防火墙的流程

文章图片

iptables的基本操作iptables的基本规则组成分为：基本匹配条件，扩展匹配条件，处理动作
处理动作分为:
查看表中的规则

iptables -t filter -L (input/forward/output) iptables -t nat -L(PREROUTING/output/POSTROUTING) iptables -t mangle -L (PREROUTING/input/forward/output/POSTROUTING)

查看链中的规则

iptables -vL FORWARD | column -t

文章图片

不进行域名转换

iptables -vnL FORWARD | column -t

显示编号

iptables --line-numbers -nvLFORWARD | column -t

增加iptables规则

命令语法：iptables -t 表名 -A 链名匹配条件 -j 动作

1,插入数据

iptables -t filter -I INPUT -s 172.16.2.2 -j DORP#拒绝172.16.2.2机器到本机器的所有流量

插入数据到指定的位置

iptables -t filter -nv --line -L INPUT#带编号查看规则 iptables -t filter -I INPUT 3 -s 172.16.2.2 -j ACCEPT#在第三条规则插入数据

2,追加规则

iptables -t filter -A INPUT -s 172.16.2.2 -j ACCEPT

3，指定多个源IP地址

iptables -t filter -I INPUT -s 172.16.2.2,172.16.2.3 -j DORP#会同时添加两条规则 iptables -t filter -I INPUT -s 172.16.2.0/24 -j DORP#指定一个网段 iptables -t filter -I INPUT ! -s 172.16.2.2 -j DORP#取反，除了172.16.2.2以外的都拒绝,不能和多个IP地址规则一同书写

4，匹配目的地址
匹配源地址为-s,匹配目的地址为-d

iptables -t filter -I INPUT -s 172.16.2.2 -d 127.0.0.1 -j DORP

5，匹配协议
匹配协议使用 -p,支持的协议有：

如果-p 不指定协议就是匹配所有协议，和 -p all 是同一个效果

6，匹配网卡
匹配网卡使用-i选项
7，扩展规则，匹配目的端口
--dport来指定目的端口，他一定要个 -p 配合使用，

iptables -t filter -I INPUT -S 192.168.1.2 -p tcp --dport 22 -j DROP#拒绝192.168.1.2访问本机的22端口 iptables -t filter -I INPUT -S 192.168.1.2 -p tcp --dport 22:25 -j DROP#指定端口范围 iptables -t filter -I INPUT -S 192.168.1.2 -p tcp -m multiport --dports 22,26,80:88 -j DROP#指定多个端口

8，扩展规则，匹配源端口
-sport来指定源端口
9，匹配连续的地址段

iptables -t filter -I INPUT -m iprange --src-range 192.168.1.1-192.168.1.200 -j DROP iptables -t filter -I INPUT -m iprange --dst-range 192.168.1.1-192.168.1.200 -j DROP

扩展模块 1）匹配字符串，返回的报文中包含某个字符串

iptables -t filter -I INPUT -m string --algo bm --string "OOXX" -j REJECT

2) time 时间模块我想要自我约束，每天早上9点到下午6点不能看网页未测试通过

iptables -t filter -I OUTPUT -p tcp -m multiport --dports 80,443 -m time --timestart 09:00:00 --timestop 18:00:00 -j REJECT

文章图片

3）限制客户端链接数量connlimit允许你限制每个客户端IP地址（或地址块）与服务器的并行TCP连接的数量。
[！] --connlimit-above n
如果现有的TCP连接数高于（不高于）n，则匹配。
--connlimit-mask bits
使用掩码对主机进行分组
允许每个客户主机有2个telnet连接

iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

你也可以反过来匹配。

iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

限制每个C类网络（24位网络掩码）中并行http请求的数量为16个

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REECT

删除iptables规则
1,根据编号删除

iptables -t filter -nv --line -L INPUT#查看规则编号 iptables -t filter -D INPUT 2#删除编号为2 的规则

2,直接根据规则删除

iptables -t filter -D INPUT-s 172.16.2.2 -j DORP

3,删除单个链中单个表的所有数据

iptables -t filter -F INPUT#删除INPUT链中filter表中的所有数据 iptables -t filter -F#删除所有链中filter表中的数据

修改iptables规则
1,修改链表默认的规则

iptables -t filter -P INPUT DROP#INPUT链中filter表设置为默认拒绝，可以使用iptables -t filter -nvL INPUT查看

不建议使用上述命令，因为iptables -F之后会所有的包都进不来
2,修改之前的规则

iptables -t filter --line -nvL INPUT#带编号查看规则 iptables -t filter -R INPUT 3 -s 72.16.2.2 -j REJECT#一定要带上原规则，否则会变成所有

保存iptables规则

iptables-save > /etc/sysconfig/iptables

恢复iptables规则

iptables-restore < /etc/sysconfig/iptables

Iptables 小技巧1、规则的顺序非常重要。
如果报文已经被前面的规则匹配到，IPTABLES则会对报文执行对应的动作，通常是ACCEPT或者REJECT，报文被放行或拒绝以后，即使后面的规则也能匹配到刚才放行或拒绝的报文，也没有机会再对报文执行相应的动作了（前面规则的动作为LOG时除外），所以，针对相同服务的规则，更严格的规则应该放在前面。
2、当规则中有多个匹配条件时，条件之间默认存在”与”的关系。
如果一条规则中包含了多个匹配条件，那么报文必须同时满足这个规则中的所有匹配条件，报文才能被这条规则匹配到。
3、在不考虑1的情况下，应该将更容易被匹配到的规则放置在前面。
4、当IPTABLES所在主机作为网络防火墙时，在配置规则时，应着重考虑方向性，双向都要考虑，从外到内，从内到外。
5、在配置IPTABLES白名单时，往往会将链的默认策略设置为ACCEPT，通过在链的最后设置REJECT规则实现白名单机制，而不是将链的默认策略设置为DROP，如果将链的默认策略设置为DROP，当链中的规则被清空时，管理员的请求也将会被DROP掉。