| 四表: | |
|---|---|
| raw表 | 是否状态跟踪处理,高级功能,如:网址过滤。内核模块:iptable_raw |
| mangle表 | 修改ip头,或是打上只在内核有效的标记,数据包修改(QOS),用于实现服务质量。内核模块:iptable_mangle |
| nat 表 | 修改源/目的地址/端口,网络地址转换功能;内核模块:iptable_nat、 |
| filter表 ,默认的是 filter 表。 | 负责过滤功能,防火墙;内核模块:iptables_filter |
| 表的优先级:raw>mangle>nat>filter | |
| 五链: | |
| INPUT链 | 处理输入数据包。 |
| OUTPUT链 | 处理输出数据包。 |
| FORWARD链 | 处理转发数据包。 |
| PREROUTING链 “路由前” | 用于目标地址转换(DNAT)。 |
| POSTOUTING链 ”路由后” | 用于源地址转换(SNAT)。 |
所以,根据上图,我们能够想象出某些常用场景中,报文的流向:
到本机某进程的报文:PREROUTING –> INPUT
由本机转发的报文:PREROUTING –> FORWARD –> POSTROUTING
由本机的某进程发出报文(通常为响应报文):OUTPUT –> POSTROUTING
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
选项:
-t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。
# 通用匹配:源地址目标地址的匹配
-p:指定要匹配的数据包协议类型;
-s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0。
-d, --destination [!] address[/mask] :地址格式同上,但这里是指定地址为目的地址,按此进行过滤。
-i, --in-interface [!] <网络接口name> :指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反。
-o, --out-interface [!] <网络接口name> :指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
# 查看管理命令
-L, --list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则。
# 规则管理命令
-A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定。
-I, --insert chain [rulenum] rule-specification 在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号。
-D, --delete chain rule-specification -D, --delete chain rulenum 在指定的链 chain 中删除一个或多个指定规则。
-R num:Replays替换/修改第几条规则
# 链管理命令(这都是立即生效的)
-P, --policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。
-F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
-N, --new-chain chain 用指定的名字创建一个新的链。
-X, --delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。
-E, --rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响。
-Z, --zero [chain] :把指定链,或者表中的所有链上的所有计数器清零。
-j, --jump target <指定目标> :即满足某条件时该执行什么样的动作。target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链。
-h:显示帮助信息;
基本参数:
| 参数 | 作用 |
|---|---|
| -P | 设置默认策略:iptables -P INPUT (DROP |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I | num 在规则链的头部加入新规则 |
| -D | num 删除某一条规则 |
| -s | 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 |
| -d | 匹配目标地址 |
| -i | 网卡名称 匹配从这块网卡流入的数据 |
| -o | 网卡名称 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如tcp,udp,icmp |
| –dport | num 匹配目标端口号 |
| –sport | num 匹配来源端口号 |
| -m | 显示匹配 |
我们现在用的比较多个功能有3个:
1.filter 定义允许或者不允许的,只能做在3个链上:INPUT ,FORWARD ,OUTPUT
2.nat 定义地址转换的,也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
3.mangle功能:修改报文原数据,是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。
4.raw 表中的规则可以被哪些链使用:PREROUTING,OUTPUT
| 链 | 表 |
|---|---|
| PREROUTING: | nat , mangle |
| INPUT: | filter , mangle , centos7中nat中也有INPUT |
| FARWARD: | filter , mangle |
| OUTPUT: | filter , nat , mangle ,raw |
| POSTROUTING: | nat , mangle |
规则由匹配条件和处理动作组成:
匹配条件:分为基本匹配条件与扩展匹配条件
基本匹配条件:源地址Source IP,目标地址 Destination IP
扩展匹配条件:源端口Source Port, 目标端口Destination Port
| 动作包括: | |
|---|---|
| ACCEPT | 接收数据包。 |
| DROP | 丢弃数据包。 |
| REJECT | 拒绝数据包。 |
| REDIRECT | 重定向、映射、透明代理。 |
| SNAT | 源地址转换。解决内网用户用同一个公网地址上网的问题。 |
| DNAT | 目标地址转换。 |
| MASQUERADE | IP伪装(NAT),用于ADSL。是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。 |
| LOG | 日志记录。在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。 |
| SEMARK | 添加SEMARK标记以供网域内强制访问控制(MAC) |
注:DROP和REJECT有什么区别?
当执行ping操作时,JEJECT直接就提示”目标不可达”,并没有像DROP那样卡在那里,看来,REJECT比DROP更加”干脆”。
注:加-v表示显示更多更详细的信息;加-n表示不对IP地址进行名称反解,直接显示IP地址
[root@dev-k8s-master1 ~]# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 14247 packets, 2702K bytes)
pkts bytes target prot opt in out source destination
88M 19G KUBE-FIREWALL all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
注1:policy为链的默认策略即可。
注2:packets与bytes称作”计数器”,上图中的计数器记录了默认策略匹配到的报文数量与总大小,”计数器”只会在使用-v选项时,才会显示出来。
如果你想要查看精确的计数值,而不是经过可读性优化过的计数值,那么你可以使用-x选项,表示显示精确的计数值。
[root@dev-k8s-master1 ~]# iptables -nvxL INPUT
Chain INPUT (policy ACCEPT 5145 packets, 923751 bytes)
pkts bytes target prot opt in out source destination
88841997 19050772133 KUBE-FIREWALL all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
[root@dev-k8s-master1 ~]# iptables -nL INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 KUBE-FIREWALL all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
比如:要删除INPUT里序号为2的规则,执行:
iptables -D INPUT 2
iptables -t filter -I INPUT -s x.x.x.x -j DROP
iptables -t filter -A INPUT -s x.x.x.x -j ACCEPT
iptables -t filter -I INPUT 2 -s x.x.x.x -j DROP #表示在规则序号2的前面插入一条规则,此时这条规则自己的序号就是2
端口映射:本机的 2222 端口映射到内网 虚拟机的22 端口
iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22
#根据规则的编号去删除
iptables -t filter -D INPUT 2
#根据匹配条件与动作删除
iiptables -D INPUT -s x.x.x.x -j ACCEPT
#清除指定表指定链上的所有规则
iptables -t 表名 -F (链名)
iptables -t filter -R INPUT 1 -s x.x.x.x -j REJECT
iptables -t filter -P FORWARD DROP
注:如果你想要修改某条规则,还不如先将这条规则删除,然后在同样位置再插入一条新规则
在默认的情况下,我们对”防火墙”所做出的修改都是”临时的”,换句话说就是,当重启iptables服务或者重启服务器以后,我们平常添加的规则或者对规则所做出的修改都将消失,为了防止这种情况的发生,我们需要将规则”保存”。
注1:iptables配置文件:/etc/sysconfig/iptables
注2:保存规则到默认的配置文件:iptables-save > /etc/sysconfig/iptables
注3:我们也可以重载规则:iptables-restore < /etc/sysconfig/iptables
再次提醒:重载规则时,现有规则将会被覆盖。
源地址表示报文从哪里来,目标地址表示报文要到哪里去。
iptables -A INPUT -s x.x.x.x -d y.y.y.y -j DROP
a.要是地址有多个则以,隔开。源地址也可以是网段
iptables -t filter -I INPUT -s x.x.x.x,y.y.y.y -j DROP
iptables -t filter -I INPUT -s x.x.0.0/16 -j REJECT
b.匹配条件取反 !
iptables -A INPUT -s ! x.x.x.x -j ACCEPT
表示源地址只要不是x.x.x.x就接受。而只要源地址是x.x.x.x就拒绝这种理解是错误的。
因为规则中并没有说明遇到x.x.x.x就拒绝或丢弃。
所以x.x.x.x还是可以ping通的。
注:不管是-s选项还是-d选项,取反操作与同时指定多个IP的操作不能同时使用
协议:tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh
当不使用-p指定协议类型时,默认表示所有类型的协议都会被匹配到,与使用-p all的效果相同。
#拒绝由网卡eth4流入的ping请求报文
iptables -t filter -I INPUT -i eth4 -p icmp -j REJECT
注:-i选项是用于判断报文是从哪个网卡流入的,那么,-i选项只能用于PREROUTING链、INPUT链、FORWARD链。-o选项只能用于FORWARD链、OUTPUT链、POSTROUTING链
iptables -t fliter -I INPUT -p tcp -m tcp --dport 22 -j REJECT
# -m tcp表示使用tcp扩展模块
#注:-p tcp与 -m tcp并不冲突,-p用于匹配报文的协议,-m 用于指定扩展模块的名称,正好,这个扩展模块也叫tcp。
#但是-m选项可以省略:iptables默认会调用与-p选项对应的协议名称相同的模块。
iptables -t fliter -I INPUT -p tcp --dport 22 -j REJECT
注:如果这个扩展匹配条件所依赖的扩展模块名正好与-p对应的协议名称相同,那么则可省略-m选项,否则则不能省略-m选项,必须使用-m选项指定对应的扩展模块名称
也可以指定端口的范围使用:冒号
#22~25
iptables -t filter -I INPUT -p tcp --dport 22:25 -j REJECT
#0~22
--dport :20
#85~65535
--dport 85:
另一个扩展模块,”multiport”模块:可以指定多个不连续的端口 -m multiport。multiport扩展只能用于tcp协议与udp协议,即配合-p tcp或者-p udp使用。
iptables -t filter -I INPUT -p tcp -m multiport --dport 22,25,86 -j REJECT
iptables -t fliter -I INPUT -m iprange --src-range 192.168.1.1-192.168.1.156 -j DROP
如果报文中包含”hello”字符,我们就拒绝报文进入本机
iptables -t fliter -I INPUT -m string --algo bm --string "hello" -j REJECT
#–algo:用于指定匹配算法,可选的算法有bm与kmp
报文在经过iptables的链时,会匹配链中的规则,遇到匹配的规则时,就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为ACCEPT或者DROP。
当链的默认策略设置为ACCEPT时,按照道理来说,我们在链中配置规则时,对应的动作应该设置为DROP或者REJECT,为什么呢?
因为默认策略已经为ACCEPT了,如果我们在设置规则时,对应动作仍然为ACCEPT,那么所有报文都会被放行了,因为不管报文是否被规则匹配到都会被ACCEPT,所以就失去了访问控制的意义。
所以,当链的默认策略为ACCEPT时,链中的规则对应的动作应该为DROP或者REJECT,表示只有匹配到规则的报文才会被拒绝,没有被规则匹配到的报文都会被默认接受,这就是”黑名单”机制。
同理,当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到规则的报文才会被放行,没有被规则匹配到的报文都会被默认拒绝,这就是”白名单”机制。
注:
注:白名单机制有一个漏洞:就是当默认策略为DROP,当清空所有的规则会导致管理员自己也登不上去,所以在设置白名单策略时还是要把默认策略设置为ACCEPT,然后把“拒绝所有的请求”放在最后面,将要放行的放在这条规则前面。
如果报文已经被前面的规则匹配到,IPTABLES则会对报文执行对应的动作,通常是ACCEPT或者REJECT,报文被放行或拒绝以后,即使后面的规则也能匹配到刚才放行或拒绝的报文,也没有机会再对报文执行相应的动作了(前面规则的动作为LOG时除外),所以,针对相同服务的规则,更严格的规则应该放在前面。
如果一条规则中包含了多个匹配条件,那么报文必须同时满足这个规则中的所有匹配条件,报文才能被这条规则匹配到。
比如,你写了两条规则,一条针对sshd服务,一条针对web服务。
假设,一天之内,有20000个请求访问web服务,有200个请求访问sshd服务,
那么,应该将针对web服务的规则放在前面,针对sshd的规则放在后面,因为访问web服务的请求频率更高。
如果将sshd的规则放在前面,当报文是访问web服务时,sshd的规则也要白白的验证一遍,由于访问web服务的频率更高,白白耗费的资源就更多。
如果web服务的规则放在前面,由于访问web服务的频率更高,所以无用功会比较少。
换句话说就是,在没有顺序要求的情况下,不同类别的规则,被匹配次数多的、匹配频率高的规则应该放在前面。