iptables 規則的應用

    iptables是系統安全必不可少的,對防范外來***,起著巨大的作用.

    iptables 只是防火墻的通告規則,是系統 netfilter 在內核中完成具體功能實現的.

防火墻分兩大類.網絡層防火墻,應用層防火墻.

防火墻的原理是在報文與主機通訊的必經之路設立通過規則,以實行安全放行.一般主機通訊的必經之路有五個,分別對應五個勾子函數.

hook function

PREROUTING：路由前

INPUT：到達本機內部的報文必經之路

FORWARD：由本機轉發的報文必經之路

OUTPUT：由本機發出的報文的必經之路

POSTROUTING：路由后

防火墻,分四大規則功能表raw, mangle, nat, filter 

filter: 過濾，定義是否允許通過防火墻

nat: 地址轉換，啟用connection_track;

SNAT

DNAT

PNAT

mangle: 

raw: 目標是關閉nat表上啟用的連接追蹤功能；

表和鏈的對應關系：

filter: INPUT, FORWARD, OUTPUT

nat: PREROUTING（SNAT），POSTROUTING（DNAT），OUTPUT

mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

raw: PREROUTING, OUTPUT

iptables只是用戶空間的工具，寫規則，并自動發往netfilter，立即生效；所以在編寫規則之前,一定要注意的是,寫的規則,千萬要確保放行自己的連接,以免自己的ssh遠程連接都不予放行,將自己擋在外面.

netfilter: 接收并生效規則；

 基本語法：    

 iptables  [-t TABLE]  COMMAND CHAIN CRETIRIA -j TARGET 

 iptables  [-t TABLE]     COMMAND      CHAIN     CRETIRIA       -j         TARGET

加在哪個表上        命令選項           鏈接      匹配標準       處理       處理辦法

[以上語法格式,只是比較通用,不同的命令,用法不盡相同]

-t TABLE: 

nat, mangle, raw, filter

默認為filter

管理鏈的命令: 

-F：flush, 清空規則鏈；

-N：new, 自建一條鏈

-X: delete, 刪除一條自定義的空鏈

-Z：zero，計數器歸零

-P：policy，設置默認策略，對filter表來講，默認規則為ACCEPT或DROP；

-E：重命名自定義鏈

管理鏈中的規則

-A :添加

-I :插入

-D : 刪除

-R :修改  =>如果要修改一條規則的話,語法順序要和寫的時候對應,所以一般我不使用,通常是新寫一條規則在要修改的規則之后,把要改的規則刪除

查詢規則：

-L

-n: 數字格式顯示主機地址和端口；

-v: 詳細格式，-vv, -vvv

--line-numbers: 顯示規則編號

pkts bytes  target     prot opt in        out         source               destination

包數 字節數 目標       協議  流入的接口  流出的接口   源地址               目標地址

-x: exactly，不要對計數器的計數結果做單位換算，而顯示其精確值

所有命令的使用,如果不帶 -t table[指定的表] 則默認使用的是filter表

iptables [-t TABLE] -A 鏈名 匹配條件 -j 處理目標

匹配條件：

    通用匹配

-s 地址：指定報文源IP地址匹配的范圍；可以是IP，也可以是網絡地址；可使用!取反；

--src, --source

-d 地址：指定報文目標IP地址匹配的范圍；

--dst, --destination

-p 協議：指定匹配報文的協議類型，一般有三種tcp, udp和icmp;

-i INTERFACE: 數據報文流入的接口；PREROUTING, INPUT, FORWARD

-o INTERFACE: 數據報文流出的接口；OUTPUT, FORWARD, POSTROUITING

    擴展匹配

隱式擴展：當使用-p {tcp|udp|icmp}中的一種時，可以直接使用擴展專用選項；

 -p tcp:

--sport PORT[-PORT]: 指定源端口

--dport PORT[-PORT]: 指定目標端口

--tcp-flags 

 -p udp:

--sport 

--dport

-p icmp [-m icmp]    =>網絡報文探測協議

--icmp-type   0: echo-reply, ping響應  8: echo-request, ping請求 

iptables

處理目標：

內置目標:

   DROP    一般不給通行的報文悄悄丟棄就好,最好不要使用reject

   REJECT

   ACCEPT

例,寫一條規則,允許接收本機ping其它主機的請求回應

[root@apache_13 ~]# iptables -A INPUT -d 172.16.26.13 -p icmp --icmp-type 0 -j ACCEPT

放行本機對其它主機的ping請求

[root@apache_13 ~]# iptables -A OUTPUT -p icmp -j ACCEPT

  顯式擴展：必須明確說明使用哪個模塊進行擴展，而后才能使用其擴展專用選項；

-m state --state  ==>切記,每一個不同的擴展都要使用一次 -m參數  

    模塊：iptables，netfilter各擁有一部分代碼 

    multiport: 多端口匹配

    可用于匹配非連續或連續端口；最多指定15個端口；

專用選項：

--source-ports, --sports port[,port,port:port]

--destination-ports, --dports

--ports

[root@apache_13 ~]# iptables -I INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT 

放行所有訪問22,80端口的報文

iprange: 匹配指定范圍內的地址；

匹配一段連續的地址而非整個網絡時有用； 

專用選項：

[!] --src-ragne IP[-IP]

[!] --dst-range

[root@apache_13 ~]# iptables -I INPUT -p tcp -m multiport --dports 22,80 -m iprange --src-range 172.16.26.1-172.16.26.10 -j ACCEPT 

放行172.16.26.1-10訪問本機22,80端口的報文 

string: 字符串匹配，能夠檢測報文應用層中的字符串

字符匹配檢查高效算法

kmp, bm

專用選項：

--algo {kmp|bm}

--string "STRING"

--hex-string "HEX_STRING": HEX_STRING為編碼成16進制格式的字串；

# iptables -I OUTPUT -m string --algo kmp --string "sex" -j DROP

如,不允許字串里包含有 admin

[root@apache_13 ~]# iptables -A OUTPUT  -m string --string  'admin' --algo kmp -j DROP 

time: 基于時間做訪問控制 

專用選項：

--datestart YYYY[-MM][-DD[Thh[:mm[:ss]]]]

--datestop 

例如,在8-19 至8-20不許訪問

[root@apache_13 ~]#iptables -A INPUT -m time --datestart 2014-08-19 --datestop 2014-08-20 -j DROP

--timestart hh:mm[:ss]

--timestop hh:mm[:ss]

例如,在12:00 至 14:00 不許訪問

[root@apache_13 ~]# iptables -A OUTPUT -m time --timestart 12:00 --timestop 14:00 -j DROP

--weekdays day[,day]

Mon, Tue,

例如,周一,二不許訪問

[root@apache_13 ~]# iptables -A OUTPUT -m time --weekdays Mon,Tue -j DROP

connlimit: 連接數限制，對每IP所能夠發起并發連接數做限制；

專用選項：

[!] --connlimit-above [n] 

例如,限制176主機,最大只能有3個ssh連接

[root@apache_13 ~]# iptables -I INPUT 1 -s 172.16.26.176 -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

limit: 速率限制

專用選項：

--limit n[/second|/minute|/hour|/day]

--limit-burst n

例子：每個ip每分鐘只能ping 我20下,而且每次只能并發5個ping包

[root@apache_13 ~]# iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 5 -j ACCEPT

state: 狀態檢查

專用選項：

--state 

[root@apache_13 ~]# iptables -I INPUT 3 -s 172.16.10.0/24 -d 172.16.26.13  -p tcp -m multiport --destination-ports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -I OUTPUT 1 -m state --state ESTABLISHED  # 對于所有established狀態的包全部放行，那么OUTPUT鏈上的其他的放行的規則都可以刪除了

連接追蹤中的狀態：

NEW: 新建立一個會話

ESTABLISHED：已建立的連接

RELATED: 有關聯關系的連接

INVALID: 無法識別的連接

綜合練習1

限制本地主機的web服務器在周一不允許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不允許訪問；web服務器僅允許響應報文離開本機； 

iptables -A OUTPUT -m time --weekdays Mon -m limit --limit 100/s  -m string --string  'admin' --algo kmp -j DROP

 限速        限制每秒100個   過濾字串 過濾 admin     使用 kmp算法  

調整連接追蹤功能所能容納的連接的最大數目：

/proc/sys/net/nf_conntrack_max

當前追蹤的所有連接

/proc/net/nf_conntrack

不同協議或連接類型追蹤時的屬性：

/proc/sys/net/netfilter目錄：

放行被動模式下的FTP服務：

1、裝載模塊/lib/modules/KERNEL_VERSION/kernel/net/netfilter/

模塊：nf_conntrack_ftp

2、放行請求報文：

（1）放行NEW狀態對21端口請求的報文；

(2) 放行ESTABLISHED以及RELATED狀態的報文

3、放行響應報文：

(1) 放行ESTABLISHED以及RELATED狀態的報文

綜合案例

配置apache_13有ssh,httpd服務的路由規則

-A INPUT -p tcp -m tcp --dport 80 -m time --weekdays Tue  --datestop 2038-01-19T11:14:07 -m string --string "admin" --algo kmp --to 65535 -j DROP 

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP 

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP 

-A INPUT -d 172.16.26.13/32 -p udp -m udp --sport 53 -j ACCEPT 

-A INPUT -d 172.16.26.13/32 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 

-A INPUT -s 172.16.26.14/32 -j ACCEPT 

-A INPUT -s 172.16.26.16/32 -j ACCEPT 

-A OUTPUT -s 172.16.26.13/32 -p udp -m udp --dport 53 -j ACCEPT 

-A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT 

-A OUTPUT -p icmp -j ACCEPT 

-A OUTPUT -p tcp -m multiport --sports 22,80 -j ACCEPT 

-A OUTPUT -d 172.16.26.14/32 -p tcp -m tcp --dport 9000 -j ACCEPT 

iptables的規則保存與讀取

service iptables save ==>規則保存到了/etc/sysconfig/iptables

還可以保存到自定義的位置

iptables-save > /tmp/iptables.cnf .

哪天想讀進來了,可以 iptables-restore <  /tmp/iptables