iptables我一直在用，我有點(diǎn)iptables的心得和小小的總匯，拿出來供大家分享！

　　Linux 內(nèi)核中有一個(gè)功能強(qiáng)大的聯(lián)網(wǎng)子系統(tǒng) netfilter。netfilter 子系統(tǒng)提供了有狀態(tài)的或無狀態(tài)的分組過濾，還提供了 NAT 和 IP 偽裝服務(wù)。netfilter 還具備為高級(jí)選路和連接狀態(tài)管理而變形(mangle)IP 頭信息的能力。netfilter 是通過 IPTables 工具來控制的。

　　IPTables 總覽

　　netfilter 的強(qiáng)大功能和靈活性是通過 IPTables 界面來實(shí)現(xiàn)的。這個(gè)命令行工具和它的前身 IPChains 的語法很相似;不過，IPTables 使用 netfilter 子系統(tǒng)來增進(jìn)網(wǎng)絡(luò)連接、檢驗(yàn)、和處理方面的能力;IPChains 使用錯(cuò)綜復(fù)雜的規(guī)則集合來過濾源地和目的地路線以及兩者的連接端口。IPTables 只在一個(gè)命令行界面中就包括了更先進(jìn)的記錄方式;選路前和選路后的行動(dòng);網(wǎng)絡(luò)地址轉(zhuǎn)換;以及端口轉(zhuǎn)發(fā)。

　　7.2. 使用 IPTables

　　使用 IPTables 的第一步是啟動(dòng) IPTables 服務(wù)。這可以使用以下命令進(jìn)行：

　　service iptables start

　　警告

　　你應(yīng)該使用以下命令關(guān)閉 IP6Tables 服務(wù)才能使用 IPTables 服務(wù)：

　　service ip6tables stop

　　chkconfig ip6tables off

　　要使 IPTables 在系統(tǒng)引導(dǎo)時(shí)默認(rèn)啟動(dòng)，你必須使用 chkconfig 來改變服務(wù)的運(yùn)行級(jí)別狀態(tài)。

　　chkconfig --level 345 iptables on

　　IPTables 的語法被分成幾個(gè)層次。主要層次為“鏈”(chain)。“鏈”指定處理分組的狀態(tài)。其用法為：

　　iptables -A chain -j target

　　-A 在現(xiàn)存的規(guī)則集合內(nèi)后補(bǔ)一條規(guī)則。chain 是規(guī)則所在“鏈”的名稱。IPTables 中有三個(gè)內(nèi)建的鏈(即影響每一個(gè)在網(wǎng)絡(luò)中經(jīng)過的分組的鏈)：INPUT、OUTPUT、和 FORWARD。這些鏈?zhǔn)怯谰眯缘?，不能被刪除。

　　重要

　　在創(chuàng)建 IPTables 規(guī)則集合時(shí)，記住規(guī)則的順序是至關(guān)重要的。例如：如果某個(gè)鏈指定了來自本地子網(wǎng) 192.168.100.0/24 的任何分組都應(yīng)放棄，然后一個(gè)允許來自 192.168.100.13(在前面要放棄分組的子網(wǎng)范圍內(nèi))的分組的鏈被補(bǔ)在這個(gè)規(guī)則后面(-A)，那么這個(gè)后補(bǔ)的規(guī)則就會(huì)被忽略。你必須首先設(shè)置允許 192.168.100.13 的規(guī)則，然后再設(shè)置放棄規(guī)則。

　　要在現(xiàn)存規(guī)則鏈的任意處插入一條規(guī)則，使用 -I，隨后是你想插入規(guī)則的鏈的名稱，然后是你想放置規(guī)則的位置號(hào)碼(1,2,3,...,n)。例如：

　　iptables -I INPUT 1 -i lo -p all -j ACCEPT

　　這條規(guī)則被插入為 INPUT 鏈的第一條規(guī)則，它允許本地環(huán)回設(shè)備上的交通。

　　7.2.1. 基本防火墻策略

　　在一開始就建立的某些基本策略為建構(gòu)更詳細(xì)的用戶定義的規(guī)則奠定了基礎(chǔ)。IPTables 使用策略(policy, -P)來創(chuàng)建默認(rèn)規(guī)則。對(duì)安全敏感的管理員通常想采取放棄所有分組、只逐一允許指定分組的策略。以下規(guī)則阻塞網(wǎng)絡(luò)上所有的出入分組。

　　iptables -P INPUT DROP

　　iptables -P OUTPUT DROP

　　此外，還推薦你拒絕所有轉(zhuǎn)發(fā)分組(forwarded packets) — 要從防火墻被選路發(fā)送到它的目標(biāo)節(jié)點(diǎn)的網(wǎng)絡(luò)交通 — 以便限制內(nèi)部客戶對(duì)互聯(lián)網(wǎng)的無心暴露。要達(dá)到這個(gè)目的，使用以下規(guī)則：

　　iptables -P FORWARD DROP

　　注記

　　在處理添加的規(guī)則時(shí)，REJECT(拒絕)目標(biāo)和 DROP(放棄)目標(biāo)這兩種行動(dòng)有所不同。REJECT 會(huì)拒絕目標(biāo)分組的進(jìn)入，并給企圖連接服務(wù)的用戶返回一個(gè) connection refused 的錯(cuò)誤消息。DROP 會(huì)放棄分組，而對(duì) telnet 用戶不發(fā)出任何警告;不過，為了避免導(dǎo)致用戶由于迷惑不解而不停試圖連接的情況的發(fā)生，推薦你使用 REJECT 目標(biāo)。

　　設(shè)置了策略鏈后，為你的特定網(wǎng)絡(luò)和安全需要?jiǎng)?chuàng)建新規(guī)則。以下各節(jié)概述了一些你在建構(gòu) IPTables 防火墻時(shí)可能要實(shí)現(xiàn)的規(guī)則。

　　7.2.2. 保存和恢復(fù) IPTables 規(guī)則

　　防火墻規(guī)則只在計(jì)算機(jī)處于開啟狀態(tài)時(shí)才有效。如果系統(tǒng)被重新引導(dǎo)，這些規(guī)則就會(huì)自動(dòng)被清除并重設(shè)。要保存規(guī)則以便今后載入，請(qǐng)使用以下命令：

　　/sbin/service iptables save

　　保存在 /etc/sysconfig/iptables 文件中的規(guī)則會(huì)在服務(wù)啟動(dòng)或重新啟動(dòng)時(shí)(包括機(jī)器被重新引導(dǎo)時(shí))被應(yīng)用。

　　常用 iptables 過濾

　　把遠(yuǎn)程攻擊者拒之“LAN”外是網(wǎng)絡(luò)保安的一個(gè)重要方面。LAN 的完好性應(yīng)該通過使用嚴(yán)格的防火墻規(guī)則來抵御蓄意不良的遠(yuǎn)程用戶而被保護(hù)。但是，如果默認(rèn)策略被設(shè)置為阻塞所有進(jìn)入、輸出、和轉(zhuǎn)發(fā)的分組，防火墻/網(wǎng)關(guān)和內(nèi)部 LAN 用戶之間的通信就無法進(jìn)行。要允許用戶執(zhí)行和網(wǎng)絡(luò)相關(guān)的功能以及使用聯(lián)網(wǎng)應(yīng)用程序，管理員必須打開某些端口進(jìn)行通信。

　　例如：要允許到防火墻上的端口80的通信，添加以下規(guī)則：

　　iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT

　　iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

　　這會(huì)允許用戶瀏覽通過端口80通信的網(wǎng)站。要允許到安全網(wǎng)站(如 https://www.example.com/)的訪問，你還必須打開端口443。

　　iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT

　　iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

　　有時(shí)候，你可能會(huì)需要從 LAN 之外遠(yuǎn)程地進(jìn)入 LAN。SSH 和 CIPE 之類的安全服務(wù)可以用于到 LAN 服務(wù)的加密遠(yuǎn)程連接。對(duì)于擁有基于 PPP 資源(如調(diào)制解調(diào)器池或批量 ISP 帳號(hào))的管理員來說，撥號(hào)進(jìn)入可以被用來安全地避開防火墻，因?yàn)檎{(diào)制解調(diào)器連接是直接連接，通常位于防火墻/網(wǎng)關(guān)之后。 然而，對(duì)于有寬帶連接的遠(yuǎn)程用戶來說，你就需要制定些特殊規(guī)定。你可以配置 IPTables 接受來自遠(yuǎn)程 SSH 和 CIPE 客戶的連接。例如，要允許遠(yuǎn)程 SSH 訪問，你可以使用以下規(guī)則：

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT

　　iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

　　來自外部的 CIPE 連接請(qǐng)求可以使用以下命令來接受(把 x 替換成你的設(shè)備號(hào)碼)：

　　iptables -A INPUT -p udp -i cipcbx -j ACCEPT

　　7.4. FORWARD 和 NAT 規(guī)則

　　多數(shù)機(jī)構(gòu)從它們的 ISP 處得到數(shù)量有限的可公開選路的 IP 地址。鑒于這種限額，管理員必須創(chuàng)建性地積極尋求分享互聯(lián)網(wǎng)服務(wù)的方法，而又不必把稀有的 IP 地址分配給 LAN 上的每一臺(tái)機(jī)器。使用專用 IP 地址是允許 LAN 上的所有機(jī)器正確使用內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的常用方法。邊緣路由器(如防火墻)可以接收來自互聯(lián)網(wǎng)的進(jìn)入交通，并把這些分組選路發(fā)送它們意圖發(fā)送的 LAN 節(jié)點(diǎn)上;同時(shí)，防火墻/網(wǎng)關(guān)還可以把來自 LAN 節(jié)點(diǎn)的輸出請(qǐng)求選路發(fā)送到遠(yuǎn)程互聯(lián)網(wǎng)服務(wù)中。這種轉(zhuǎn)發(fā)網(wǎng)絡(luò)交通行為有時(shí)會(huì)很危險(xiǎn)，特別是隨著能夠假冒內(nèi)部 IP 地址、使遠(yuǎn)程攻擊者的機(jī)器成為你的 LAN 上的一個(gè)節(jié)點(diǎn)的現(xiàn)代攻擊工具的出現(xiàn)。為防止此類事件的發(fā)生，iptables 提供了選路發(fā)送和轉(zhuǎn)發(fā)策略，你可以實(shí)施它們來防止對(duì)網(wǎng)絡(luò)資源的變相利用。

　　FORWARD 策略允許管理員控制分組可以被選路發(fā)送到 LAN 內(nèi)的哪些地方。例如：要允許整個(gè) LAN 的轉(zhuǎn)發(fā)(假定防火墻/網(wǎng)關(guān)在 eth1 上有一個(gè)內(nèi)部 IP 地址)，你可以設(shè)置以下規(guī)則：

　　iptables -A FORWARD -i eth1 -j ACCEPT

　　iptables -A FORWARD -o eth1 -j ACCEPT

　　注記

　　按照默認(rèn)設(shè)置，紅帽企業(yè) Linux 內(nèi)核中的 IPv4 策略禁用了對(duì) IP 轉(zhuǎn)發(fā)的支持，這會(huì)防止運(yùn)行紅帽企業(yè) Linux 的機(jī)器成為專用邊緣路由器。要啟用 IP 轉(zhuǎn)發(fā)，請(qǐng)運(yùn)行以下命令：

　　sysctl -w net.ipv4.ip_forward=1

　　如果該命令是通過 shell 提示運(yùn)行的，那么其設(shè)置在重新引導(dǎo)后就不會(huì)被保存。你可以通過編輯 /etc/sysctl.conf 文件來永久性地設(shè)置轉(zhuǎn)發(fā)。尋找并編輯以下行，把 0 改成 1：

　　net.ipv4.ip_forward = 0

　　執(zhí)行以下命令來啟用 sysctl.conf 文件中的改變：

　　sysctl -p /etc/sysctl.conf

　　這會(huì)允許 LAN 節(jié)點(diǎn)彼此通信;不過，它們沒有被允許和外界(如互聯(lián)網(wǎng))通信。要允許帶有專用 IP 地址的 LAN 節(jié)點(diǎn)和外部的公共網(wǎng)絡(luò)通信，配置防火墻的 IP 偽裝(IP masquerading)，這會(huì)把來自 LAN 節(jié)點(diǎn)的請(qǐng)求都偽裝成防火墻的外部設(shè)備(在這個(gè)例子中是 eth0)的 IP 地址。

　　iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

　　7.5. DMZ 和 iptables

　　你還可以設(shè)置一些把交通選路發(fā)送到某些機(jī)器(如專用 HTTP 或 FTP 服務(wù)器)的規(guī)則，這些機(jī)器最好是位于?；饏^(qū)域(de-militarized zone，DMZ)的和內(nèi)部網(wǎng)絡(luò)分開的機(jī)器。要設(shè)置一條把所有進(jìn)入的 HTTP 請(qǐng)求都選路發(fā)送到 IP 地址為 10.0.4.2、端口為80(LAN 192.168.1.0/24 范圍之外)的專用 HTTP 服務(wù)器的規(guī)則，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)會(huì)調(diào)用 PREROUTING 表來把這些分組轉(zhuǎn)發(fā)到恰當(dāng)?shù)哪康牡兀?/p>

　　iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \

　　--to-destination 10.0.4.2:80

　　使用這項(xiàng)命令，所有來自 LAN 以外的到端口80的 HTTP 連接都會(huì)被選路發(fā)送到和內(nèi)部網(wǎng)絡(luò)分離的另一個(gè)網(wǎng)絡(luò)上的 HTTP 服務(wù)器上。這種網(wǎng)絡(luò)分段會(huì)比允許到內(nèi)部網(wǎng)絡(luò)中的機(jī)器上的 HTTP 連接更安全。如果 HTTP 服務(wù)器被配置接受安全連接，那么端口443也必須被轉(zhuǎn)發(fā)。

　　病毒和假冒 IP 地址

　　你可以更精心設(shè)計(jì)一些規(guī)則來控制到 LAN 內(nèi)指定子網(wǎng)的訪問，甚至到指定機(jī)器的訪問。你還可以限制某些類似特洛伊木馬、蠕蟲、以及其它客戶/服務(wù)器病毒的可疑服務(wù)聯(lián)系它們的服務(wù)器。例如：有些特洛伊木馬會(huì)掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務(wù)。既然合法服務(wù)都不使用這些非標(biāo)準(zhǔn)端口來通信，阻塞這些端口能夠有效地減少你的網(wǎng)絡(luò)上可能被感染的機(jī)器和它們的遠(yuǎn)程主服務(wù)器進(jìn)行獨(dú)立通信的機(jī)會(huì)。

　　iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

　　iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

　　你還可以阻塞試圖假冒你所在 LAN 的專用 IP 地址混入的連接。例如：如果你的 LAN 使用 192.168.1.0/24 范圍，面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備(如 eth0)上就可以設(shè)置一條規(guī)則來放棄到那個(gè)設(shè)備的使用你所在 LAN 的 IP 范圍的分組。因?yàn)槟J(rèn)策略是拒絕轉(zhuǎn)發(fā)分組，所有到面向外界的設(shè)備(eth0)的假冒 IP 地址都會(huì)被自動(dòng)拒絕。

　　iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

　　IP6Tables

　　下一代互聯(lián)網(wǎng)協(xié)議 IPv6 的出現(xiàn)突破了 IPv4(或 IP)的32位地址限制。IPv6 支持128位地址，因此識(shí)別 IPv6 的載體網(wǎng)絡(luò)就能夠制定比 IPv4 更多的可選路地址。

　　紅帽企業(yè) Linux 支持使用 Netfilter 6 子系統(tǒng)和 IP6Tables 命令的 IPv6 防火墻規(guī)則。使用 IP6Tables 的第一步是啟動(dòng) IP6Tables 服務(wù)。它可以使用以下命令進(jìn)行：

　　service ip6tables start

　　警告

　　你必須關(guān)閉 IPTables 服務(wù)才能專門使用 IP6Tables 服務(wù)：

　　service iptables stop

　　chkconfig iptables off

　　要使 IP6Tables 在系統(tǒng)引導(dǎo)時(shí)默認(rèn)啟動(dòng)，使用 chkconfig 來改變服務(wù)的運(yùn)行級(jí)別狀態(tài)。

　　chkconfig --level 345 ip6tables on

　　其語法在各方面都和 IPTables 相同，只不過 IPTables 支持128位的地址。例如：在識(shí)別 IPv6 的網(wǎng)絡(luò)服務(wù)器器上的 SSH 連接可以使用以下規(guī)則來啟用：

　　ip6tables -A INPUT -i eth0 -p tcp -s 3ffe:ffff:100::1/128 --dport 22 -j ACCEPT

　　關(guān)于 IPv6 聯(lián)網(wǎng)的詳情，請(qǐng)參閱 IPv6 的信息頁(yè)：http://www.ipv6.org/。

　　iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT

　　CIPE 使用它自己的傳輸數(shù)據(jù)報(bào)(UDP)分組的虛擬設(shè)備，因此這條規(guī)則允許 cipcb 接口上的進(jìn)入連接，而不是規(guī)定源地端口或目標(biāo)端口(雖然它們可以被用來代替設(shè)備選項(xiàng))。關(guān)于使用 CIPE 的信息，請(qǐng)參閱第6章 。

　　你可能還想為其它服務(wù)定義規(guī)則。關(guān)于 IPTables 及其各類選項(xiàng)的完整信息，請(qǐng)參閱《紅帽企業(yè) Linux 參考指南》。

　　這些規(guī)則允許到防火墻上的常規(guī)及安全服務(wù)的訪問;然而，它們并不允許防火墻之后的機(jī)器使用這些服務(wù)。要允許 LAN 使用這些服務(wù)，你可以使用帶有 IPTables 過濾規(guī)則的 NAT。

通過文章，想必大家知道了一些我寫的iptables的總結(jié)心得，希望大家喜歡！
 

【編輯推薦】

1. iptables防火墻配置工具ShoreWall的安裝和使用實(shí)例
2. iptables防火墻配置工具ShoreWall進(jìn)階實(shí)用介紹
3. 如何利用netfilter/iptables構(gòu)建防火墻
4. Iptables 命令和命令說明
5. squid+iptables網(wǎng)關(guān)防火墻的實(shí)現(xiàn)
6. Iptables 實(shí)例分析
7. Iptables 配置指南
8. Iptables 詳細(xì)介紹