0x01 简介
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫 netfilter。
iptables是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。
如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
0x02 历史版本
Linux内核各版本集成的防火墙历史版本:
2.0.X内核:ipfwadm
2.2.X内核:ipchains
2.4.X内核:iptables
0x03 iptables语法
3.1 基本语法
iptables(选项)(参数)
选项:
-t<表>:指定要操纵的表;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-i:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目;
-F:清楚规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-j<目标>:指定要跳转的目标;
-i<网络接口>:指定数据包进入本机的网络接口;
-o<网络接口>:指定数据包要离开本机所使用的网络接口。
iptables命令选项输入顺序:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
表名包括:
raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
net:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。
规则链名包括:
INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。
动作包括:
accept:接收数据包。
DROP:丢弃数据包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。
3.2 查看现有防火墙策略
iptables -L -n
iptables -L -n --line-number #--line-number参数会显示策略编号,该编号在删除策略时使用
3.3 增加防火墙策略
iptables -A INPUT -s 192.168.220.0/24 -p TCP --dport 22 -j ACCEPT #开放这个网段的22端口
iptables -A INPUT -s 192.168.1.1 -p TCP --dport 22 -j ACCEPT #开放单个IP的22端口
iptables -A INPUT -p TCP --dport 22 -j DROP
说明:
1.-A代理在末尾追加,如果要在开头插入使用-I
2.多IP使用逗号(半角)相隔,多端口添加-m multiport然后端口使用逗号(半角)相隔
3.4 修改防火墙策略
iptables -R INPUT 2 -s 192.168.1.1 -p TCP --dport 22 -j DROP
数字2是--line-nember查到的,所有参数都要写-R不是在原策略基础上修改而就是直接取化,所以这里的-s虽然原来就是192.168.1.1但还是要写,不然结果就是DROP掉所有ip对22端口的连接请求
3.5 删除防火墙策略
iptables -D INPUT 2 #2是--line-number查到的,此句会删除第2条策略
iptables -F #此句会清空所有防火墙规则,慎用
3.6 保存防火墙规则
上边对防火墙的修改只是临时的,并没有存入配置文件(/etc/sysconfig/iptables),防火墙服务重启之后策略会退回到之前保存的策略状态;要防火墙配置永久生效要进行保存
service iptbales save
0x04 参考链接
http://www.zsythink.net/archives/1199
https://www.cnblogs.com/lsdb/p/7060251.html
http://www.webkaka.com/tutorial/server/2019/030525/