1. 程式人生 > >安卓app限制上網之——Linux防火牆Iptables新手教程

安卓app限制上網之——Linux防火牆Iptables新手教程

首先我們要弄明白,防火牆將怎麼對待 這些資料包。這些資料包會經過一些相應的規則鏈,比如要進入你的計算機的資料包會首先進入INPUT鏈,從我們的計算機發出的資料包會經過 OUTPUT鏈,如果一臺計算機做一個網路的閘道器(處於內網和外網兩個網路連線的兩臺計算機,這兩臺計算機之間相互通訊的資料包會經過這臺計算機,這臺計 算機即相當於一個路由器),可能 會有很多資料經過這臺計算機,那麼這些資料包必經FORWARD鏈,FORWARD鏈即資料轉發鏈。明白了這些“鏈”的概念我們才能進一步學習使用 iptables。
現在我們再來分析一下iptables規則是如何工作的,假如我們要訪問網站www.yahoo.com,我們要對www.yahoo.com發出請 求,這些資料包要經過OUTPUT鏈,在請求發出前,Linux的核心會在OUTPUT鏈中檢查有沒有相應的規則適合這個資料包,如果沒有相應的規 則,OUTPUT鏈還會有預設的規則,或者允許,或者不允許(事實上,不允許有兩種,一種是把請求拒絕,告訴發出請示的程式被拒絕;還有一種是丟棄,讓請 求發出者傻等,直到超時)。如果得到允許,請求就發出了,而www.yahoo.com伺服器返回的資料包會經過INPUT鏈,當然,INPUT鏈中也會 有相應的規則等著它。

下面我們介紹幾個iptable的命令
iptables -L [-t filter]
這條命令是顯示當前有什麼已經設定好的防火牆規則,可能的顯示結果如下:
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

從這裡我們可以看出,iptables 有三個鏈分別是 INPUT OUTPUT 和FORWARD.
其中
INPUT 是外部資料要進過我們主機的第一外關卡(當然你前面也可以再加硬體防火牆).
OUTPUT 是你的主機的資料送出時要做的過綠卡
FORWARD   是轉發 你在NAT時才會用到
要設定iptables 主要是對這三條鏈進行設定,當然也包括-nat的另外三個鏈 我們以後再說
你要用iptables 你就得啟到它 啟動命令 service iptables restart
iptables的預設設定為 三條鏈都是ACCEPT 如下:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
以上資訊你可以用 iptables -L看到
總體來說iptables可以有二種設定
1.預設允許,拒絕特別的
2.預設拒絕,允許特別的
二者都有自己有特點,從安全形度看 個人偏向於第二種,就是預設拒絕,允許特別的.但iptalbes 預設是第一種 預設允許,拒絕特別的
你可以用命令改變預設值來達到我們的要求 命令如下
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
你再用iptables -L檢視一下就會覺得預設值以改了
先來談炎幾個引數XZFL
-F 清除規則
-X 清除鏈
-Z 將鏈的記數的流量清零
一般來說 再建立訪問規則時 都會將原有的規則清零 這是一個比較好的習慣,因為某些規則的存在會影響你建的規則.
基本語法:
iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface]
[-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports]
[-d ip/netword] [--dport ports] [-j ACCEPT DROP]
以上是iptables的基本語法
A 是新增的意思
I 是播入的意思
io 指的是資料要進入或出去所要經過的埠 如eth1 eth0 pppoe等
p 你所要指定的協議
-s 指源地址 可是單個IP如192.168.2.6 也可以是一個網路 192.168.2.0/24 還可以 是一個域名 如163.com 如果你填寫的域名系統會自動解析出他的IP並在iptables裡 顯示
--sport 來源埠
-d 同-s相似 只不過他指的是目標地址 也可以是IP 域名 和網路
--dport 目標埠
-j 執行引數 ACCEPT DROP
注意:如果以有引數存在 則說明全部接受
1 如我要來自己l0介面的資料全部接受,我們可以寫成這樣:
iptables -A INPUT -i lo -j ACCEPT
2 如果我們想接受192.168.2.6這個IP地址傳來的資料我們可以這樣寫
iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT
3 如果我們要拒絕來自己192.168.2.0/24這個網的telnet連線
iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24
--sport 23 -j DROP

(二)引數指令

iptables 指令
語法:
iptables [-t table] command [match] [-j target/jump]
-t 引數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。個規則表的功能如下:

nat 此規則表擁有 Prerouting 和 postrouting 兩個規則鏈,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNATDNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行 來源網址轉譯,反之亦然,因此為了提升改寫封包的率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個資料表裡,將 會造成無法對同一包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。

mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則鏈。
除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。

filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈,這個規則表顧名思義是用來進行封包過濾的理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。

常用命令列表:
命令 -A, --append
範例 iptables -A INPUT ...
說明 新增規則到某個規則鏈中,該規則將會成為規則鏈中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則鏈中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後並不會改變順序。
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明 列出某規則鏈中的所有規則。
命令 -F, --flush
範例 iptables -F INPUT
說明 刪除某規則鏈中的所有規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明 定義新的規則鏈。
命令 -X, --delete-chain
範例 iptables -X allowed
說明 刪除某個規則鏈。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則鏈的名稱。
常用封包比對引數:
引數 -p, --protocol
範例 iptables -A INPUT -p tcp
說明 比對通訊協議型別是否相符,可以使用 ! 運運算元進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它型別,包含udp、icmp ...等。如果要比對所有型別,則可以使用 all 關鍵詞,例如:-p all。
引數 -s, --src, --source
範例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網路,比對網路時請用數字來表示遮蔽,例如:-s 192.168.0.0/24,比對 IP 時可以使用 ! 運運算元進行反向比對,例如:-s ! 192.168.0.0/24。
引數 -d, --dst, --destination
範例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
引數 -i, --in-interface
範例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網絡卡進入,可以使用通配字元 + 來做大範圍比對,例如:-i eth+ 表示所有的 ethernet 網絡卡,也以使用 ! 運運算元進行反向比對,例如:-i ! eth0。
引數 -o, --out-interface
範例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網絡卡送出,設定方式同上。
引數 --sport, --source-port
範例 iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個範圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合件,如果要比對不連續的多個埠,則必須使用 --multiport 引數,詳見後文。比對埠號時,可以使用 ! 運運算元進行反向比對。
引數 --dport, --destination-port
範例 iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的地埠號,設定方式同上。
引數 --tcp-flags
範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態旗號,引數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)
PSH(強迫推送) 等均可使用於引數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運運算元行反向比對。
引數 --syn
範例 iptables -p tcp --syn
說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !運運算元,可用來比對非要求聯機封包。
引數 -m multiport --source-port
範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運運算元進行反向比對。
引數 -m multiport --destination-port
範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
引數 -m multiport --port
範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個引數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本範例中,如果來源埠號為 80 目的地埠號為 110,這種封包並不算符合條件。
引數 --icmp-type
範例 iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的型別編號,可以使用程式碼或數字編號來進行比對。請打 iptables -p icmp --help 來檢視有哪些程式碼可用。
引數 -m limit --limit
範例 iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。 除了每小時平均次外,也可以每秒鐘、每分鐘或每天平均一次,預設值為每小時平均一次,引數如後: /second、 /minute、/day。 除了進行封
數量的比對外,設定這個引數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。
引數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是預設值),超過此上限的封將被直接丟棄。使用效果同上。
引數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網路介面的硬體地址,這個引數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網後,才能由網絡卡驅動程式透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到個網路介面去。
引數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最不可以超過 4294967296。
引數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免伺服器使用 root 或其它身分將敏感資料傳送出,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
引數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。
引數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。
引數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。
引數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。

INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。

常用的處理動作:
-j 引數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、

SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(natostrouting)。
REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是
tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程式。 範例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程式。
REDIRECT 將封包重新導向到另一個埠(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式
porxy 或用來保護 web 伺服器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的範圍,進行完此處理動作後,直接跳往下一個規則(mangleostrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網絡卡直接讀,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 伺服器指派的,這個時候 MASQUERADE 特別有用。範例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其規則。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將直接跳往下一個規則(mangleostrouting)。範例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將會直接跳往下一個規煉(filter:input 或 filter:forward)。範例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程式。
QUEUE 中斷過濾程式,將封包放入佇列,交給其它程式處理。透過自行開發的處理程式,可以進行其它應用,例如:計算聯機費.......等。
RETURN 結束在目前規則煉中的過濾程式,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程式,那麼這個動作,就相當提早結束子程式並返回到主程式中。
MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。範例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

(三)Iptables命令詳解和舉例

網上看到這個配置講解得還比較易懂,就轉過來了,大家一起看下,希望對您工作能有所幫助。
網管員的安全意識要比空喊Linux安全重要得多。

iptables -F
iptables -X
iptables -F -t mangle
iptables -t mangle -X
iptables -F -t nat
iptables -t nat -X
首先,把三個表清空,把自建的規則清空。

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
設定INPUT、OUTPUT的預設策略為DROP,FORWARD為ACCEPT。

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
先把“迴環”開啟,以免有不必要的麻煩。

iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
在所有網絡卡上開啟ping功能,便於維護和檢測。

iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT
開啟22埠,允許遠端管理。(設定了很多的附加條件:管理機器IP必須是250,並且必須從eth0網絡卡進入)

iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.168.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -d 192.168.168.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT
上面這幾句是比較頭痛的,我做逐一解釋。

iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT
允許192.168.100.0/24網段的機器傳送資料包從eth0網絡卡進入。如果資料包是tcp協議,而且目的埠是3128(因為REDIRECT已經把80改為3128了。nat表的PREROUTING是在filter表的INPUT前面的。)的,再而且,資料包的狀態必須是NEW或者ESTABLISHED的(NEW代表tcp三段式握手的“第一握”,換句話說就是,允許客戶端機器向伺服器發出連結申請。ESTABLISHED表示通過握手已經建立起連結),通過。

iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
我們先來看這一句。現在你的資料包已經進入到linux伺服器防火牆上來了。squid需要代替你去訪問,所以這時,伺服器就成了客戶端的角色,所以它要使用32768到61000的私有埠進行訪問。(大家會奇怪應該是1024到65535吧。其實CentOS版的linux所定義的私有埠是32768到61000的,你可以通過cat /proc/sys/net/ipv4/ip_local_port_range,檢視一下。)再次宣告:這裡是squid以客戶端的身份去訪問其他的伺服器,所以這裡的源埠是32768:61000,而不是3128!

iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
當然了,資料有去就有回。

iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT
資料包還得通過伺服器,轉到內網網絡卡上。請注意,這裡,是squid幫你去訪問了你想要訪問的網站。所以在內網中,你的機器是客戶端角色,而squid是伺服器角色。這與剛才對外訪問的過程是不同的。所以在這裡,源埠是3128,而不是32768:61000。

iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT
當然,DNS是不可缺少的。

iptables -A INPUT -i eth+ -p tcp --dport 80 -j LOG --log-prefix "iptables_80_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 21 -j LOG --log-prefix "iptables_21_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 22 -j LOG --log-prefix "iptables_22_alert" --log-level info
iptables -A INPUT -i eth+ -p tcp --dport 25 -j LOG --log-prefix "iptables_25_alert" --log-level info
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j LOG --log-prefix "iptables_icmp8_alert" --log-level info
當然了,來點日誌記錄會對網管員有所幫助。

iptables 基本命令使用舉例

一、鏈的基本操作
1、清除所有的規則。
1)清除預設表filter中所有規則鏈中的規則。
# iptables -F
2)清除預設表filter中使用者自定鏈中的規則。
#iptables -X
#iptables -Z
2、設定鏈的預設策略。一般有兩種方法。
1)首先允許所有的包,然後再禁止有危險的包通過放火牆。
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD ACCEPT
2)首先禁止所有的包,然後根據需要的服務允許特定的包通過防火牆。
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
3、列出表/鏈中的所有規則。預設只列出filter表。
#iptables -L
4、向鏈中新增規則。下面的語句用於開放網路介面:
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
#iptables -A INPUT -i eth0 -j ACEPT
#iptables -A OUTPUT -o eth1 -j ACCEPT
#iptables -A FORWARD -i eth1 -j ACCEPT
#iptables -A FORWARD -0 eth1 -j ACCEPT
注意:由於本地程序不會經過FORWARD鏈,因此迴環介面lo只在INPUT和OUTPUT兩個鏈上作用。
5、使用者自定義鏈。
#iptables -N custom
#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP
#iptables -A INPUT -s 0/0 -d 0/0 -j DROP
二、設定基本的規則匹配
1、指定協議匹配。
1)匹配指定協議。
#iptables -A INPUT -p tcp
2)匹配指定協議之外的所有協議。
#iptables -A INPUT -p !tcp
2、指定地址匹配。
1)指定匹配的主機。
#iptables -A INPUT -s 192.168.0.18
2)指定匹配的網路。
#iptables -A INPUT -s 192.168.2.0/24
3)匹配指定主機之外的地址。
#iptables -A FORWARD -s !192.168.0.19
4)匹配指定網路之外的網路。
#iptables -A FORWARD -s ! 192.168.3.0/24
3、指定網路介面匹配。
1)指定單一的網路介面匹配。
#iptables -A INPUT -i eth0
#iptables -A FORWARD -o eth0
2)指定同類型的網路介面匹配。
#iptables -A FORWARD -o ppp+
4、指定埠匹配。
1)指定單一埠匹配。
#iptables -A INPUT -p tcp --sport www
#iptables -A INPUT -p udp –dport 53
2)匹配指定埠之外的埠。
#iptables -A INPUT -p tcp –dport !22
3)匹配埠範圍。
#iptables -A INPUT -p tcp –sport 22:80
4)匹配ICMP埠和ICMP型別。
#iptables -A INOUT -p icmp –icimp-type 8
5)指定ip碎片。

個網路介面都有一個MTU(最大傳輸單元),這個引數定義了可以通過的資料包的最大尺寸。如果一個數據包大於這個引數值時,系統會將其劃分成更小的資料包
(稱為ip碎片)來傳輸,而接受方則對這些ip碎片再進行重組以還原整個包。這樣會導致一個問題:當系統將大資料包劃分成ip碎片傳輸時,第一個碎片含有
完整的包頭資訊(IP+TCP、UDP和ICMP),但是後續的碎片只有包頭的部分資訊(如源地址、目的地址)。因此,檢查後面的ip碎片的頭部(象有
TCP、UDP和ICMP一樣)是不可能的。假如有這樣的一條規則:
#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT
並且這時的FORWARD的policy為DROP時,系統只會讓第一個ip碎片通過,而餘下的碎片因為包頭資訊不完整而無法通過。可以通過—fragment/-f 選項來指定第二個及以後的ip碎片解決上述問題。
#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
注意現在有許多進行ip碎片攻擊的例項,如DoS攻擊,因此允許ip碎片通過是有安全隱患的,對於這一點可以採用iptables的匹配擴充套件來進行限制。
三、設定擴充套件的規則匹配(舉例已忽略目標動作)
1、多埠匹配。
1)匹配多個源埠。
#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110
2)匹配多個目的埠。
#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80
3)匹配多埠(無論是源埠還是目的埠)
#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110
2、指定TCP匹配擴充套件
使用 –tcp-flags 選項可以根據tcp包的標誌位進行過濾。
#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN
#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK
上例項中第一個表示SYN、ACK、FIN的標誌都檢查,但是隻有SYN匹配。第二個表示ALL(SYN,ACK,FIN,RST,URG,PSH)的標誌都檢查,但是隻有設定了SYN和ACK的匹配。
#iptables -A FORWARD -p tcp --syn
選項—syn相當於”--tcp-flags SYN,RST,ACK SYN”的簡寫。
3、limit速率匹配擴充套件。
1)指定單位時間內允許通過的資料包個數,單位時間可以是/second、/minute、/hour、/day或使用第一個子母。
#iptables -A INPUT -m limit --limit 300/hour
2 )指定觸發事件的閥值。
#iptables -A INPUT -m limit –limit-burst 10
用來比對一次同時湧入的封包是否超過10個,超過此上限的包將直接丟棄。
3)同時指定速率限制和觸發閥值。
#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3
表示每分鐘允許的最大包數量為限制速率(本例為3)加上當前的觸發閥值burst數。任何情況下,都可保證3個數據包通過,觸發閥值burst相當於允許額外的包數量。
4)基於狀態的匹配擴充套件(連線跟蹤)
每個網路連線包括以下資訊:源地址、目標地址、源埠、目的埠,稱為套接字對(socket pairs);協議型別、連線狀態(TCP協議)
和超時時間等。防火牆把這些資訊稱為狀態(stateful)。狀態包過濾防火牆能在記憶體中維護一個跟蹤狀態的表,比簡單包過濾防火牆具有更大的安全性,命令格式如下:
iptables -m state –-state [!]state [,state,state,state]
其中,state表是一個逗號分割的列表,用來指定連線狀態,4種:
>NEW: 該包想要開始一個新的連線(重新連線或連線重定向)
>RELATED:該包是屬於某個已經建立的連線所建立的新連線。舉例:
FTP的資料傳輸連線和控制連線之間就是RELATED關係。
>ESTABLISHED:該包屬於某個已經建立的連線。
>INVALID:該包不匹配於任何連線,通常這些包被DROP。
例如:
(1)在INPUT鏈新增一條規則,匹配已經建立的連線或由已經建立的連線所建立的新連線。即匹配所有的TCP迴應包。
#iptables -A INPUT -m state –state RELATED,ESTABLISHED
(2)在INPUT鏈鏈新增一條規則,匹配所有從非eth0介面來的連線請求包。
#iptables -A INPUT -m state -–state NEW -i !eth0
又如,對於ftp連線可以使用下面的連線跟蹤:
(1)被動(Passive)ftp連線模式。
#iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m
state -–state ESTABLISHED,RELATED -j ACCEPT
(2)主動(Active)ftp連線模式
#iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT

(四)Iptables實現NAT

1.概述

1.1 什麼是NAT

在傳統的標準的TCP/IP通訊過程中,所有的路由器僅僅是充當一箇中間人的角色,也就是通常所說的儲存轉發,路由器並不會對轉發的資料包進行修改, 更為確切的說,除了將源MAC地址換成自己的MAC地址以外,路由器不會對轉發的資料包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對資料包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。

1.2 為什麼要進行NAT

我們來看看再什麼情況下我們需要做NAT。

假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區使用者的IP地址都是偽IP,但是部分使用者要求建立自己的WWW 伺服器對外發布資訊,這時候我們就可以通過NAT來提供這種服務了。我們可以再防火牆的外部網絡卡上繫結多個合法IP地址,然後通過NAT技術使發給其中某 一個IP地址的包轉發至內部某一使用者的WWW伺服器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。

再比如使用撥號上網的網咖,因為只有一個合法的IP地址,必須採用某種手段讓其他機器也可以上網,通常是採用代理伺服器的方式,但是代理伺服器,尤其 是應用層代理伺服器,只能支援有限的協議,如果過了一段時間後又有新的服務出來,則只能等待代理伺服器支援該新應用的升級版本。如果採用NAT來解決這個 問題,

因為只在應用層以下進行處理,不但可以獲得很高的訪問速度,而且可以無縫的支援任何新的服務或應用。

還有一個方面的應用就是重定向,也就是當接收到一個包後,不是轉發這個包,而是將其重定向到系統上的某一個應用程式。最常見的應用就是和squid配合使用成為透明代理,在對http流量進行快取的同時,可以提供對Internet的無縫訪問。

1.3 NAT的型別

在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種型別,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉發資料包的源地址,所謂DNAT就是改變轉發資料包的目的地址。

2.原理

下圖是linux2.4的原理圖:

Linux防火牆iptables學習筆記(四)iptables實現NAT

   在“用iptales實現包過慮型防火牆”一文中我們說過,netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組 成。並且系統預設的表是"filter"。但是在使用NAT的時候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter",所以在使用filter功能時,我們沒有必要顯式的指明"-t filter"。

同filter表一樣,nat表也有三條預設的"鏈"(chains),這三條鏈也是規則的容器,它們分別是:

PREROUTING:可以在這裡定義進行目的NAT的規則,因為路由器進行路由時只檢查資料包的目的ip地址,所以為了使資料包得以正確路由,我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這裡定義進行源NAT的規則,系統在決定了資料包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的資料包的目的NAT規則。
3.操作語法

如前所述,在使用iptables的NAT功能時,我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:

3.1 對規則的操作

加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
3.2 指定源地址和目的地址

通過--source/--src/-s來指定源地址(這裡的/表示或者的意思,下同),通過--destination/--dst/-s來指定目的地址。可以使用以 下四中方法來指定ip地址:

使用完整的域名,如“www.linuxaid.com.cn”;
使用ip地址,如“192.168.1.1”;
用x.x.x.x/x.x.x.x指定一個網路地址,如“192.168.1.0/255.255.255.0”;
用x.x.x.x/x指定一個網路地址,如“192.168.1.0/24”這裡的24表明了子網掩碼的有效位數,這是UNIX環境中通常使用的表示方法。預設的子網掩碼數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。
3.3 指定網路介面

可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出,對於 PREROUTING鏈,我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。

3.4 指定協議及埠

可以通過--protocol/-p選項來指定協議,如果是udp和tcp協議,還可--source-port/--sport和 --destination-port/--dport來指明埠。

4.準備工作

4.1 編譯核心,編譯時選中以下選項,具體可參看“用iptales實現包過慮型防火牆”一文:

Full NAT
MASQUERADE target support
REDIRECT target support
4.2 要使用NAT表時,必須首先載入相關模組:
modprobe ip_tables
modprobe ip_nat_ftp

iptable_nat 模組會在執行時自動載入。

5.使用例項

5.1 源NAT(SNAT)

比如,更改所有來自192.168.1.0/24的資料包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4

這裡需要注意的是,系統在路由及過慮等處理直到資料包要被送出時才進行SNAT。

有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號上網的時候使用,或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

可以看出,這時候我們沒有必要顯式的指定源ip地址等資訊。

5.2 目的SNAT(DNAT)

比如,更改所有來自192.168.1.0/24的資料包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4

這裡需要注意的是,系統是先進行DNAT,然後才進行路由及過慮等操作。

有一種DNAT的特殊情況是重定向,也就是所謂的Redirection,這時候就相當於將符合條件的資料包的目的ip地址改為資料包進入系統時的網 絡介面的ip地址。通常是在與squid配置形成透明代理時使用,假設squid的監聽埠是3128,我們可以通過以下語句來將來自 192.168.1.0/24,目的埠為80的資料包重定向到squid監聽埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128

6.綜合例子

6.1 使用撥號帶動區域網上網

小型企業、網咖等多使用撥號網路上網,通常可能使用代理,但是考慮到成本、對協議的支援等因素,建議使用ip欺騙方式帶動區域網上網。

成功升級核心後安裝iptables,然後執行以下指令碼:

#載入相關模組
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

6.2 ip對映

假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區使用者的IP地址都是偽IP,但是部分使用者要求建立自己的WWW 伺服器對外發布資訊。我們可以再防火牆的外部網絡卡上繫結多個合法IP地址,然後通過ip對映使發給其中某一個IP地址的包轉發至內部某一使用者的WWW服務 器上,然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。

我們假設以下情景:

該ISP分配給A單位www伺服器的ip為:

偽ip:192.168.1.100

真實ip:202.110.123.100

該ISP分配給B單位www伺服器的ip為:

偽ip:192.168.1.200

真實ip:202.110.123.200

linux防火牆的ip地址分別為:

內網介面eth1:192.168.1.1

外網介面eth0:202.110.123.1

然後我們將分配給A、B單位的真實ip繫結到防火牆的外網介面,以root許可權執行以下命令:

ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0

成功升級核心後安裝iptables,然後執行以下指令碼:

#載入相關模組
modprobe ip_tables
modprobe ip_nat_ftp

首先,對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有資料包進行目的NAT(DNAT):

iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200

其次,對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的資料包進行源NAT(SNAT):

iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200

這樣,所有目的ip為202.110.123.100和202.110.123.200的資料包都將分別被轉發給192.168.1.100和 192.168.1.200;而所有來自192.168.1.100和192.168.1.200的資料包都將分別被偽裝成由 202.110.123.100和202.110.123.200,從而也就實現了ip對映。

(五)Linux+Iptables構築防火牆例項

本文旨在用為公司做防火牆的例項,讓大家對Linux+iptables做防火牆的安裝和配置有一個大致的瞭解,希望能起到拋磚引玉的作用。

系統環境與網路規化

先了解一下公司的環境,公 司利用2M ADSL專線上網,電信分配公用IP為218.4.62.12/29,閘道器為218.4.62.13 ,公司有電腦五十多臺,使用DHCP,IP是192.168.2.XXX,DHCP Server建在iptables Server上;另公司有一電腦培訓中心,使用指定固定IP,IP為192.168.20.XXX,為了更加快速的瀏覽網頁,我們架了一臺Squid Server,所有電腦通過Squid Server瀏覽網頁,公司還另有一臺WEB Server+Mail Server+Ftp Server。其IP為218.4.62.18。以上電腦和伺服器要求全架在防火牆內。我們規化如下:

Iptables Server上有三塊網絡卡,eth0上加有二個IP,218.4.62.14和218.4.62.18。

其中 218.4.62.14為共享上網,218.4.62.18為WEB Server專用,Eth1的IP為192..168.2.9;為了使培訓中心PC與公司PC之間互不訪問,所以直接從Iptables Server接到Switch-B,eth2接至Switch-A,連線培訓中心PC和Squid Server, Web Server。

網路規化好了後,就開始裝伺服器了,Iptables Server 用的系統為Redhat Linux V7.3。在裝伺服器時要注意選上防火牆的安裝包。

IPTABLES基礎

Iptables語法:

Iptables [-t TABLE] ACTION [PATTERN] [-j TARGET]

TABLE:

有filter,nat,mangle;若無指定,預設為filter table.

ACTION(對Chains執行的動作):

ACTION 說明

-L Chain 顯示Chain中的所有規則

-A Chain 對Chain新增一條規則

-D Chain 刪除Chain中的一條規則

-I Chain 在Chain中插入一條規則

-R Chain 替換Chain中的某一條規則

-P Chain 對Chain設定的預設的Policy

-F Chain 清除Chain中的所有規則

-N Chain 自訂一個Chain

-X 清除所有的自訂Chain

CHAINS:

Iptables 有五條預設的Chains(規則鏈),如下表:

Chains 發生的時機

PREROUTING 資料包進入本機後,進入Route Table前

INPUT 資料包通過Route Table後,目地為本機

OUTPUT 由本機發出,進入Route Table前

FORWARD 通過Route Table後,目地不是本機時

POSTROUTING 通過Route Table後,送到網絡卡前

PATTERN(設定條件部份):

引數 內容 說明

-p Protocol 通訊協議,如tcp,udp,icmp,all等。。。

-s Address 指定的Source Address為Address

-d Address 指定的Destination Address為Address

-I Interface 指定資料包進入的網絡卡

-o Interface 指定資料包輸出的網絡卡

-m Match 指定高階選項,如mac,state,multiport等。。。

TARGET(常用的動作):

TARGET 說明

ACCEPT 讓這個資料包通過

DROP 丟棄資料包

RETURN 不作對比直接返回

QUEUE 傳給User-Space的應用軟體處理這個資料包

SNAT nat專用:轉譯來源地址

DNAT nat專用:轉譯目地地址

MASQUERADE nat專用:轉譯來源地址成為NIC的MAC

REDIRECT nat專用:轉送到本機的某個PORT

用/etc/rc.d/init.d/iptables save可在/etc/sysconfig/中產生一iptables檔案,大家可以看到,它有三個*號開始的行,其每一個以*號開始的行對應一個 table,以COMMIT表示此table 的結束。可將要定的規則加入到對應的table中,如下:

[[email protected] init.d]# ./iptables saveSaving current rules to /etc/sysconfig/iptables: [ OK ][[email protected] init.d]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.2.4 on Sat Sep 28 16:51:22 2002

*mangle

:PREROUTING ACCEPT [61522:8074850]

:OUTPUT ACCEPT [1079:79301]

COMMIT

# Completed on Sat Sep 28 16:51:22 2002

# Generated by iptables-save v1.2.4 on Sat Sep 28 16:51:22 2002

*nat

:PREROUTING ACCEPT [31850:5091703]

:POSTROUTING ACCEPT [20:1240]

:OUTPUT ACCEPT [12:776]

COMMIT

# Completed on Sat Sep 28 16:51:22 2002

# Generated by iptables-save v1.2.4 on Sat Sep 28 16:51:22 2002

*filter

:INPUT ACCEPT [61444:8070296]

:FORWARD ACCEPT [34:1984]

:OUTPUT ACCEPT [1079:79301]

COMMIT

安裝並啟動IPTABLES

在安裝RedHat Linux V7.3後,iptables就已經被安裝了,但預設啟動的是ipchains。你在安裝時所定義的一些規則也在/etc/sysconfig /ipchains中被定義。我們需要將其停止,才能啟動iptables(注意:雖然不停止ipchains也可以啟動iptables,但這時 iptables並沒有真正的起作用。Ipchains和iptables是兩個防火牆,你只能選擇一個)。

service ipchains stop (停止ipchains)

chkconfig --level 2345 ipchains off (使ipchains系統啟動時不自動啟動)

chkconfig --level 2345 iptables on (使iptables 在系統啟動時自動啟動)

vi /etc/rc.d/rc.local (編輯rc.local,將下面四行加到最後)

ifconfig eth0 add 218.4.62.18 netmask 255.255.255.248

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

echo “1” > /proc/sys/net/ipv4/ip_forward

(第一行是在eth0上再加一個IP:218.4.62.18,因在安裝時只能設一個IP:218.4.62.14。Ip_conntrack_ftp 和ip_nat_ftp為iptables運得必須的兩個模組;最後一行為使開啟伺服器IP轉發功能。)

(如果你將iptables的模組加到了核心中,以上第二,三行可省略。)

配置DHCP Server,以便讓公司PC自動獲得IP和閘道器,閘道器為192.168.2.9。具體的方法請參見相關資料