iptables基礎知識點有哪些

這篇文章主要介紹了iptables基礎知識點有哪些的相關知識，內容詳細易懂，操作簡單快捷，具有一定借鑒價值，相信大家閱讀完這篇iptables基礎知識點有哪些文章都會有所收獲，下面我們一起來看看吧。

iptables可以適用于所有的Linux發行版本，所以我們要想有效的管理防火墻必須理解怎樣配置iptables。

首先介紹iptables的結構：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。

圖: IPTables Table, Chain, and Rule Structure

一、iptables的表與鏈

iptables具有Filter, NAT, Mangle, Raw四種內建表：

1. Filter表

Filter表示iptables的默認表，因此如果你沒有自定義表，那么就默認使用filter表，它具有以下三種內建鏈：

• INPUT鏈 – 處理來自外部的數據。

• OUTPUT鏈 – 處理向外發送的數據。

• FORWARD鏈 – 將數據轉發到本機的其他網卡設備上。

2. NAT表

NAT表有三種內建鏈：

• PREROUTING鏈 – 處理剛到達本機并在路由轉發前的數據包。它會轉換數據包中的目標IP地址（destination ip address），通常用于DNAT(destination NAT)。

• POSTROUTING鏈 – 處理即將離開本機的數據包。它會轉換數據包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

• OUTPUT鏈 – 處理本機產生的數據包。

3. Mangle表

Mangle表用于指定如何處理數據包。它能改變TCP頭中的QoS位。Mangle表具有5個內建鏈：

• PREROUTING

• OUTPUT

• FORWARD

• INPUT

• POSTROUTING

4. Raw表

Raw表用于處理異常，它具有2個內建鏈：

• PREROUTING chain

• OUTPUT chain

5.小結

下圖展示了iptables的三個內建表：

圖: IPTables 內建表

二、IPTABLES 規則(Rules)

牢記以下三點式理解iptables規則的關鍵：

• Rules包括一個條件和一個目標(target)

• 如果滿足條件，就執行目標(target)中的規則或者特定值。

• 如果不滿足條件，就判斷下一條Rules。

目標值（Target Values）

下面是你可以在target里指定的特殊值：

• ACCEPT – 允許防火墻接收數據包

• DROP – 防火墻丟棄包

• QUEUE – 防火墻將數據包移交到用戶空間

• RETURN – 防火墻停止執行當前鏈中的后續Rules，并返回到調用鏈(the calling chain)中。

如果你執行iptables –list你將看到防火墻上的可用規則。下例說明當前系統沒有定義防火墻，你可以看到，它顯示了默認的filter表，以及表內默認的input鏈, forward鏈, output鏈。

# iptables -t filter –list Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination

查看mangle表：

# iptables -t mangle –list

查看NAT表：

# iptables -t nat –list

查看RAW表：

# iptables -t raw –list

!注意：如果不指定 -t選項，就只會顯示默認的 filter表。因此，以下兩種命令形式是一個意思：

# iptables -t filter –list (or) # iptables –list

以下例子表明在filter表的input鏈, forward鏈, output鏈中存在規則：

# iptables –list Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all – 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT) num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination 1 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 2 ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0 icmp type 255 3 ACCEPT esp – 0.0.0.0/0 0.0.0.0/0 4 ACCEPT ah – 0.0.0.0/0 0.0.0.0/0 5 ACCEPT udp – 0.0.0.0/0 224.0.0.251 udp dpt:5353 6 ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:631 7 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 8 ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 10 REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

以上輸出包含下列字段：

• num – 指定鏈中的規則編號 target – 前面提到的target的特殊值 prot – 協議：tcp, udp, icmp等 source – 數據包的源IP地址 destination – 數據包的目標IP地址

三、清空所有iptables規則

在配置iptables之前，你通常需要用iptables –list命令或者iptables-save命令查看有無現存規則，因為有時需要刪除現有的iptables規則：

iptables –flush 或者 iptables -F

這兩條命令是等效的。但是并非執行后就萬事大吉了。你仍然需要檢查規則是不是真的清空了，因為有的linux發行版上這個命令不會清除NAT表中的規則，此時只能手動清除：

iptables -t NAT -F

四、永久生效

當你刪除、添加規則后，這些更改并不能永久生效，這些規則很有可能在系統重啟后恢復原樣。為了讓配置永久生效，根據平臺的不同，具體操作也不同。下面進行簡單介紹：

1.Ubuntu

首先，保存現有的規則：

iptables-save > /etc/iptables.rules

然后新建一個bash腳本，并保存到 /etc/network/if-pre-up.d/目錄下：

#!/bin/bash iptables-restore

這樣，每次系統重啟后iptables規則都會被自動加載。

！注意：不要嘗試在.bashrc或者.profile中執行以上命令，因為用戶通常不是root，而且這只能在登錄時加載iptables規則。

2.CentOS, RedHat

# 保存iptables規則 service iptables save

# 重啟iptables服務 service iptables stop service iptables start

查看當前規則：

cat /etc/sysconfig/iptables

五、追加iptables規則

可以使用iptables -A命令追加新規則，其中 -A表示 Append。因此， 新的規則將追加到鏈尾。

一般而言，最后一條規則用于丟棄(DROP)所有數據包。如果你已經有這樣的規則了，并且使用 -A參數添加新規則，那么就是無用功。

1.語法

iptables -A chain firewall-rule

• -A chain – 指定要追加規則的鏈

• firewall-rule – 具體的規則參數

2.描述規則的基本參數

以下這些規則參數用于描述數據包的協議、源地址、目的地址、允許經過的網絡接口，以及如何處理這些數據包。這些描述是對規則的基本描述。

-p 協議（protocol）

• 指定規則的協議，如tcp, udp, icmp等，可以使用all來指定所有協議。

• 如果不指定-p參數，則默認是all值。這并不明智，請總是明確指定協議名稱。

• 可以使用協議名(如tcp)，或者是協議值（比如6代表tcp）來指定協議。映射關系請查看/etc/protocols

• 還可以使用–protocol參數代替-p參數

-s 源地址（source）

• 指定數據包的源地址

• 參數可以使IP地址、網絡地址、主機名

• 例如：-s 192.168.1.101指定IP地址

• 例如：-s 192.168.1.10/24指定網絡地址

• 如果不指定-s參數，就代表所有地址

• 還可以使用–src或者–source

-d 目的地址（destination）

• 指定目的地址

• 參數和-s相同

• 還可以使用–dst或者–destination

-j 執行目標（jump to target）

• -j代表”jump to target”

• -j指定了當與規則(Rule)匹配時如何處理數據包

• 可能的值是ACCEPT, DROP, QUEUE, RETURN，MASQUERADE

• 還可以指定其他鏈（Chain）作為目標

• 注：MASQUERADE，地址偽裝，算是snat中的一種特例，可以實現自動化的snat（詳情見上一篇文章）。

-i 輸入接口（input interface）

• -i代表輸入接口(input interface)

• -i指定了要處理來自哪個接口的數據包

• 這些數據包即將進入INPUT, FORWARD, PREROUTE鏈

• 例如：-i eth0指定了要處理經由eth0進入的數據包

• 如果不指定-i參數，那么將處理進入所有接口的數據包

• 如果出現! -i eth0，那么將處理所有經由eth0以外的接口進入的數據包

• 如果出現-i eth+，那么將處理所有經由eth開頭的接口進入的數據包

• 還可以使用–in-interface參數

-o 輸出（out interface）

• -o代表”output interface”

• -o指定了數據包由哪個接口輸出

• 這些數據包即將進入FORWARD, OUTPUT, POSTROUTING鏈

• 如果不指定-o選項，那么系統上的所有接口都可以作為輸出接口

• 如果出現! -o eth0，那么將從eth0以外的接口輸出

• 如果出現-i eth+，那么將僅從eth開頭的接口輸出

• 還可以使用–out-interface參數

3.描述規則的擴展參數

對規則有了一個基本描述之后，有時候我們還希望指定端口、TCP標志、ICMP類型等內容。

–sport 源端口（source port）針對 -p tcp 或者 -p udp

• 缺省情況下，將匹配所有端口

• 可以指定端口號或者端口名稱，例如”–sport 22″與”–sport ssh”。

• /etc/services文件描述了上述映射關系。

• 從性能上講，使用端口號更好

• 使用冒號可以匹配端口范圍，如”–sport 22:100″

• 還可以使用”–source-port”

–-dport 目的端口（destination port）針對-p tcp 或者 -p udp

• 參數和–sport類似

• 還可以使用”–destination-port”

-–tcp-flags TCP標志 針對-p tcp

• 可以指定由逗號分隔的多個參數

• 有效值可以是：SYN, ACK, FIN, RST, URG, PSH

• 可以使用ALL或者NONE

-–icmp-type ICMP類型 針對-p icmp

• –icmp-type 0 表示Echo Reply

• –icmp-type 8 表示Echo

4.追加規則的完整實例：僅允許SSH服務

本例實現的規則將僅允許SSH數據包通過本地計算機，其他一切連接（包括ping）都將被拒絕。

# 1.清空所有iptables規則 iptables -F

# 2.接收目標端口為22的數據包 iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

# 3.拒絕所有其他數據包 iptables -A INPUT -j DROP

六、更改默認策略

上例的例子僅對接收的數據包過濾，而對于要發送出去的數據包卻沒有任何限制。本節主要介紹如何更改鏈策略，以改變鏈的行為。

1. 默認鏈策略

/!\警告：請勿在遠程連接的服務器、虛擬機上測試！

當我們使用-L選項驗證當前規則是發現，所有的鏈旁邊都有 policy ACCEPT標注，這表明當前鏈的默認策略為ACCEPT：

# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp – anywhere anywhere tcp dpt:ssh DROP all – anywhere anywhere

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination

這種情況下，如果沒有明確添加DROP規則，那么默認情況下將采用ACCEPT策略進行過濾。除非：

a)為以上三個鏈單獨添加DROP規則：

iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP

b)更改默認策略：

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

糟糕！！如果你嚴格按照上一節的例子配置了iptables，并且現在使用的是SSH進行連接的，那么會話恐怕已經被迫終止了！

為什么呢？因為我們已經把OUTPUT鏈策略更改為DROP了。此時雖然服務器能接收數據，但是無法發送數據：

# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp – anywhere anywhere tcp dpt:ssh DROP all – anywhere anywhere

Chain FORWARD (policy DROP) target prot opt source destination

Chain OUTPUT (policy DROP) target prot opt source destination

七、配置應用程序規則

盡管5.4節已經介紹了如何初步限制除SSH以外的其他連接，但是那是在鏈默認策略為ACCEPT的情況下實現的，并且沒有對輸出數據包進行限 制。本節在上一節基礎上，以SSH和HTTP所使用的端口為例，教大家如何在默認鏈策略為DROP的情況下，進行防火墻設置。在這里，我們將引進一種新的 參數-m state，并檢查數據包的狀態字段。

1.SSH

# 1.允許接收遠程主機的SSH請求 iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.允許發送本地主機的SSH響應 iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

• -m state: 啟用狀態匹配模塊（state matching module）

• –-state: 狀態匹配模塊的參數。當SSH客戶端第一個數據包到達服務器時，狀態字段為NEW；建立連接后數據包的狀態字段都是ESTABLISHED

• –sport 22: sshd監聽22端口，同時也通過該端口和客戶端建立連接、傳送數據。因此對于SSH服務器而言，源端口就是22

• –dport 22: ssh客戶端程序可以從本機的隨機端口與SSH服務器的22端口建立連接。因此對于SSH客戶端而言，目的端口就是22

如果服務器也需要使用SSH連接其他遠程主機，則還需要增加以下配置：

# 1.送出的數據包目的端口為22 iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT

# 2.接收的數據包源端口為22 iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

2.HTTP

HTTP的配置與SSH類似：

# 1.允許接收遠程主機的HTTP請求 iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT

# 1.允許發送本地主機的HTTP響應 iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

3.完整的配置

# 1.刪除現有規則 iptables -F

# 2.配置默認鏈策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP

# 3.允許遠程主機進行SSH連接 iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 4.允許本地主機進行SSH連接 iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

# 5.允許HTTP請求 iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT

iptables命令是Linux上常用的防火墻軟件，是netfilter項目的一部分。可以直接配置，也可以通過許多前端和圖形界面配置。

語法

 iptables(選項)(參數)

選項

 -t：指定要操縱的表； -A：向規則鏈中添加條目； -D：從規則鏈中刪除條目； -i：向規則鏈中插入條目； -R：替換規則鏈中的條目； -L：顯示規則鏈中已有的條目； -F：清楚規則鏈中已有的條目； -Z：清空規則鏈中的數據包計算器和字節計數器； -N：創建新的用戶自定義規則鏈； -P：定義規則鏈中的默認目標； -h：顯示幫助信息； -p：指定要匹配的數據包協議類型； -s：指定要匹配的數據包源ip地址； -j：指定要跳轉的目標； -i：指定數據包進入本機的網絡接口； -o：指定數據包要離開本機所使用的網絡接口。

iptables命令選項輸入順序：

 iptables -t 表名  規則鏈名 [規則號]  -p 協議名  --sport 源端口  --dport 目標端口 -j 動作

表名包括：

• raw：高級功能，如：網址過濾。

• mangle：數據包修改（QOS），用于實現服務質量。

• net：地址轉換，用于網關路由器。

• filter：包過濾，用于防火墻規則。

規則鏈名包括：

• INPUT鏈：處理輸入數據包。

• OUTPUT鏈：處理輸出數據包。

• PORWARD鏈：處理轉發數據包。

• PREROUTING鏈：用于目標地址轉換（DNAT）。

• POSTOUTING鏈：用于源地址轉換（SNAT）。

動作包括：

• accept：接收數據包。

• DROP：丟棄數據包。

• REDIRECT：重定向、映射、透明代理。

• SNAT：源地址轉換。

• DNAT：目標地址轉換。

• MASQUERADE：IP偽裝（NAT），用于ADSL。

• LOG：日志記錄。

實例

清除已有iptables規則

 iptables -F iptables -X iptables -Z

開放指定的端口

 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允許本地回環接口(即運行本機訪問本機) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允許已建立的或相關連的通行 iptables -A OUTPUT -j ACCEPT         #允許所有本機向外的訪問 iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允許訪問22端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允許訪問80端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允許ftp服務的21端口 iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允許FTP服務的20端口 iptables -A INPUT -j reject       #禁止其他未允許的規則訪問 iptables -A FORWARD -j REJECT     #禁止其他未允許的規則訪問

屏蔽IP

 iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽單個IP的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整個段即從123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即從123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即從123.45.6.1到123.45.6.254的命令是

查看已添加的iptables規則

 iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes)  pkts bytes target     prot opt in     out     source               destination           5075  589K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0             191K   90M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 1499K  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 4364K 6351M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED  6256  327K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0             Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)  pkts bytes target     prot opt in     out     source               destination           Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)  pkts bytes target     prot opt in     out     source               destination           5075  589K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0

刪除已添加的iptables規則

將所有iptables以序號標記顯示，執行：

 iptables -L -n --line-numbers

比如要刪除INPUT里序號為8的規則，執行：

iptables -D INPUT 8

前提基礎： 1、當主機收到一個數據包后，數據包先在內核空間中處理，若發現目的地址是自身，則傳到用戶空間中交給對應的應用程序處理，若發現目的不是自身，則會將包丟棄或進行轉發。

2、iptables實現防火墻功能的原理是：在數據包經過內核的過程中有五處關鍵地方，分別是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING，稱為鉤子函數，iptables這款用戶空間的軟件可以在這5處地方寫規則，對經過的數據包進行處理，規則一般的定義為“如果數據包頭符合這樣的條件，就這樣處理數據包”。

3、iptables中定義有5條鏈，說白了就是上面說的5個鉤子函數，因為每個鉤子函數中可以定義多條規則，每當數據包到達一個鉤子函數時，iptables就會從鉤子函數中第一條規則開始檢查，看該數據包是否滿足規則所定義的條件。如果滿足，系統就會根據該條規則所定義的方法處理該數據包；否則iptables將繼續檢查下一條規則，如果該數據包不符合鉤子函數中任一條規則，iptables就會根據該函數預先定義的默認策略來處理數據包

4、iptables中定義有表，分別表示提供的功能，有filter表（實現包過濾）、nat表（實現網絡地址轉換）、mangle表（實現包修改）、raw表（實現數據跟蹤），這些表具有一定的優先級：raw–>mangle–>nat–>filter

一條鏈上可定義不同功能的規則，檢查數據包時將根據上面的優先級順序檢查

1、目的地址是本地，則發送到INPUT，讓INPUT決定是否接收下來送到用戶空間，流程為①—>②;

2、若滿足PREROUTING的nat表上的轉發規則，則發送給FORWARD，然后再經過POSTROUTING發送出去，流程為： ①—>③—>④—>⑥

主機發送數據包時，流程則是⑤—>⑥

iptables安裝配置

linux一般默認都已經安裝iptables，只需要開啟服務即可

service iptables start //啟動

service iptables restart //重啟

service iptables stop //關閉

iptables規則書寫：

基本語法：iptables [-t 表] [操作命令] [鏈] [規則匹配器] [-j 目標動作]

PS： 1、目標地址轉換一般在PREROUTING鏈上操作 2、源地址轉換一般在POSTROUTING鏈上操作

保存和恢復iptables規則

使用iptables-save可以保存到特定文件中

iptables-save >/etc/sysconfig/iptables_save

使用iptables-restore可以恢復規則

iptables-restore/sysconfig/iptables_save

iptables的進階使用 1、limit限制流量： -m limit –limit 1000/s #設置最大平均匹配速率 -m limit –limit-burst 15 #設置一開始匹配的最大數據包數量 -m limit –limit 5/m –limit-burst 15 #表示一開始能匹配的數據包數量為15個，每匹配到一個，limit-burst的值減1,所以匹配到15個時，該值為0,以后每過12s，limit-burst的值會加1,表示又能匹配1個數據包 例子：

iptables -A INPUT -i eth0 -m limit –limit 5/m –limit-burst 15 -j ACCEPT

iptables -A INPUT -i eth0 -j DROP

注意要點：

A、–limit-burst的值要比–limit的大

B、limit本身沒有丟棄數據包的功能，因此，需要第二條規則一起才能實現限速的功能

2、time ：在特定時間內匹配

例子：

iptables -A INPUT -i eth0 -m time –weekdays 1,2,3,4 -jACCEPT

iptables -A INPUT -i eth0 -j DROP

3、ttl：匹配符合規則的ttl值的數據包

例子：

iptables -A OUTPUT -m ttl –ttl-eq 100 -j ACCEPT

4、multiport：匹配離散的多個端口

例子：

iptables -A INPUT -m multiport –sports 22，80，8080 -j DROP

5、state：匹配指定的狀態數據包

例子：

iptables -A INPUT -m state –state NEW，ESTABLISHED -j ACCEPT

6、mark：匹配帶有指定mark值的數據包

例子：

iptables -t mangle -A INPUT -m mark –mark 1 -j DROP

7、mac：匹配特定的mac地址

例子：

iptables -A FORWARD -m mac –mac-source 00:0C:24:FA:19:80 -j DROP

關于“iptables基礎知識點有哪些”這篇文章的內容就介紹到這里，感謝各位的閱讀！相信大家對“iptables基礎知識點有哪些”知識都有一定的了解，大家如果還想學習更多知識，歡迎關注億速云行業資訊頻道。