一、原理
iptables和netfilter的关系
Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。
二、实验
拒绝进入防火墙的所有ICMP协议数据包
bash
iptables -I INPUT -p icmp -j REJECT允许防火墙转发除ICMP协议以外的所有数据包
bash
iptables -A FORWARD -p ! icmp -j ACCEPT说明:使用"!"可以将条件取反
拒绝转发来自192.168.1.10主机的数据,允许转发来自192.168.0.0/24网段的数据
bash
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT说明:注意要把拒绝的放在前面不然就不起作用了啊。
丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包
bash
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP封堵网段(192.168.1.0/24),两小时后解封
bash
iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -I FORWARD -s 10.20.30.0/24 -j DROP
at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机
bash
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时
为什么这里ACCEPT写在前面,DROP写在后面
允许本机开放从TCP端口20-1024提供的应用服务
bash
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包
bash
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机
bash
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT禁止转发来自MAC地址为00:0C:29:27:55:3F的和主机的数据包
bash
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP说明:iptables中使用"-m 模块关键字"的形式调用显示匹配。咱们这里用"-m mac --mac-source"来表示数据包的源MAC地址。
允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
bash
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT说明:这里用"-m multiport --dport"来指定目的端口及范围
禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包
bash
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP说明:此处用"-m --iprange --src-range"指定IP范围。
禁止转发与正常TCP连接无关的非---syn请求数据包。
bash
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP说明:"-m state"表示数据包的连接状态,"NEW"表示与任何连接无关的,新的嘛!
拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包
bash
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT说明:"ESTABLISHED"表示已经响应请求或者已经建立连接的数据包,"RELATED"表示与已建立的连接有相关性的,比如FTP数据连接等。
只开放本机的web服务(80)、FTP(20、21、20450-20480),放行外部主机发住服务器其它端口的应答数据包,将其他入站数据包均予以丢弃处理
bash
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP三、常见问题
拒绝与接收的相关问题
拒绝转发来自192.168.1.10主机的数据,允许转发来自192.168.0.0/24网段的数据
bash
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT说明:注意要把拒绝的放在前面不然就不起作用了啊。
关闭所有端口,只把运维ssh端口22和80端口打开
bash
iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -j DROP-A表示在链的尾部插入
bash
iptables -I INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -p tcp --dport 22 -j ACCEPT-I表示在链的头部插入
bash
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -p tcp --dport 80 -j ACCEPT说明
- 这里的三条语句是有顺序的
- 22 -j ACCEPT这是第1条规则
- 然后是DROP
- 然后是80 -j ACCEPT
当来自22端口的请求被匹配到,就不会执行下面的DROP了
报文先被第一条规则匹配到,于是当前报文被放行了,因为报文已经被放行了,所以即使第二条规则被匹配到,也不会执行相应的动作,这就是iptables的工作机制
思考:为什么拒绝了,还能往下面走,不是break了吗,下面的接收包,还会被执行
DROP与REJECT有什么区别
DROP ping的时候会卡在那里,REJECT是目标不可达(返回了一条icmp差错报文)