iptables 详解.doc

此文档收集于网络，如有侵权，请联系网站删除iptables 详解【转】iptables 详解要建一个ip分享器（局域网用来共享上网）来学习iptables的，所以我的思路是首先能够使内网机器访问外部网络，然后再考虑复杂的安全设置，这样大家做起来少一些挫败感，而且更加有动力硬件准备：局域网中的一台电脑，配备两个网卡，具备使用外网的条件，可以是ADSL, 或者乙太网，ip可以是dhcp或者固定ip以我们实验室为例，外网固定ip。首先设置服务器（ip分享器）的地址和路由，不会做上述设置的朋友可以去网上查一下比如鸟哥的私房菜。其实只要设置/etc/network/interfaces文件就行了，然后使用 /etc/init.d/networking restart 重启网络。也不要忘记在/etc/resolv.conf中添加或修改nameserver字段。接下来就是iptables的设置，首先就是使主机有ip伪装的功能，其次就是防火墙的功能。 我们看图，和网内机器上网有关的链是filter表的forward链，以及nat表的POSTROUTING链所以iptables可以设置如下iptables -A FORWARD -j ACCEPTiptables -t nat -A POSTROUTING -o eth0（外网网卡） -j SNAT -to ip这样你就可以让内网的机器上网了以下是详细的讲解，如何达到防火墙的功能一概述二语法三实例分析四网管策略五使用总则六实战一概述防火墙的典型设置是有两个网卡，一个流入，一个流出，iptables读取流入和流出的的数据报的头，然后将他们与规划集（ruleset）相比较，然后将可接受的数据包从一个网卡转发至另一个网卡，对于被拒绝的数据包，可以被丢弃或者按照你所定义的方式进行处理二语法链和表以及规则A.表：filter：iptables默认的表，主要用于包过滤nat：nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。manage：主要用于对指定的包进行修改，因为某些特应用可能需要去改写数据包的一些传输特性，如更改数据包的TTL和TOS等， 不过在实际应用中访表的使用率不高.规则（rules）rules：就是网络管理员预定的条件，这些规则分别指定了源地址，目的地址，传输协议(tcp,udp,icmp),和服务类开型(HTTP,FTP,SMTP)定义一些动作:acccept,reject,drop.链INPUT:位于filter表，匹配目的IP是本机的数据包FORWARD:位于filter表，匹配穿过本机的数据包PREROUTING:位于nat表，用于修改目的地址DNATPOSTROUTING:位于nat表，用于修改源地址SNATD.语法概述iptablest要操作的表操作命令规则号码匹配条件j匹配到以后的动作E命令概述a.操作命令（）b.查看命令（vnx）a-1. -A(链名)APPEND,追加条规则，（放到最后）例如：iptables -t filter -A INPUT -j DROP在filter 表的INPUT 链里追加一条规则（作为最后一条规则）匹配所有访问本机IP 的数据包，匹配到的丢弃a-2链名规则号码INSERT，插入一条规则例如：iptables -I INPUT -j DROP在filter 表的INPUT 链里插入一条规则（插入成第1 条）iptables -I INPUT 3 -j DROP在filter 表的INPUT 链里插入一条规则（插入成第3 条）注意： 1、-t filter 可不写，不写则自动默认是filter 表2、-I 链名规则号码，如果不写规则号码，则默认是13、确保规则号码 （已有规则数+ 1），否则报错a-3链名（规则号码具体规则内容）DELETE，删除一条规则例如：iptables -D INPUT 3（按号码匹配）删除filter 表INPUT 链中的第三条规则（不管它的内容是什么）iptables -D INPUT -s -j DROP（按内容匹配）删除filter 表INPUT 链中内容为“-s -j DROP”的规则注意：1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条2、按号码匹配删除时，确保规则号码 已有规则数，否则报错3、按内容匹配删除时，确保规则存在，否则报错a-4-R REPLACE，替换一条规则例如：iptables -R INPUT 3 -j ACCEPT将原来编号为3 的规则内容替换为“-j ACCEPT注意：确保规则号码 已有规则数，否则报错a-5-P POLICY，设置某个链的默认规则例如：iptables -P INPUT DROP设置filter 表INPUT 链的默认规则是DROP注意：当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理。动作前面不能加j，这也是唯一一种匹配动作前面不加j 的情况。a-6-F 链名FLUSH，清空规则例如：iptables -F INPUT清空filter 表INPUT 链中的所有规则iptables -t nat -F PREROUTING清空nat 表PREROUTING 链中的所有规则注意：1、-F 仅仅是清空链中规则，并不影响-P 设置的默认规则2、-P 设置了DROP 后，使用-F 一定要小心！3、如果不写链名，默认清空某表里所有链里的所有规则b-1-L 链名LIST，列出规则v：显示详细信息，包括每条规则的匹配包数量和匹配字节数x：在v 的基础上，禁止自动单位换算（K、M）n：只显示IP 地址和端口号码，不显示域名和服务名称例如：iptables -L粗略列出filter 表所有链及所有规则iptables -t nat -vnL用详细方式列出nat 表所有链的所有规则，只显示IP 地址和端口号iptables -t nat -vxnL PREROUTING用详细方式列出nat 表PREROUTING 链的所有规则以及详细数字，不反解b-2匹配条件流入、流出接口（-i、-o）来源、目的地址（-s、-d）协议类型（-p）来源、目的端口（-sport、-dport）b-3按网络接口匹配-i 例如：-i eth0匹配是否从网络接口eth0 进来-i ppp0匹配是否从网络接口ppp0 进来-o 匹配数据流出的网络接口例如：-o eth0-o ppp0b-4按来源目的地址匹配-s 可以是IP、NET、DOMAIN，也可空（任何地址）例如：-s 匹配来自 的数据包-s /24 匹配来自/24 网络的数据包-s /16 匹配来自/16 网络的数据包-d 可以是IP、NET、DOMAIN，也可以空例如：-d 0 匹配去往0 的数据包-d /16 匹配去往/16 网络的数据包-匹配去往域名的数据包b-5按协议类型匹配-p 可以是TCP、UDP、ICMP 等，也可为空例如：-p tcp-p udp-p icmp -icmp-type 类型ping: type 8 pong: type 0b-6按来源目的端口匹配-sport 可以是个别端口，可以是端口范围例如：-sport 1000 匹配源端口是1000 的数据包-sport 1000:3000 匹配源端口是1000-3000 的数据包（含1000、3000）-sport :3000 匹配源端口是3000 以下的数据包（含3000）-sport 1000: 匹配源端口是1000 以上的数据包（含1000）-dport 可以是个别端口，可以是端口范围例如：-dport 80 匹配目的端口是80 的数据包-dport 6000:8000 匹配目的端口是6000-8000 的数据包（含6000、8000）-dport :3000 匹配目的端口是3000 以下的数据包（含3000）-dport 1000: 匹配目的端口是1000 以上的数据包（含1000）注意：-sport 和-dport 必须配合-p 参数使用b-7匹配应用举例1、端口匹配-p udp -dport 53匹配网络中目的端口是53 的UDP 协议数据包2、地址匹配-s /24 -d /16匹配来自/24 去往/16 的所有数据包3、端口和地址联合匹配-s --p tcp -dport 80匹配来自，去往的80 端口的TCP 协议数据包注意：1、-sport、-dport 必须联合-p 使用，必须指明协议类型是什么2、条件写的越多，匹配越细致，匹配范围越小b-8.动作（处理方式） ACCEPT DROP SNAT DNAT MASQUERADEb-9-j ACCEPT通过，允许数据包通过本链而不拦截它类似Cisco 中ACL 里面的permit例如：iptables -A INPUT -j ACCEPT允许所有访问本机IP 的数据包通过-j DROP丢弃，阻止数据包通过本链而丢弃它类似Cisco 中ACL 里的deny例如：iptables -A FORWARD -s 9 -j DROP阻止来源地址为9 的数据包通过本机-j DNAT -to IP-IP:端口-端口（nat 表的PREROUTING 链）目的地址转换，DNAT 支持转换为单IP，也支持转换到IP 地址池（一组连续的IP 地址）例如：iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to 把从ppp0 进来的要访问TCP/80 的数据包目的地址改为iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 81 -j DNAT -to :80iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to -0-j SNAT -to IP-IP:端口-端口（nat 表的POSTROUTING 链）源地址转换，SNAT 支持转换为单IP，也支持转换到IP 地址池（一组连续的IP 地址）例如：iptables -t nat -A POSTROUTING -s /24 -j SNAT -to 将内网/24 的原地址修改为