iptables我一直在用，我有點iptables的心得和小小的總匯，拿出來供大家分享！

　　Linux 內(nèi)核中有一個功能強大的聯(lián)網(wǎng)子系統(tǒng) netfilter。netfilter 子系統(tǒng)提供了有狀態(tài)的或無狀態(tài)的分組過濾，還提供了 NAT 和 IP 偽裝服務。netfilter 還具備為高級選路和連接狀態(tài)管理而變形(mangle)IP 頭信息的能力。netfilter 是通過 IPTables 工具來控制的。

　　IPTables 總覽

　　netfilter 的強大功能和靈活性是通過 IPTables 界面來實現(xiàn)的。這個命令行工具和它的前身 IPChains 的語法很相似;不過，IPTables 使用 netfilter 子系統(tǒng)來增進網(wǎng)絡連接、檢驗、和處理方面的能力;IPChains 使用錯綜復雜的規(guī)則集合來過濾源地和目的地路線以及兩者的連接端口。IPTables 只在一個命令行界面中就包括了更先進的記錄方式;選路前和選路后的行動;網(wǎng)絡地址轉(zhuǎn)換;以及端口轉(zhuǎn)發(fā)。

　　7.2. 使用 IPTables

　　使用 IPTables 的第一步是啟動 IPTables 服務。這可以使用以下命令進行：

　　service iptables start

　　警告

　　你應該使用以下命令關閉 IP6Tables 服務才能使用 IPTables 服務：

　　service ip6tables stop

　　chkconfig ip6tables off

　　要使 IPTables 在系統(tǒng)引導時默認啟動，你必須使用 chkconfig 來改變服務的運行級別狀態(tài)。

　　chkconfig --level 345 iptables on

　　IPTables 的語法被分成幾個層次。主要層次為“鏈”(chain)。“鏈”指定處理分組的狀態(tài)。其用法為：

　　iptables -A chain -j target

　　-A 在現(xiàn)存的規(guī)則集合內(nèi)后補一條規(guī)則。chain 是規(guī)則所在“鏈”的名稱。IPTables 中有三個內(nèi)建的鏈(即影響每一個在網(wǎng)絡中經(jīng)過的分組的鏈)：INPUT、OUTPUT、和 FORWARD。這些鏈是永久性的，不能被刪除。

　　重要

　　在創(chuàng)建 IPTables 規(guī)則集合時，記住規(guī)則的順序是至關重要的。例如：如果某個鏈指定了來自本地子網(wǎng) 192.168.100.0/24 的任何分組都應放棄，然后一個允許來自 192.168.100.13(在前面要放棄分組的子網(wǎng)范圍內(nèi))的分組的鏈被補在這個規(guī)則后面(-A)，那么這個后補的規(guī)則就會被忽略。你必須首先設置允許 192.168.100.13 的規(guī)則，然后再設置放棄規(guī)則。

　　要在現(xiàn)存規(guī)則鏈的任意處插入一條規(guī)則，使用 -I，隨后是你想插入規(guī)則的鏈的名稱，然后是你想放置規(guī)則的位置號碼(1,2,3,...,n)。例如：

　　iptables -I INPUT 1 -i lo -p all -j ACCEPT

　　這條規(guī)則被插入為 INPUT 鏈的第一條規(guī)則，它允許本地環(huán)回設備上的交通。

　　7.2.1. 基本防火墻策略

　　在一開始就建立的某些基本策略為建構更詳細的用戶定義的規(guī)則奠定了基礎。IPTables 使用策略(policy, -P)來創(chuàng)建默認規(guī)則。對安全敏感的管理員通常想采取放棄所有分組、只逐一允許指定分組的策略。以下規(guī)則阻塞網(wǎng)絡上所有的出入分組。

　　iptables -P INPUT DROP

　　iptables -P OUTPUT DROP

　　此外，還推薦你拒絕所有轉(zhuǎn)發(fā)分組(forwarded packets) — 要從防火墻被選路發(fā)送到它的目標節(jié)點的網(wǎng)絡交通 — 以便限制內(nèi)部客戶對互聯(lián)網(wǎng)的無心暴露。要達到這個目的，使用以下規(guī)則：

　　iptables -P FORWARD DROP

　　注記

　　在處理添加的規(guī)則時，REJECT(拒絕)目標和 DROP(放棄)目標這兩種行動有所不同。REJECT 會拒絕目標分組的進入，并給企圖連接服務的用戶返回一個 connection refused 的錯誤消息。DROP 會放棄分組，而對 telnet 用戶不發(fā)出任何警告;不過，為了避免導致用戶由于迷惑不解而不停試圖連接的情況的發(fā)生，推薦你使用 REJECT 目標。

　　設置了策略鏈后，為你的特定網(wǎng)絡和安全需要創(chuàng)建新規(guī)則。以下各節(jié)概述了一些你在建構 IPTables 防火墻時可能要實現(xiàn)的規(guī)則。

　　7.2.2. 保存和恢復 IPTables 規(guī)則

　　防火墻規(guī)則只在計算機處于開啟狀態(tài)時才有效。如果系統(tǒng)被重新引導，這些規(guī)則就會自動被清除并重設。要保存規(guī)則以便今后載入，請使用以下命令：

　　/sbin/service iptables save

　　保存在 /etc/sysconfig/iptables 文件中的規(guī)則會在服務啟動或重新啟動時(包括機器被重新引導時)被應用。

　　常用 iptables 過濾

　　把遠程攻擊者拒之“LAN”外是網(wǎng)絡保安的一個重要方面。LAN 的完好性應該通過使用嚴格的防火墻規(guī)則來抵御蓄意不良的遠程用戶而被保護。但是，如果默認策略被設置為阻塞所有進入、輸出、和轉(zhuǎn)發(fā)的分組，防火墻/網(wǎng)關和內(nèi)部 LAN 用戶之間的通信就無法進行。要允許用戶執(zhí)行和網(wǎng)絡相關的功能以及使用聯(lián)網(wǎng)應用程序，管理員必須打開某些端口進行通信。

　　例如：要允許到防火墻上的端口80的通信，添加以下規(guī)則：

　　iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT

　　iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

　　這會允許用戶瀏覽通過端口80通信的網(wǎng)站。要允許到安全網(wǎng)站(如 https://www.example.com/)的訪問，你還必須打開端口443。

　　iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT

　　iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

　　有時候，你可能會需要從 LAN 之外遠程地進入 LAN。SSH 和 CIPE 之類的安全服務可以用于到 LAN 服務的加密遠程連接。對于擁有基于 PPP 資源(如調(diào)制解調(diào)器池或批量 ISP 帳號)的管理員來說，撥號進入可以被用來安全地避開防火墻，因為調(diào)制解調(diào)器連接是直接連接，通常位于防火墻/網(wǎng)關之后。 然而，對于有寬帶連接的遠程用戶來說，你就需要制定些特殊規(guī)定。你可以配置 IPTables 接受來自遠程 SSH 和 CIPE 客戶的連接。例如，要允許遠程 SSH 訪問，你可以使用以下規(guī)則：

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT

　　iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

　　來自外部的 CIPE 連接請求可以使用以下命令來接受(把 x 替換成你的設備號碼)：

　　iptables -A INPUT -p udp -i cipcbx -j ACCEPT

　　7.4. FORWARD 和 NAT 規(guī)則

　　多數(shù)機構從它們的 ISP 處得到數(shù)量有限的可公開選路的 IP 地址。鑒于這種限額，管理員必須創(chuàng)建性地積極尋求分享互聯(lián)網(wǎng)服務的方法，而又不必把稀有的 IP 地址分配給 LAN 上的每一臺機器。使用專用 IP 地址是允許 LAN 上的所有機器正確使用內(nèi)部和外部網(wǎng)絡服務的常用方法。邊緣路由器(如防火墻)可以接收來自互聯(lián)網(wǎng)的進入交通，并把這些分組選路發(fā)送它們意圖發(fā)送的 LAN 節(jié)點上;同時，防火墻/網(wǎng)關還可以把來自 LAN 節(jié)點的輸出請求選路發(fā)送到遠程互聯(lián)網(wǎng)服務中。這種轉(zhuǎn)發(fā)網(wǎng)絡交通行為有時會很危險，特別是隨著能夠假冒內(nèi)部 IP 地址、使遠程攻擊者的機器成為你的 LAN 上的一個節(jié)點的現(xiàn)代攻擊工具的出現(xiàn)。為防止此類事件的發(fā)生，iptables 提供了選路發(fā)送和轉(zhuǎn)發(fā)策略，你可以實施它們來防止對網(wǎng)絡資源的變相利用。

　　FORWARD 策略允許管理員控制分組可以被選路發(fā)送到 LAN 內(nèi)的哪些地方。例如：要允許整個 LAN 的轉(zhuǎn)發(fā)(假定防火墻/網(wǎng)關在 eth1 上有一個內(nèi)部 IP 地址)，你可以設置以下規(guī)則：

　　iptables -A FORWARD -i eth1 -j ACCEPT

　　iptables -A FORWARD -o eth1 -j ACCEPT

　　注記

　　按照默認設置，紅帽企業(yè) Linux 內(nèi)核中的 IPv4 策略禁用了對 IP 轉(zhuǎn)發(fā)的支持，這會防止運行紅帽企業(yè) Linux 的機器成為專用邊緣路由器。要啟用 IP 轉(zhuǎn)發(fā)，請運行以下命令：

　　sysctl -w net.ipv4.ip_forward=1

　　如果該命令是通過 shell 提示運行的，那么其設置在重新引導后就不會被保存。你可以通過編輯 /etc/sysctl.conf 文件來永久性地設置轉(zhuǎn)發(fā)。尋找并編輯以下行，把 0 改成 1：

　　net.ipv4.ip_forward = 0

　　執(zhí)行以下命令來啟用 sysctl.conf 文件中的改變：

　　sysctl -p /etc/sysctl.conf

　　這會允許 LAN 節(jié)點彼此通信;不過，它們沒有被允許和外界(如互聯(lián)網(wǎng))通信。要允許帶有專用 IP 地址的 LAN 節(jié)點和外部的公共網(wǎng)絡通信，配置防火墻的 IP 偽裝(IP masquerading)，這會把來自 LAN 節(jié)點的請求都偽裝成防火墻的外部設備(在這個例子中是 eth0)的 IP 地址。

　　iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

　　7.5. DMZ 和 iptables

　　你還可以設置一些把交通選路發(fā)送到某些機器(如專用 HTTP 或 FTP 服務器)的規(guī)則，這些機器最好是位于?；饏^(qū)域(de-militarized zone，DMZ)的和內(nèi)部網(wǎng)絡分開的機器。要設置一條把所有進入的 HTTP 請求都選路發(fā)送到 IP 地址為 10.0.4.2、端口為80(LAN 192.168.1.0/24 范圍之外)的專用 HTTP 服務器的規(guī)則，網(wǎng)絡地址轉(zhuǎn)換(NAT)會調(diào)用 PREROUTING 表來把這些分組轉(zhuǎn)發(fā)到恰當?shù)哪康牡兀?/p>

　　iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \

　　--to-destination 10.0.4.2:80

　　使用這項命令，所有來自 LAN 以外的到端口80的 HTTP 連接都會被選路發(fā)送到和內(nèi)部網(wǎng)絡分離的另一個網(wǎng)絡上的 HTTP 服務器上。這種網(wǎng)絡分段會比允許到內(nèi)部網(wǎng)絡中的機器上的 HTTP 連接更安全。如果 HTTP 服務器被配置接受安全連接，那么端口443也必須被轉(zhuǎn)發(fā)。

　　病毒和假冒 IP 地址

　　你可以更精心設計一些規(guī)則來控制到 LAN 內(nèi)指定子網(wǎng)的訪問，甚至到指定機器的訪問。你還可以限制某些類似特洛伊木馬、蠕蟲、以及其它客戶/服務器病毒的可疑服務聯(lián)系它們的服務器。例如：有些特洛伊木馬會掃描端口31337到31340(即黑客語言中的 elite 端口)上的服務。既然合法服務都不使用這些非標準端口來通信，阻塞這些端口能夠有效地減少你的網(wǎng)絡上可能被感染的機器和它們的遠程主服務器進行獨立通信的機會。

　　iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

　　iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP

　　你還可以阻塞試圖假冒你所在 LAN 的專用 IP 地址混入的連接。例如：如果你的 LAN 使用 192.168.1.0/24 范圍，面向互聯(lián)網(wǎng)的網(wǎng)絡設備(如 eth0)上就可以設置一條規(guī)則來放棄到那個設備的使用你所在 LAN 的 IP 范圍的分組。因為默認策略是拒絕轉(zhuǎn)發(fā)分組，所有到面向外界的設備(eth0)的假冒 IP 地址都會被自動拒絕。

　　iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP

　　IP6Tables

　　下一代互聯(lián)網(wǎng)協(xié)議 IPv6 的出現(xiàn)突破了 IPv4(或 IP)的32位地址限制。IPv6 支持128位地址，因此識別 IPv6 的載體網(wǎng)絡就能夠制定比 IPv4 更多的可選路地址。

　　紅帽企業(yè) Linux 支持使用 Netfilter 6 子系統(tǒng)和 IP6Tables 命令的 IPv6 防火墻規(guī)則。使用 IP6Tables 的第一步是啟動 IP6Tables 服務。它可以使用以下命令進行：

　　service ip6tables start

　　警告

　　你必須關閉 IPTables 服務才能專門使用 IP6Tables 服務：

　　service iptables stop

　　chkconfig iptables off

　　要使 IP6Tables 在系統(tǒng)引導時默認啟動，使用 chkconfig 來改變服務的運行級別狀態(tài)。

　　chkconfig --level 345 ip6tables on

　　其語法在各方面都和 IPTables 相同，只不過 IPTables 支持128位的地址。例如：在識別 IPv6 的網(wǎng)絡服務器器上的 SSH 連接可以使用以下規(guī)則來啟用：

　　ip6tables -A INPUT -i eth0 -p tcp -s 3ffe:ffff:100::1/128 --dport 22 -j ACCEPT

　　關于 IPv6 聯(lián)網(wǎng)的詳情，請參閱 IPv6 的信息頁：http://www.ipv6.org/。

　　iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT

　　CIPE 使用它自己的傳輸數(shù)據(jù)報(UDP)分組的虛擬設備，因此這條規(guī)則允許 cipcb 接口上的進入連接，而不是規(guī)定源地端口或目標端口(雖然它們可以被用來代替設備選項)。關于使用 CIPE 的信息，請參閱第6章 。

　　你可能還想為其它服務定義規(guī)則。關于 IPTables 及其各類選項的完整信息，請參閱《紅帽企業(yè) Linux 參考指南》。

　　這些規(guī)則允許到防火墻上的常規(guī)及安全服務的訪問;然而，它們并不允許防火墻之后的機器使用這些服務。要允許 LAN 使用這些服務，你可以使用帶有 IPTables 過濾規(guī)則的 NAT。

通過文章，想必大家知道了一些我寫的iptables的總結(jié)心得，希望大家喜歡！
 

【編輯推薦】

1. iptables防火墻配置工具ShoreWall的安裝和使用實例
2. iptables防火墻配置工具ShoreWall進階實用介紹
3. 如何利用netfilter/iptables構建防火墻
4. Iptables 命令和命令說明
5. squid+iptables網(wǎng)關防火墻的實現(xiàn)
6. Iptables 實例分析
7. Iptables 配置指南
8. Iptables 詳細介紹