iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。
语法
iptables(选项)(参数)
选项
-t<表>:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-I:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数据包计算器和字节计数器;-N:创建新的用户自定义规则链;-P:定义规则链中的默认目标;-h:显示帮助信息;-p:指定要匹配的数据包协议类型;-s:指定要匹配的数据包源ip地址;-j<目标>:指定要跳转的目标;-i<网络接口>:指定数据包进入本机的网络接口;-o<网络接口>:指定数据包要离开本机所使用的网络接口。
iptables命令选项输入顺序:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
表名包括:
raw:高级功能,如:网址过滤。mangle:数据包修改(QOS),用于实现服务质量。net:地址转换,用于网关路由器。filter:包过滤,用于防火墙规则。
规则链名包括:
INPUT链:处理输入数据包。OUTPUT链:处理输出数据包。PORWARD链:处理转发数据包。PREROUTING链:用于目标地址转换(DNAT)。POSTOUTING链:用于源地址转换(SNAT)。
动作包括:
ACCEPT:接收数据包。DROP:丢弃数据包。REDIRECT:重定向、映射、透明代理。SNAT:源地址转换。DNAT:目标地址转换。MASQUERADE:IP伪装(NAT),用于ADSL。log:日志记录。
实例
清除已有iptables规则
iptables -Fiptables -Xiptables -Z
开放指定的端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口iptables -A INPUT -j reject #禁止其他未允许的规则访问iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
屏蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是
查看已添加的iptables规则
iptables -L -n -v
删除已添加的iptables规则
将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 8
更多命令
1.将192.168.0.83进入本机的icmp协议包都丢弃
#iptables -t filter -A INPUT -p icmp -s 192.168.0.83 -j DROP
2.不允许192.168.0.83主机通过本机的DNS服务来执行名称解析
#iptables -A INPUT -p udp -s 192.168.0.83 --dport 53 -j REJECT
3.允许192.168.0.83主机连接到本机的TELNET服务
#iptables -A INPUT -p tcp -s 192.168.0.83 --dport 23 -j ACCEPT
4.允许192.168.1.0/24网段的主机向本机192.168.0.1提出任何服务请求
#iptables -A INPUT -p all -s 192.168.1.0/24 -d 192.168.0.1 -j ACCEPTT
5.只允许客户端主机从eth1这个接口访问本机的SSH服务
#iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
6.不允许本机的应用程序从eth0接口发送数据包去访问edu.uuu.com.tw以外的网站
#iptables -A OUTPUT -o eth0 -p tcp -d !edu.uuu.com.tw --dport 80 -j REJECT
7.不允许本企业内部的主机访问企业以外的任何网站
#iptables -A FORWARD -i eht1 -o eth0 -p tcp --dport 80 -j DROP
SNAT转换
原理:修改数据包中的源IP地址
作用:局域网主机共享单个公网IP地址接入Internet
配置:nat表中的POSTROUTING链(出战)
主机A想访问互联网上的主机C,首先将请求数据包发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip,然后经互联网发送给C。
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ens37 -j SNAT--to-source 218.29.30.31## -s 内网网段## -o 防火墙服务器外网网卡## -j SNAT策略## --to-source 防火墙服务器外网口IP地址
作用是把linux服务器当作路由转发,让内网可以访问外网.
DNAT转换
原理:修改数据包中的目标IP地址
作用:将位于企业局域网中的服务器进行发布至互联网
配置:nat表中的PREROUTING链(入站)
互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包到达防火墙B后,在B上将请求数据包的目标地址进行修改,并将数据包发送给A。
iptables -t nat -A PREROUTING -d 218.29.30.31 -i ens37 -j DNAT--to-destination 192.168.20.10## -d 防火墙服务器外网口IP地址## -i 防火墙服务器外网网卡## -j DNAT策略## --to-destination 内网服务器IP地址
目的是把内部服务器映射到外网。
