亚洲国产97在线精品一区,草草影院在线,亚洲综合伊人久久大杳蕉

2.1 框架圖
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle     |     mangle     ^ mangle
   nat       |     filter     | nat
           |               |
           |               |
           v               |
         INPUT           OUTPUT
           | mangle         ^ mangle
           | filter         | nat
           v ------>local------->| filter
2.2 鏈和表

表
     filter：   顧名思義，用于過濾的時候
     nat：     顧名思義，用于做 NAT 的時候
           NAT：Network Address Translator
鏈
     INPUT：     位于 filter 表，匹配目的 IP 是本機的數據包
     FORWARD：   位于 filter 表，匹配穿過本機的數據包，
     PREROUTING：位于 nat 表，用于修改目的地址（DNAT）
     POSTROUTING：位于 nat 表，用于修改源地址（SNAT）

3.1 iptables 語法概述
iptables [-t 要操作的表]
     操作命令>
     [要操作的鏈]
     [規則號碼]
     [匹配條件]
     [-j 匹配到以后的動作]
3.2 命令概述
操作命令（-A、-I、-D、-R、-P、-F）
查看命令（-[vnx]L）
3.2.1 -A
-A 鏈名>
APPEND，追加一條規則（放到最后）

例如：
iptables -t filter -A INPUT -j DROP

在 filter 表的 INPUT 鏈里追加一條規則（作為最后一條規則）
匹配所有訪問本機 IP 的數據包，匹配到的丟棄
3.2.2 -I
-I 鏈名> [規則號碼]
INSERT，插入一條規則

例如：
iptables -I INPUT -j DROP
在 filter 表的 INPUT 鏈里插入一條規則（插入成第 1 條）

iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 鏈里插入一條規則（插入成第 3 條）

注意： 1、-t filter 可不寫，不寫則自動默認是 filter 表
   2、-I 鏈名 [規則號碼]，如果不寫規則號碼，則默認是 1
   3、確保規則號碼 ≤ （已有規則數 + 1），否則報錯
3.2.3 -D
-D 鏈名> 規則號碼 | 具體規則內容>
DELETE，刪除一條規則

例如：
iptables -D INPUT 3（按號碼匹配）
刪除 filter 表 INPUT 鏈中的第三條規則（不管它的內容是什么）

iptables -D INPUT -s 192.168.0.1 -j DROP（按內容匹配）
刪除 filter 表 INPUT 鏈中內容為“-s 192.168.0.1 -j DROP”的規則
（不管其位置在哪里）

注意：
1、若規則列表中有多條相同的規則時，按內容匹配只刪除序號最小的一條
2、按號碼匹配刪除時，確保規則號碼 ≤ 已有規則數，否則報錯
3、按內容匹配刪除時，確保規則存在，否則報錯

3.2.3 -R
-R 鏈名> 規則號碼> 具體規則內容>
REPLACE，替換一條規則

例如：
iptables -R INPUT 3 -j ACCEPT
將原來編號為 3 的規則內容替換為“-j ACCEPT”

注意：
確保規則號碼 ≤ 已有規則數，否則報錯

3.2.4 -P
-P 鏈名> 動作>
POLICY，設置某個鏈的默認規則

例如：
iptables -P INPUT DROP
設置 filter 表 INPUT 鏈的默認規則是 DROP

注意：
當數據包沒有被規則列表里的任何規則匹配到時，按此默認規則處理

3.2.5 -F
-F [鏈名]
FLUSH，清空規則

例如：
iptables -F INPUT
清空 filter 表 INPUT 鏈中的所有規則

iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 鏈中的所有規則

注意：
1、-F 僅僅是清空鏈中規則，并不影響 -P 設置的默認規則
2、-P 設置了 DROP 后，使用 -F 一定要小心！！！
3、如果不寫鏈名，默認清空某表里所有鏈里的所有規則
3.2.6 -[vxn]L
-L [鏈名]
LIST，列出規則

v：顯示詳細信息，包括每條規則的匹配包數量和匹配字節數
x：在 v 的基礎上，禁止自動單位換算（K、M）
n：只顯示 IP 地址和端口號碼，不顯示域名和服務名稱

例如：
iptables -L
粗略列出 filter 表所有鏈及所有規則

iptables -t nat -vnL
用詳細方式列出 nat 表所有鏈的所有規則，只顯示 IP 地址和端口號

iptables -t nat -vxnL PREROUTING
用詳細方式列出 nat 表 PREROUTING 鏈的所有規則以及詳細數字，不反解
3.3 匹配條件
流入、流出接口（-i、-o）
來源、目的地址（-s、-d）
協議類型     （-p）
來源、目的端口（--sport、--dport）
3.3.1 按網絡接口匹配
-i 匹配數據進入的網絡接口>
例如：
-i eth0
匹配是否從網絡接口 eth0 進來

-i ppp0
匹配是否從網絡接口 ppp0 進來

-o 匹配數據流出的網絡接口
例如：
-o eth0
-o ppp0
3.3.2 按來源目的地址匹配
-s 匹配來源地址>
可以是 IP、NET、DOMAIN，也可空（任何地址）
例如：
-s 192.168.0.1   匹配來自 192.168.0.1 的數據包
-s 192.168.1.0/24 匹配來自 192.168.1.0/24 網絡的數據包
-s 192.168.0.0/16 匹配來自 192.168.0.0/16 網絡的數據包

-d 匹配目的地址>
可以是 IP、NET、DOMAIN，也可以空
例如：
-d 202.106.0.20   匹配去往 202.106.0.20 的數據包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 網絡的數據包
-d www.abc.com   匹配去往域名 www.abc.com 的數據包

3.3.3 按協議類型匹配
-p 匹配協議類型>
可以是 TCP、UDP、ICMP 等，也可為空
例如：
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8     pong: type 0
3.3.4 按來源目的端口匹配
--sport 匹配源端口>
可以是個別端口，可以是端口范圍
例如：
--sport 1000     匹配源端口是 1000 的數據包
--sport 1000:3000 匹配源端口是 1000-3000 的數據包（含1000、3000）
--sport :3000     匹配源端口是 3000 以下的數據包（含 3000）
--sport 1000:     匹配源端口是 1000 以上的數據包（含 1000）

--dport 匹配目的端口>
可以是個別端口，可以是端口范圍
例如：
--dport 80       匹配源端口是 80 的數據包
--dport 6000:8000 匹配源端口是 6000-8000 的數據包（含6000、8000）
--dport :3000     匹配源端口是 3000 以下的數據包（含 3000）
--dport 1000:     匹配源端口是 1000 以上的數據包（含 1000）
注意：--sport 和 --dport 必須配合 -p 參數使用
3.3.5 匹配應用舉例
1、端口匹配
-p udp --dport 53
匹配網絡中目的地址是 53 的 UDP 協議數據包

2、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來自 10.1.0.0/24 去往 172.17.0.0/16 的所有數據包

3、端口和地址聯合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 協議數據包

注意：
1、--sport、--dport 必須聯合 -p 使用，必須指明協議類型是什么
2、條件寫的越多，匹配越細致，匹配范圍越小
3.4 動作（處理方式）
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
3.4.1 -j ACCEPT
-j ACCEPT
通過，允許數據包通過本鏈而不攔截它
類似 Cisco 中 ACL 里面的 permit

例如：
iptables -A INPUT -j ACCEPT
允許所有訪問本機 IP 的數據包通過

3.4.2 -j DROP
-j DROP
丟棄，阻止數據包通過本鏈而丟棄它
類似 Cisco 中 ACL 里的 deny

例如：
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止來源地址為 192.168.80.39 的數據包通過本機
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 鏈）
源地址轉換，SNAT 支持轉換為單 IP，也支持轉換到 IP 地址池
（一組連續的 IP 地址）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
將內網 192.168.0.0/24 的原地址修改為 1.1.1.1，用于 NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上，只不過修改成一個地址池里的 IP

3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口]（nat 表的 PREROUTING 鏈）
目的地址轉換，DNAT 支持轉換為單 IP，也支持轉換到 IP 地址池
（一組連續的 IP 地址）
例如：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把從 ppp0 進來的要訪問 TCP/80 的數據包目的地址改為 192.168.0.1

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10

3.4.5 -j MASQUERADE
-j MASQUERADE
動態源地址轉換（動態 IP 的情況下使用）

例如：

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是 192.168.0.0/24 的數據包進行地址偽裝

3.5 附加模塊
按包狀態匹配   （state）
按來源 MAC 匹配（mac）
按包速率匹配   （limit）
多端口匹配   （multiport）
3.5.1 state
-m state --state 狀態
狀態：NEW、RELATED、ESTABLISHED、INVALID
   NEW：有別于 tcp 的 syn
   ESTABLISHED：連接態
   RELATED：衍生態，與 conntrack 關聯（FTP）
   INVALID：不能被識別屬于哪個連接或沒有任何狀態
例如：
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
     -j ACCEPT

3.5.2 mac
-m mac --mac-source MAC
匹配某個 MAC 地址

例如：
iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \
   -j DROP
阻斷來自某 MAC 地址的數據包，通過本機

注意：
MAC 地址不過路由，不要試圖去匹配路由后面的某個 MAC 地址

3.5.3 limit
-m limit --limit 匹配速率 [--burst 緩沖數量]
用一定速率去匹配數據包
例如：
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
   -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP

注意：
limit 僅僅是用一定的速率去匹配數據包，并非 “限制”

3.5.4 multiport
-m multiport --sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個端口，可以區分源端口，目的端口或不指定端口

例如：
iptables -A INPUT -p tcp -m multiports --ports \
   21,22,25,80,110 -j ACCEPT

注意：
必須與 -p 參數一起使用

4. 實例分析
單服務器的防護
如何做網關
如何限制內網用戶
內網如何做對外服務器
連接追蹤模塊
4.1 單服務器的防護
弄清對外服務對象
書寫規則
網絡接口 lo 的處理
狀態監測的處理
協議 + 端口的處理
實例：一個普通的 web 服務器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意：確保規則循序正確，弄清邏輯關系，學會時刻使用 -vnL
4.2 如何做網關
弄清網絡拓撲
本機上網
設置 nat
啟用路由轉發
地址偽裝 SNAT/MASQUERADE

實例：ADSL 撥號上網的拓撲
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE

4.3 如何限制內網用戶
過濾位置 filer 表 FORWARD 鏈
匹配條件 -s -d -p --s/dport
處理動作 ACCEPT DROP

實例：
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 內網如何做對外服務器
服務協議（TCP/UDP）
對外服務端口
內部服務器私網 IP
內部真正服務端口
實例：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80
4.5 連接追蹤模塊
為什么要使用連接追蹤模塊
FTP 協議的傳輸原理
傳統防火墻的做法

如何使用
4.5.1 FTP 協議傳輸原理
使用端口
command port
data port

傳輸模式
主動模式（ACTIVE）
被動模式（PASSIVE）
4.5.1 FTP 協議傳輸原理
主動模式
       client         server
     xxxx |---|----------|-->| 21
     yyyy |--|----------|---| 20
           FW1     FW2
被動模式
       client         server
     xxxx |---|----------|--->| 21
     yyyy |---|----------|--->| zzzz
           FW1     FW2
4.5.2 傳統防火墻的做法
只使用主動模式，打開 TCP/20
防火墻打開高范圍端口
配置 FTP 服務，減小被動模式端口范圍
4.5.3 如何使用連接追蹤模塊
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 網管策略
怕什么
能做什么
讓什么 vs 不讓什么
三大“紀律”五項“注意”
其他注意事項
5.1 必加項
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可選方案
堵：
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP

通：
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \
-j ACCEPT
iptables -P FORWARD DROP
5.3 三大“紀律”五項“注意”
三大“紀律”——專表專用
filter
nat
mangle

五項“注意”——注意數據包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
5.4 其他注意事項
養成好的習慣
iptables -vnL
iptables -t nat -vnL
iptables-save

注意邏輯順序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT

學會寫簡單的腳本
6. FAQ.1
Q：我設置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
為何內網用戶還是可以訪問那個地址？
A：filter 表的 OUTPUT 鏈是本機訪問外面的必經之路，內網數據不經過該鏈

Q：我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
為何內網用戶還是可以訪問那個地址？
A：檢查整個規則是否存在邏輯錯誤，看是否在 DROP 前有 ACCEPT

Q：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
這條語句為何報錯？
A：POSTROUTING 鏈不支持“流入接口” -i 參數
同理，PREROUTING 鏈不支持“流出接口” -o 參數
6. FAQ.2
Q：我應該怎么查看某個模塊具體該如何使用？
A：ipitables -m 模塊名 -h

Q：執行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中，
缺少與 xxx 模塊有關的文件，或缺少與 yyy 動作有關的文件
名字為 ipt_xxx.o（2.4內核）或 ipt_yyy.ko（2.6內核）

Q：腳本寫好了，內網上網沒問題，FTP 訪問不正常，無法列出目錄，為什么？
A：缺少 ip_nat_ftp 這個模塊，modprobe ip_nat_ftp
6. FAQ.3

標簽：臨汾淄博延安和田甘孜江蘇張掖透傳

巨人網絡通訊聲明：本文標題《linux防火墻iptables詳細教程》，本文關鍵詞 linux,防火墻,iptables,詳細,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

校园春色亚洲色图_亚洲视频分类_中文字幕精品一区二区精品_麻豆一区区三区四区产品精品蜜桃

linux防火墻iptables詳細教程