Iptables学习

Iptables是什么？
开源的基于数据包过滤的防火墙工具。
还可以做NAT映射：1）网关：局域网共享上网。2）IP或端口映射。

Iptables主要工作在OSI七层的二、三四层，如果重新编译内核，
Iptables也可以支持7层控制(squid代理+iptables)。

Iptables企业应用场景
1、主机防火墙（filter表的INPUT链）。
2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。
3、端口及IP（一对一）映射(nat表的PREROUTING链)，硬防的NAT功能。


【商用防火墙】
华为
深信服
思科
H3C
Juniper
天融信
飞塔
网康
绿盟科技
金盾


面试：谈过去，谈现在，谈未来。


Iptables工作流程
iptables是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。


iptables工作流程小结：
1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。
3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。



iptables表(tables)和链(chains)
iptables==>4个表(tables)===>5个链=(chains)==>规则（policy）
4表
filter（主机防火墙）
nat（端口或IP映射或共享上网）
mangle（配置路由标记 ttl tos mark）
raw
表：
filter:INPUT,OUTPUT,FORWARD
NAT :POSTROUTING,PREROUTING,OUTPUT
mangle:INPUT,OUTPUT,FORWARD，POSTROUTING,PREROUTING
raw
链：
*INPUT：进入主机的数据包。主机防火墙（filter表的INPUT链）
OUTPUT：流出主机的数据包。
FORWARD：流经主机的数据包。
*PREROUTING：进入服务器最先经过的链，NAT端口或IP映射。(nat表的PREROUTING链)
*POSTROUTING：在流出服务器最后经过的链，NAT共享上网。局域网共享上网(nat表的POSTROUTING链)


iptables工作原理


实战：
[root@web01 ~]# /etc/init.d/iptables start
iptables: Applying firewall rules: [ OK ]

查看启动状态命令：
iptables -nL --line-number
-n #<==以数字的形式显示规则
-L #<==列表链里的所有规则
--line-number #<==打印规则序号
-t 指定表(default: `filte`)


命令：
iptables [-t table] -A chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -D chain rulenum #<==根据规则号删除。
iptables [-t table] -D chain rule-specification
注释：
-t 指定表d(efault: `filte`)
-A #<==把规则添加到指定的链上，默认添加到最后一行。
-I #<==插入规则，默认插入到第一行。
-D #<==删除链上的规则


根据规则号删除：
iptables -D INPUT 4 #<==4是规则号。

-F #<==清除一个链或所有链上的规则
-Z #<==链的记数器清零
-X #<==删除用户自定义的链。

实践：
[root@web02 ~]# iptables -Z
[root@web02 ~]# iptables -X
[root@web02 ~]# iptables -F
[root@web02 ~]# iptables -nL

封22端口：
[root@web02 ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
规则注释：
-p #<==指定过滤的协议-p（tcp,udp,icmp,all）
--dport #<==指定目标端口（用户请求的端口）。
-j #<==对规则的具体处理方法（ACCEPT,DROP,REJECT,SNAT/DNAT)
--sport #<==指定源端口。

禁止10.0.0.253访问
[root@web01 ~]# iptables -I INPUT -p tcp -s 10.0.0.253 -i eth0 -j DROP
[root@web02 ~]# iptables -A INPUT -p tcp ! -s 10.0.0.2 -i eth0 -j DROP
-s #<==指定源地址。 ! 取反。
-d #<==指定目的地址。
-i #<==进入的网络接口（eth0,eth1）。
-o #<==出去的网络接口（eth0,eth1）。

匹配端口范围：
iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -j DROP
iptables -I INPUT -p tcp --dport 3306:8809 -j ACCEPT
iptables -I INPUT -p tcp --dport 18:80 -j DROP #<==最佳



匹配ICMP类型
iptables -A INPUT -p icmp --icmp-type 8
例：iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT


匹配网络状态
-m state --state
NEW：已经或将启动新的连接
ESTABLISHED：已建立的连接
RELATED：正在启动的新连接
INVALID：非法或无法识别的
#允许关联的状态包 ftp协议
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


限制指定时间包的允许通过数量及并发数
-m limit --limit n/{second/minute/hour}:
指定时间内的请求速率"n"为速率，后面为时间分别为：秒、分、时
iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 6/min -j DROP

--limit-burst [n]
在同一时间内允许通过的请求"n"为数字,不指定默认为5
iptables -I INPUT -s 10.0.0.0/24 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT


http://blog.csdn.net/gnicky/article/details/51334793




部署一个最安全的企业级防火墙（案例）


两种思想：针对默认规则而言。
逛公园：
1、默认规则默认是允许的状态。
看电影：
2、默认规则默认是不允许的状态。更安全。

看电影的思想更安全。

实战部署：
[root@web02 ~]# iptables -F
[root@web02 ~]# iptables -X
[root@web02 ~]# iptables -Z
[root@web02 ~]# iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT


[root@web02 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@web02 ~]# iptables -P INPUT DROP
[root@web02 ~]# iptables -P FORWARD DROP
[root@web02 ~]# iptables -P OUTPUT ACCEPT
[root@web02 ~]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


[root@web02 ~]# iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
[root@web02 ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
[root@web02 ~]# iptables -A INPUT -i lo -j ACCEPT
[root@web02 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

命令都在内存中生效。



扫描测试：使用云主机部署，用笔记本虚拟机扫描
[root@web02 ~]# nmap www.baidu.com
Starting Nmap 5.51 ( http://nmap.org ) at 2017-04-04 12:23 CST
Nmap scan report for www.baidu.com (119.75.217.109)
Host is up (0.020s latency).
Other addresses for www.baidu.com (not scanned): 119.75.218.70
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds




永久生效：
[root@web02 ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[root@web02 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Apr 4 12:24:43 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [159:10664]
-A INPUT -s 10.0.0.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Apr 4 12:24:43 2017


生产维护iptables：
1、日常改/etc/sysconfig/iptables配置
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

生效：
1）/etc/init.d/iptables reload
2）iptables -I INPUT 3 -p tcp -m tcp --dport 3306 -j ACCEPT

2、临时封Ip（-I）
iptables -I INPUT -s 203.71.78.10 -j DROP


3、常用的规则放在前面生效
[root@web01 ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Mon Apr 17 12:03:54 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [371:25376]
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Apr 17 12:03:54 2017


写成脚本：
#!/bin/bash
#this is a server firewall created by oldboy 17:03 2006-7-26
#updated by oldboy on 10:30 2009-6-23
#http://blog.etiantian.org
#qq:49000448
#define variable PATH
IPT=/sbin/iptables

#Remove any existing rules
$IPT -F
$IPT -X
$IPT -Z

#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP

#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT

#setting access rules
#one,ip access rules,allow all the ips of
$IPT -A INPUT -s 202.81.17.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 202.81.18.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
$IPT -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT

#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

#others RELATED
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/etc/init.d/iptables save
#iptables-save >/etc/sysconfig/iptables






生产案例：
1、局域网共享上网项目案例
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.7

2、端口映射 10.0.0.7:9000 -->172.16.1.51:22
实现命令：
iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.51:22

3、IP一对一映射(DMZ)
ip addr add 10.0.0.81/24 dev eth0 label eth0:0
iptables -t nat -I POSTROUTING -s 10.0.0.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 10.0.0.2


iptables -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81

检查：
ping 10.0.0.81
tcpdump|grep -i icmp（两台机器上分别监测）
telnet 10.0.0.81 873(51上提前配好)


(1)生产环境大于254台机器网段划分及路由解决方案详解01
http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html
(2) linux route命令深入浅出与实战案例精讲
http://oldboy.blog.51cto.com/2561410/1119453
http://oldboy.blog.51cto.com/2561410/974194
必看3遍以上。


映射多个外网IP上网
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.2.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.12