iptables简介

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

iptables 规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables和netfilter的关系：
iptables是Linux防火墙的管理工具，实现规则的定义、删除以及修改，位于/sbin/iptables。真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。

iptables数据包处理流程图

下图中更好的看出数据包的经过

iptables结构

iptables是由表和链组成的。

表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。

链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。
规则表：

• filter表
  作用：用于对数据包进行过滤，根据具体的规则（如DROP、ACCEPT、REJECT、LOG）决定是否放行该数据包，对应的内核模块为：iptables_filter。包含三个链：

  • INPUT：INPUT针对那些目的地是本地的包
  • FORWARD：FORWARD过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的包
  • OUTPUT：OUTPUT是用来过滤所有本地生成的包

• Nat表
  作用：用于修改数据包的IP地址、端口号等信息（网络地址转换，如SNAT、DNAT、MASQUERADE、REDIRECT）。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作，也就是说，余下的包不会再通过这个表。对应的内核模块为：iptable_nat，包含三个链：

  • PREROUTING：作用是在包刚刚到达防火墙时改变它的目的地址
  • POSTROUTING：改变本地产生的包的目的地址
  • OUTPUT：在包就要离开防火墙之前改变其源地址

• Mangle表
  作用：用于修改数据包的TOS（Type Of Service，服务类型）、TTL（Time To Live，生存周期）指以及为数据包设置Mark标记，以实现Qos(Quality Of Service，服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。包含五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

  不要在这个表里做任何过滤，不管是DANT，SNAT或者Masquerade。

• Raw表
  作用：用于决定数据包是否被状态跟踪机制处理。在匹配数据包时，raw表的规则要优先于其他表。对应 内核模块为：iptable_raw，包含两个链：OUTPUT、PREROUTING

结构图如下：

规则表之间的先后顺序

Raw------>mangle------>nat------>filter

规则链之间的优先顺序（分三种情况）：

• 第一种情况：入站数据流向
  从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

• 第二冲情况：转发数据流向
  来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

• 第三种情况：出站数据流向
  防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

iptables处理数据包的方式

• ACCEPT：允许数据包通过
• DROP：直接丢弃数据包，不回应任何信息
• REJECT：拒绝数据包通过，必要时会给数据发送端一个响应的信息。
• SNAT：源地址转换。在进入路由层面的route之后，出本地的网络栈之前，改写源地址，目标地址不变，并在本机建立NAT表项，当数据返回时，根据NAT表将目的地址数据改写为数据发送出去时候的源地址，并发送给主机。解决内网用户用同一个公网地址上网的问题。
• MASQUERADE，是SNAT的一种特殊形式，适用于像adsl这种临时会变的ip上
• DNAT：目标地址转换。和SNAT相反，IP包经过route之前，重新修改目标地址，源地址不变，在本机建立NAT表项，当数据返回时，根据NAT表将源地址修改为数据发送过来时的目标地址，并发给远程主机。可以隐藏后端服务器的真实地址。
• REDIRECT：是DNAT的一种特殊形式，将网络包转发到本地host上（不管IP头部指定的目标地址是啥），方便在本机做端口转发。
• LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则

iptables数据包处理过程

• 以本地为目标的数据包处理步骤
  

• 以本地为源的数据包处理步骤
  

• 被转发的数据包处理步骤
  
  iptables参数介绍

[-t 表名]：该规则所操作的哪个表，可以使用filter、nat等，如果没有指定则默认为filter
-A：新增一条规则，到该规则链列表的最后一行
-I：插入一条规则，原本该位置上的规则会往后顺序移动，没有指定编号则为1
-D：从规则链中删除一条规则，要么输入完整的规则，或者指定规则编号加以删除
-R：替换某条规则，规则替换不会改变顺序，而且必须指定编号。
-P：设置某条规则链的默认动作
-nL：-L、-n，查看当前运行的防火墙规则列表
chain名：指定规则表的哪个链，如INPUT、OUPUT、FORWARD、PREROUTING等
[规则编号]：插入、删除、替换规则时用，--line-numbers显示号码
[-i|o 网卡名称]：i是指定数据包从哪块网卡进入，o是指定数据包从哪块网卡输出
[-p 协议类型]：可以指定规则应用的协议，包含tcp、udp和icmp等
[-s 源IP地址]：源主机的IP地址或子网地址
[--sport 源端口号]：数据包的IP的源端口号
[-d目标IP地址]：目标主机的IP地址或子网地址
[--dport目标端口号]：数据包的IP的目标端口号
-m：extend matches，这个选项用于提供更多的匹配参数，如：
-m state –state ESTABLISHED,RELATED,INVALID,RELATED
-m tcp –dport 22
-m multiport –dports 80,8080
-m icmp –icmp-type 8
<-j 动作>：处理数据包的动作，包括ACCEPT、DROP、REJECT等

iptables基础操作

• 查看规则

  [root@node1 ~]# iptables -nvL
  加一个-n以数字形式显示IP和端口，而不是默认的服务名称
  

• 删除规则

  [root@node1 ~]# iptables -F
  ############
  删除指定链
  [root@node1 ~]# iptables -F INPUT
  

• 设置默认规则，不允许进入

  [root@node1 ~]# iptables -P INPUT DROP
  

• 允许源地址访问本地22端口

  [root@node1 ~]# iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
  
  ################
  假设INPUT和OUTPUT链的默认规则都是DROP,所以我们就写需要ACCETP(通过)的链。
  如果在预设设置把OUTPUT设置成DROP策略的话，就需要设置OUTPUT规则，否则无法进行SSH连接。需要再添加以下规则
  [root@node1 ~]# iptables -A INPUT -p tcp -sport 22 -j ACCEPT
  

• 允许外部地址访问本机

  [root@node1 ~]# iptables -A INPUT -d 192.168.20.2 -j ACCEPT
  

• 开放本地icmp协议

  [root@node1 ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j AcCEPT
  

• 开放多个端口

  [root@node1 ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  [root@node1 ~]# iptables -A INPUT -p tcp --dport 23 -j ACCEPT
  #####也可以使用-m 模块一条命令添加
  iptables -A INPUT -p tcp -m multiport --dport 21,23 -j ACCEPT
  

• iptables规则取反

  [root@node1 ~]# iptables -A INPUT -s ! 192.168.10.3 -p tcp -dport 22 -j ACCEPT
  ##############
  使用叹号表示除了192.168.10.3都可以访问22端口
  

• 设置nat转发规则

  [root@node1 ~]# iptables -t nat -A PREROUTING --dst 192.168.20.139 -p tcp --dport 5555 -j DNAT --to-destination 192.168.20.1:9999
  [root@node1 ~]# iptables -t nat -A POSTROUTING --dst 192.168.20.1 -p tcp --dport 9999 -j SNAT --to-source 192.168.20.139
  
  #################
  使用192.168.20.139:5555去访问192.168.20.1:9999端口，那么需要在192.168.20.139的机器上执行上面的命令,适用于内外网场景
  

• 删除指定链的指定规则

  [root@node1 ~]# iptables -nvL  --line-numbers   查看规则，显示行号
  [root@node1 ~]# iptables -D  INPUT 2   ###删除INPUT链的2号规则

iptables参数介绍

命令选项用于指定iptables的执行方式，包括插入规则，删除规则和添加规则，如下所示
-P --policy <链名> 定义默认策略
-L --list <链名> 查看iptables规则列表
-A --append <链名> 在规则列表的最后增加1条规则
-I --insert <链名> 在指定的位置插入1条规则
-D --delete <链名> 从规则列表中删除1条规则
-R --replace <链名> 替换规则列表中的某条规则,规则被取代后并不会改变顺序。
-F --flush <链名> 删除表中所有规则
-Z --zero <链名> 将表中数据包计数器和流量计数器归零
-X --delete-chain <链名> 删除自定义链
-v --verbose <链名> 与-L他命令一起使用显示更多更详细的信息

匹配选项指定数据包与规则匹配所具有的特征，包括源地址，目的地址，传输协议和端口号，如下所示
-i --in-interface 网络接口名 指定数据包从哪个网络接口进入，
-o --out-interface 网络接口名 指定数据包从哪个网络接口输出
-p ---proto 协议类型 指定数据包匹配的协议，如TCP、UDP和ICMP等
-s --source 源地址或子网 指定数据包匹配的源地址
--sport 源端口号 指定数据包匹配的源端口号
--dport 目的端口号 指定数据包匹配的目的端口号
-m --match 匹配的模块 指定数据包规则所使用的过滤模块

iptables执行规则时，是从规则表中从上至下顺序执行的，如果没遇到匹配的规则，就一条一条往下执行，如果遇到匹配的规则后，那么就执行本规则，执行后根据本规则的动作(accept，reject，log，drop等)，决定下一步执行的情况，后续执行一般有三种情况。
一种是继续执行当前规则队列内的下一条规则。比如执行过Filter队列内的LOG后，还会执行Filter队列内的下一条规则。
一种是中止当前规则队列的执行，转到下一条规则队列。比如从执行过accept后就中断Filter队列内其它规则，跳到nat队列规则去执行
一种是中止所有规则队列的执行。

iptables -m参数介绍

iptables -p tcp: 表示使用TCP协议
iptables -m tcp: 表示使用TCP模块的扩展功能（tcp扩展模块提供了 --dport, --tcp-flags, --sync等功能）,在规则中即使不使用-m参数，使用-p参数指定协议时，也会是调用-m模块的扩展功能。

模块使用

• multiport

1：访问对个不连续端口
[root@node1 ~]# iptables -A INPUT -p tcp -m multiport --dport 22,53,80,110,200 -j ACCEPT
2：访问多个连续端口，使用冒号隔开
[root@node1 ~]# iptables -A INPUT -p tcp -m multiport --dport 22,53,80,100:200 -j ACCEPT

multiport有--dport，--sport,--ports三个参数
--dport匹配目的地址
--sport匹配源端口
--ports匹配源端口和目的端口，要求源和目的一致

• iprange

  1: 允许一段地址访问本地的某些端口
  [root@node1 ~]# iptables -A INPUT  -m iprange --src-range 192.168.2.2-192.168.2.208 -d 192.168.2.12 -p tcp -m multiport --dport 22,53,80,100:200 -j ACCEPT
  
  iprange有两个参数，--src-range和--dst-range
  

• limit

  匹配连接速率，限定匹配数据包的个数
  1：[root@node1 ~]# iptables -A INPUT -m limit --limit 10/hour
  设定这个参数也会在条件达成时，暂停数据包的比对动作，以避免因洪水攻击法，导致服务被阻断。除了每小时外，还可以设置/second、 /minute、/day。
  另外还有--limit-burst这个参数，表示瞬间峰值大小
  

以上内容参考https://www.linuxrumen.com/rmxx/642.html