首页 > 代码库 > iptables初探

iptables初探

一,前言

本来想起个名字叫做“小白都是怎么学习iptables的?”或者“你为什么还不了解iptables?”等等,就像简书上的头条文章,虽然被说成“标题党”也是名副其实,但是的确能吸引别人去阅读,提升阅读量(那些大V也确实是这么干的)。不过转念一想,我这小白所写的文章,稚不成书,还是少些人看的好:)。。。故改名iptables初探。意在记录自己学习iptables的过程,轻喷!

首先,iptables是防火强的一种,防火墙分为三大类:包过滤、代理和状态检测防火墙。在linux系统中大都采用包过滤技术来做防火墙,根据发展的先后又分为静态防火墙动态防火墙,静态防火墙修改规则后需要重新启动防火墙,而动态不需要,修改即生效。今天我所学习的iptables就属于静态防火墙的一种,在REHL7中新纳入的firewall防火墙就属于动态防火墙。在实际应用中,iptables可以用来封包过滤、封包重定向以及NAT隐藏背后真实的服务器,起到保护的作用。

二,iptables原理

1,简介:

iptables其实应该叫做netfilter/iptables,由netfilter和iptables两部分组成,netfilter也称为内核空间,用来存储策略及响应策略,iptables是存在于用户空间的一种工具,用来编写策略。

2,表与链:

整个iptables策略的编写围绕着表(tables)和链(chains)的分层结构来进行,一张表下可以包含多条链。目前内置于iptables中的表有mangle、nat和filter三张,而我们常用的就是nat和filter,所以我这里就主要学习这两张表。两张表与其各自的链的功能如下表所示:

表(tables)

链(chains)

解释(explanation)

nat

prerouting

在路由决策前由这个链来处理

output

从本地发送的数据由这个链处理

postrouting

用于转发和送出数据包

filter

input

用于过滤进入本机的数据包

forward

处理经过本系统的报文(转发、路由等)

output

用于过滤从本机发出的报文

当一个数据包需要来到配置有iptabls的主机时,会经过如下过程:

1) 路由决策前,经过NAT的prerouting来处理;

2) 判断此数据包是否发送给本机,如果是,则经过FILTER的input来过滤,如果否,则通过FILTER的forward来路由转发;

3) 对于发送给本机的数据包,通过处理后,进入NAT的output链进行再处理,然后进入FILTER链的output进行过滤出,最后经由NAT的postrouting链送出数据包;

4) 对于不是发送给本机的数据包,通过forwar链处理后,由postrouting链送出。

数据流向大致如下图所示:

 技术分享

所以我们做的就是在表和链这里设置一些规则,让数据包来匹配这些规则,规则从上到下是一个表的样式,而数据包会一条一条的过滤,直到符合匹配,就同行,否则就按照默认规则处理。

三,通过实验验证iptables命令

1) 在centos7.2上安装iptables

挂载镜像,编写yum源

yum install iptables-services

systemctl unmask iptables

请确保firewalld为关闭状态(会与iptables冲突)

2) 验证iptables相关命令

命令格式:iptables [-t 表名] 选项 [链名] [条件] [-j 策略]

对表名来说,本实验中就是filter和nat表,默认情况下是filter

选项来说存在以下的常用选项:

-L

iptables -L 查看当前规则策略,没有指定表时,默认filter表

-F

iptables -F 清空指定链规则

-A

iptables -A 在指定链后面添加一条新规则

-D

iptables -D 1 删除指定链第一条规则

-R

替换指定链中的规则

-Z

清空指定链中的所有计数

-N

自定义一条链

-X

删除自定义链

-P

设定默认策略(将整个链DROP等

-E

修改链的名字(只能修改自己添加的链)

-I

在指定链某一条规则前插入一条新规则

 

策略来说,有如下策略:

ACCEPT

允许该包通过

DROP

丢弃该包,不做任何操作

REJECT

拒绝该包,并返回消息

DNAT

目标地址转换

SNAT

源地址转换

REDIRECT

重定向到另一个端口

MASQUERADE

地址伪装

LOG

将封包信息记录到日志/var/log

 

试验环境:

主机名

IP

角色

01

192.168.1.2

公网IP

02

192.168.1.1

192.168.2.1

防火墙,边缘路由

03

192.168.2.2

服务器

 

1)03上做了http服务,现在要求01不能访问03的web服务,在02上配置iptables:

iptables -A FORWARD -s 192.168.1.2 -d 192.168.2.2 -p tcp -dport 80 -j REJECT

 技术分享

此时,01不能访问03的WEB服务,其他服务正常

 

2)我们想做一个源地址的转换, 内网多个客户端共用一个外网IP去访问服务器:

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.1.0/24 -j SNAT --to-source 192.168.1.1

 技术分享

 此时,再用01去访问03时,在03的httpd访问日志中,显示的不是01的地址,而是通过已经转换的192.168.1.1:

 技术分享

3) 目标地址转换,通常用于隐藏内部服务器的IP地址。比如在本例中,03是内部服务器,现在想实现的目标是用户通过02上的192.168.2.1来访问03的web服务,在02上配置NAT:

iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d 192.168.2.1 -p tcp --dport 80 -j     DNAT --to-destination 192.168.1.2

技术分享

此时:elinks 192.168.2.1就是访问03的192.168.1.2这台服务器了。很好的将03进行隐藏。

【注】源地址转换必须在POSTROUTING上做,目标地址转换必须在PREROUTING上做。

四,结语

在企业中,会经常用到iptables来做NAT,已达到内网安全的目的。在本篇中,学到了iptables的命令格式及SNAT和DNAT的用法。在后续的文章中,会继续学习其他用法,并分析各种用法的原理。

iptables初探