iptables概念与操作

1,859 阅读8分钟

基本概念

有一些同学知道,linux除了防火墙firewell以外,还有一个iptables可以实现对服务器端口访问的限制 那iptables是啥呢

iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架   netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,它可以完成封包过滤、封包重定向和网络地址转换等功能   Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:

  • 网络地址转换(Network Address Translate)
  • 数据包内容修改
  • 数据包过滤的防火墙功能

  所以说,虽然我们使用service iptables start启动iptables”服务”,但是其实准确的来说,iptables并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能

外界请求服务器中的服务时,先从网卡进入,然后经过内核空间,规则链INPUT,去到用户空间对应地址的逻辑中,用户空间的程序处理好了请求进行返回的时候,也是从用户空间先进入内核空间,经过规则链OUTPUT,最后走网卡出去 未命名文件.png 这里INPUT和OUTPUT说的就是iptables的规则链,如果我们对这些规则链配置规则,就能够在请求经过规则链的时候对请求进行匹配,请求如果匹配上了规则,则会进行相应的处理,没有匹配上的话就按默认规则进行处理

确切的说,请求进入服务器,及返回离开服务器时,经过的规则链是这样的 未命名文件 (1).png 如果我们的服务器不是作为被请求的目标,而是作为转发服务器,那也会经过iptables规则链,只不过经过的规则链不太一样 image.png 这样我们就已经看到了所有的预置iptables规则链,他们分别是PREROUTING、INPUT、OUTPUT、FORWARD

规则链

刚才说他们四个是规则链,为什么我们要称其为规则链呢 执行iptables -L -n可以查看服务器上的iptables规则链,我这里用INPUT举例 规则链的匹配方式为从上到下,也就是说当一个请求开始匹配INPUT规则链时,他会按照我们这里所见的顺序从上往下一条一条规则去判断,直到匹配中某条规则,或者所有规则都没有匹配中,则按照默认规则执行

比如我现在有一个来自127.0.0.1的对6379端口的请求 从上往下匹配的话,第一条规则就会匹配中,第一条规则我们写的是ACCEPT,也就是直接放行,所以这个请求就会离开INPUT规则链,不去管后面的所有规则,被直接放行

再比如我现在有一个来自192.168.22.10的对6379端口的请求 第一条规则匹配不中,于是会检查第二条规则 第二条规则会匹配所有ip对6379端口的访问,规则为REJECT,也就是拒绝包 所以这个请求会匹配中第二条规则,然后离开INPUT规则链,并且此请求的包被拒绝,有必要的话会向请求来源发送一个拒绝信息 虽然这个规则匹配的是所有ip对6379端口的访问,但是如果是127.0.0.1访问6379,则这个请求会先匹配中第一条规则然后被放行,根本就不会到这第二条规则来,所以截图中这种设置方式能够实现6379端口只允许127.0.0.1访问,禁止其余ip访问

再再比如我现在有一个来自192.168.22.10的对8000端口的请求 这个请求无法匹配中规则1和规则2 所以他会在走完INPUT规则链后执行INPUT规则链的默认规则,也就是截图中第一行括号里的内容,ACCEPT

我们甚至可以把规则链写成switch

swtich 请求 {
case 请求6379端口 && 请求来自127.0.0.1:
    return ACCEPT
case 请求6379端口 && 请求来自0.0.0.0:
    return REJECT
default:
    return ACCEPT
}

除了【ACCEPT放行】和【REJECT拒绝】以外,还有几种处理方式,可按需选用

处理效果
ACCEPT放行
REJECT拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息
DROP直接丢弃数据包,不给任何回应信息,这时候客户端一般就会等待直到超时
SNAT源地址转换,解决内网用户用同一个公网地址上网的问题
MASQUERADE是SNAT的一种特殊形式,适用于动态的、临时会变的ip上
DNAT目标地址转换
REDIRECT在本机做端口映射
LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配

注意规则链并不只有上面讲到的四个,比如DOCKER会自己注册规则链,用于对docker服务的管理,如果你要对docker服务写iptables规则,只能在DOCKER规则链写,写INPUT之类的地方是不会生效的【详情见iptables配置docker服务端口访问限制】,具体可以执行iptables -L -n命令来查看你服务器上目前所有的规则链

命令语法

查询规则

查询服务器上所有规则链

iptables -L -n

查询服务器上所有规则链,并带有编号【编号可用于删除、修改、插入等操作】

iptables -L -n  --line-number

查询指定规则链的规则

iptables -L 规则链

新增规则

在规则链头部新增规则的命令模板
iptables -I 规则链 -s 匹配ip -p 通信协议 --dport 匹配端口 -j 执行规则
下面是范例命令
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
参数效果
-I 规则链本条规则添加到指定规则链的头部,也就是优先匹配,如果你要连续写好几条规则的话,那就是【先写后匹配】
-I 规则链 规则编号如果在使用 -I 时在规则链后加上规则编号,则代表要将本条规则插入到指定规则链的指定位置,原位置的规则会下移
-A 规则链本条规则添加到指定规则链的尾部,也就是最后匹配,如果你要连续写好几条规则的话,那就是【先写先匹配】
-D 规则链 规则编号删除规则;详情见下文
-R 规则链 规则编号修改规则,修改指定编号的规则,会直接替换原规则;其余参数语法与-I相同
参数效果
-s 匹配ip设置本条规则要匹配的ip;如果写0.0.0.0或者直接不写此参数则匹配所有ip
-p 通信协议设置匹配的通信协议,常见的值有tcp、udp、icmp、all
--dport 目标端口设置本条规则匹配的目标端口【本机上被访问的端口】
--sport 来源端口设置本条规则匹配的请求来源端口【请求方向我们发出请求的端口】
-j 执行规则设置本条匹配规则匹配中了以后的行为,具体可参照上一章的处理方式表格

删除规则

因为一台服务器上的iptables规则可能很多,所以为了便于删除,我们在删除之前先使用iptables -L -n  --line-number命令查看带编号的iptables规则,然后再删除指定编号的规则

查看规则编号的命令
iptables -L -n  --line-number
删除规则的命令模板
iptables -D 规则链 规则编号
下面是范例命令
iptables -D INPUT 2

设置默认规则

设置默认规则的命令模板
iptables -P 规则链 执行规则
下面是范例命令
iptables -P INPUT ACCEPT

默认规则就是第一行括号里的规则,在本规则链匹配结束,都没有匹配中的情况下采用 强烈建议默认规则都写ACCEPT 如果默认规则写的是REJECT,然后人不小心用iptables -F清空了所有规则,那你连ssh都连不上服务器

重命名规则

iptables -E oldname newname

很好理解,就不多解释了

清空全部规则

iptables -F

想清楚了再执行就行

参考文档