iptables及其在路由器上的应用 (待完善)

1. iptables基本定义

Table （表名）	Explanation （注释）
nat	nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NAT。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因，对这一点，后面会有更加详细的讨论。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址。
mangle	这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如 TTL，TOS或MARK。注意MARK并没有真正地改动数据包，它只是在内核空间为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链： PREROUTING，POSTROUTING， OUTPUT，INPUT和 FORWARD。PREROUTING在包进入防火墙之后、路由判断之前改变包，POSTROUTING是在所有路由判断之后。 OUTPUT在确定包的目的之前更改数据包。INPUT在包被路由到本地之后，但在用户空间的程序看到它之前改变包。FORWARD在最初的路由判断之后、最后一次更改包的目的之前mangle包。注意，mangle表不能做任何NAT，它只是改变数据包的 TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中操作的。
filter	filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作。FORWARD 链过滤所有不是本地产生的并且目的地不是本地（所谓本地就是防火墙了）的包，而 INPUT恰恰针对那些目的地是本地的包。OUTPUT 是用来过滤所有本地生成的包的。

下图可以帮助理解各个表及其链在iptables防火墙中的作用:

关于iptables的更多解释, 推荐看下iptables 指南 1.1.19

2. iptables在路由器上的应用

2.1 ACL(权限访问控制)

目的：控制对路由器的访问权限，比如限制访问路由器的telnet、ssh或者对路由器进行ping连通测试等。

实操：

 #创建名为acl_chain_的链

 iptables -t filter -N acl_chain_

 #从接口br0来的到目的端口80,443且协议为tcp,报文源ip地址范围在192.168.1.-192.168..150内的报文直接进入下一条链处理；又tcp ，443分别对应http和https, 若后面的链没有对其执行drop动作，将允许访问路由器的web页面。

 iptables -t filter -A acl_chain_ -i br0 -p tcp -m multiport --dports , -m iprange --src-range 192.168.1.100-192.168.1.150 -j RETURN

 #注意icmp type 8为ping应答, nas+为模糊匹配接口(包括nas10,nas10_0),其他如上

 iptables -t filter -A acl_chain_ -i nas+ -p icmp -m icmp --icmp-type  -m iprange --src-range 0.0.0.0-223.255.255.255 -j RETURN

 #tcp 22为ssh端口，若后面的链没有对其执行drop动作，将允许通过ssh访问路由器

 iptables -t filter -A acl_chain_ -i br0 -p tcp -m multiport --dports  -m iprange --src-range 0.0.0.0-223.255.255.255 -j RETURN

 #表示进入acl_chain_的报文，如果之前没有匹配到的，都将其drop掉

 iptables -t filter -A acl_chain_ -j DROP

 #创建名为ACL_的链

 iptables -t filter -N ACL_

 #到tcp ,,,,,,,,,,21的报文都进入acl_chain_处理

 iptables -t filter -A ACL_ -p tcp -m multiport --dports ,,,,,,,,,, -j acl_chain_

 #到udp ,,,,,,,,,,21的报文都进入acl_chain_处理

 iptables -t filter -A ACL_ -p udp -m multiport --dports ,,,,,,,,,, -j acl_chain_

 #ping应答相关的报文也进入acl_chain_处理

 iptables -t filter -A ACL_ -p icmp -m icmp --icmp-type  -j acl_chain_

 #将ACL链追加在filter INPUT中

 iptables -t filter -A INPUT -j ACL_ ! -i lo

 若上述命令都执行成功，那么在路由器上的相关规则为：

 # iptables -t filter -S INPUT

 -P INPUT ACCEPT

 -A INPUT ! -i lo -j ACL_

 #

 # iptables -t filter -S ACL_

 -N ACL_

 -A ACL_ -p tcp -m multiport --dports ,,,,,,,,,, -j acl_chain_

 -A ACL_ -p udp -m multiport --dports ,,,,,,,,,, -j acl_chain_

 -A ACL_ -p icmp -m icmp --icmp-type  -j acl_chain_

 #

 # iptables -t filter -S acl_chain_

 -N acl_chain_

 -A acl_chain_ -i br0 -p tcp -m multiport --dports , -m iprange --src-range 192.168.1.100-192.168.1.150 -j RETURN

 -A acl_chain_ -i nas+ -p icmp -m icmp --icmp-type  -m iprange --src-range 0.0.0.0-223.255.255.255 -j RETURN

 -A acl_chain_ -i br0 -p tcp -m multiport --dports  -m iprange --src-range 0.0.0.0-223.255.255.255 -j RETURN

 -A acl_chain_ -j DROP

 #

2.2 PortMapping(端口映射)

目的：使内网中某主机的某些端口暴露于外网，这样外网访问路由器的指定端口，便会被路由器转发到内网某主机上。

实操：如下图，192.168.1.2为LAN侧某个PC的IP地址，192.168.88.253为路由器上名为ppp1的wan interface的IP地址。

把路由器上名为ppp1的wan接口上收到的tcp 2211的数据转到lan侧pc 192.168.1.2上的tcp 1122上。

把路由器上名为ppp1的wan接口上收到的udp 8877的数据转到lan侧pc 192.168.1.2上的udp 7788上。

# iptables -t filter -S FORWARD
-P FORWARD ACCEPT
-A FORWARD -i ppp1 ! -o ppp1 -j MINIUPNPD
# iptables -t filter -S MINIUPNPD
-N MINIUPNPD
-A MINIUPNPD -d 192.168.1.2/32 -p tcp -m tcp --dport 1122 -j ACCEPT
-A MINIUPNPD -d 192.168.1.2/32 -p udp -m udp --dport 7788 -j ACCEPT

# iptables -t nat -S PREROUTING
-P PREROUTING ACCEPT
-A PREROUTING -i ppp1 -j MINIUPNPD
# iptables -t nat -S MINIUPNPD
-N MINIUPNPD
-A MINIUPNPD -p tcp -m tcp --dport 2211 -j DNAT --to-destination 192.168.1.2:1122
-A MINIUPNPD -p udp -m udp --dport 8877 -j DNAT --to-destination 192.168.1.2:7788

2.3 DMZ

目的: 将外网发往路由器的某接口的所有信息都转发到内网的某台主机上.

实操：

在表nat中创建一个名为DMZ_PRE2_0的链

iptables -t nat -N DMZ_PRE2_0

从接口nas2_0来的通过链DMZ_PRE2_0的报文，将对其作DNAT转换，改变报文的目的地址为192.168.1.

iptables -t nat -A DMZ_PRE2_0 -i nas2_0 -j DNAT --to-destination 192.168.1.5 

将链DMZ_PRE2_0追加到表nat的内建链PREROUTING中

iptables -t nat -A PREROUTING -j DMZ_PRE2_0

若上述命令都执行成功，那么在路由器上的相关规则为：

# iptables -t nat -S PREROUTING

-P PREROUTING ACCEPT

-A PREROUTING -j DMZ_PRE2_0

# iptables -t nat -S DMZ_PRE2_0

-N DMZ_PRE2_0

-A DMZ_PRE2_0 -i nas2_0 -j DNAT --to-destination 192.168.1.5

#

2.4 Filter(黑|白名单限制)

目的：通过IP、MAC等信息限制内网的某主机对路由器或者外网的访问

实操：

========ip

# iptables -t filter -S ipfilter_chain

新建一个名为ipfilter_chain的链

-N ipfilter_chain

从接口nas10_0出去且经过ipfilter_chain链的报文，协议为tcp，目的端口为100:，原ip范围在192.168.1.-192.168.1.50， 目的ip范围在192.172.1.-192.172.1.30，将其转发下一个链， 如果之后没有对其drop的动作，此报文将被允许通过。

-A ipfilter_chain -o nas10_0 -p tcp -m tcp --dport : -m iprange --src-range 192.168.1.5-192.168.1.50 -m iprange --dst-range 192.172.1.3-192.172.1.30 -j RETURN

-A ipfilter_chain -s 192.168.1.4/ -o nas10_0 -j RETURN

-A ipfilter_chain -o ppp80 -j RETURN

-A ipfilter_chain -d 172.30.20.1/ -o nas10_0 -j RETURN

-A ipfilter_chain -j DROP

# 

# iptables -t filter -S FORWARD

-P FORWARD ACCEPT

-A FORWARD -i br+ -j ipfilter_chain

-A FORWARD -i ra+ -j ipfilter_chain 

========mac

# iptables -t filter -S macfilter_chain

新建一个名为macfilter_chain的链

-N macfilter_chain

通过链macfilter_chain的报文，如果其源mac地址为40::7E:::0B，就将其丢掉

-A macfilter_chain -m mac --mac-source ::7E:::0B -j DROP

# 

将链macfilter_chain追加到表filter的内建链中FORWARD

# iptables -t filter -S FORWARD

-P FORWARD ACCEPT

-A FORWARD -i br+ -j macfilter_chain

-A FORWARD -i ra+ -j macfilter_chain 

将链macfilter_chain追加到表filter的内建链中INPUT

# iptables -t filter -S INPUT

-P INPUT ACCEPT

-A INPUT -i ra+ -j macfilter_chain

-A INPUT -i br+ -j macfilter_chain

2.5 Firewall(防火墙)

目的: iptables规则也可以帮助建立一道防火墙，减少主机遭到恶意攻击的风险。

实操:

说明: 防火墙通用的规则一般都有允许类型为RELATED,ESTABLISHED的报文直接ACCEPT，而把INVALID,NEW直接DROP掉。

规则：

# iptables -t filter -S INPUT
-P INPUT ACCEPT
-A INPUT -i nas+ -m state --state RELATED,ESTABLISHED -j ACCEPT
...
-A INPUT -i nas+ -m state --state INVALID,NEW -j DROP

类型：SYN/TCP reset attack

说明：攻击者可以给目标计算机发送0~65535端口发送TCP SYN或者UDP，如果收到了TCP RST或者UDP报文的ICMP不可达报文，则说明这个端口没有开放；相反，则说明TCP端口是开放的，或者UDP端口可能开放。这就是端口扫描攻击。

方法：限制TCP SYN报文的数据流量，但这个也不能完全避免端口扫描攻击。

规则：