iptables常规使用

0x00 简介

iptables防火墙由Netfilter项目开发，自linux2.4就融入了内核。linux内核中的Netfilter框架可将数据包操作函数挂接至网络栈。iptables便在这个框架之上提供了数据包过滤等操作。iptables组件提供了同名的用户层工具，解析命令行参数传递给内核来设置防火墙策略。

iptables工作于网络层，可以基于数据链路层的MAC地址来过滤IP数据包，不能用于数据链路层（如ARP协议）。

0x01 术语&结构

iptables共有4个表：filter,nat,mangle,raw  功能对应于过滤规则，NAT规则，修改分组数据的特定规则，独立于Netfilter链接跟踪子系统起作用的规则。

表tables由链chains组成，chains由规则rules组成。

最重要的链是filter表中的INPUT、OUTPUT、FORWARD 和 nat表中的PREROUTING、POSTROUTING。

0x02 规则匹配

iptables对满足匹配的目标执行相应的动作，匹配方式常见的如下：

-s(--source) 匹配源地址，指定数据包的源地址参数（IP、网络地址、主机名）
-d(--destination) 匹配目标地址
-p(--protocol) 指定规则协议，如tcp, udp,icmp等，可以使用all来指定所有协议
-i(--in-interface) 流入的网络接口（如eth0）
-o(--out-interface) 流出接口
--state 连接状态（INVALID、ESTABLISHED等）
--string 匹配应用层数据字节序列
--comment 在内核内存中为一条规则关联注释数据

上述参数为基本匹配，还有隐式扩展和显示扩展匹配：

0x03 目标

每条匹配条件之后跟一个目标，触发动作。

ACCEPT：允许数据包通过。
DROP：直接丢弃数据包，不给出任何回应信息。就像是没有收到过数据包。
REJECT：拒绝数据包通过，丢弃数据包，同时发送适当响应报文。
LOG：将数据包信息记录到syslog，然后将数据包传递给下一条规则。
QUEUE：防火墙将数据包移交到用户空间
RETURN：防火墙停止执行当前链中的后续Rules，并返回到调用链(the calling chain)，在调用链中继续处理数据包。

0x04 命令行选项

iptables [ -t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
　　　　　不指定-t默认为filter表，-j也许是jump的缩写

-A	在指定链的末尾添加（--append）一条新的规则
-D	删除（--delete）指定链中的某一条规则，按规则序号或内容确定要删除的规则
-I	在指定链中插入（--insert）一条新的规则，默认在链的开头插入
-R	修改、替换（--replace）指定链中的一条规则，按规则序号或内容确定
-L	列出（--list）指定链中的所有的规则进行查看，默认列出表中所有链的内容
-F	清空（--flush）指定链中的所有规则，默认清空表中所有链的内容
-N	新建（--new-chain）一条用户自己定义的规则链
-X	删除指定表中用户自定义的规则链（--delete-chain）
-P	设置指定链的默认策略（--policy）
-n	用数字形式（--numeric）显示输出结果，若显示主机的 IP地址而不是主机名
-P	设置指定链的默认策略（--policy）
-v	查看规则列表时显示详细（--verbose）的信息
-V	查看iptables命令工具的版本（--Version）信息
-h	查看命令帮助信息（--help）
--line-number	查看规则列表时，同时显示规则在链中的顺序号

0x05 示例

1.清空规则

iptables -F　　　　　　　　#flush filter
iptables -F -t nat　　　　#flush nat
iptables -X　　　　　　　　#删除用户自定义的规则链
iptables -P INPUT DROP　　#设置指定链的策略
iptables -P OUTPUT DROP
iptables -P FORWARD DROP 

2.端口访问控制

#容许远程ssh到本地
iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
#允许本地主机进行SSH连接
iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT 

3.增删改查

#增加一条规则到最后-A
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 

#删除一条规则-D,全部删除-F
iptabels -D INPUT 2 #删除INPUT链中的2号规则，下标从1开始（通过-L组合--line-number查看）

#修改一条规则
iptables -R INPUT 3 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 

#查看iptables规则
iptables –L（iptables –L –v -n）

4.防御措施

#防止单个ip访问量过大
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP 

#防止ping攻击，限制会响应的icmp数据包的大小
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT
#或者干脆不响应
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP(或REJECT)

#防止DOS攻击
利用recent模块抵御DOS攻击
iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP 

单个IP最多连接3个会话
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH  

只要是新的连接请求，就把它加入到SSH列表中
Iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP  

5分钟内你的尝试次数达到3次，就拒绝提供SSH列表中的这个IP服务。被限制5分钟后即可恢复访问。

#防止syn洪水攻击
思路一：限制syn的请求速度（这个方式需要调节一个合理的速度值，不然会影响正常用户的请求）
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP 

思路二：限制单个ip的最大syn连接数
iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

5.FORWARD转发

待续。。。

0xFF 参考

1.《linux防火墙》，Michael Rash

2.Iptables入门教程 http://drops.wooyun.org/tips/1424