啟動和停止
1、命令:
service iptables start/stop/restart
或者直接去找/etc/init.d/下的
2�、配置文件:
/etc/sysconfig/iptables
沒有的話,可以用iptables-save生成
框架: tables > chains > rules(target)
整體上可認為iptables就是由許多chain組成的�,要不然其老版本怎么叫做ipchains呢����。但是劃分層次為:
一個table可由多個chain組成,一個chain可由多個rules組成(一個rule對應(yīng)一個target)���。
target概念的好處是:系統(tǒng)預(yù)置了一些target����,如ACCEPT,DROP,REJECT,LOG等�,意思是如果這個包匹配這條rule,其處理辦法就是target�����。這里引入target的好處在于�,允許用戶自定義一條chain,然后用chain名做為新的target����,這樣���,就可以聚合一些rule!形成了層次性的rule�����,就是說如果滿足這條rule�����,那么再看其target里面的rule���。
1、iptables由四張table組成����,每張table由默認的chain組成:
(1)filter: 默認有三個chain——INPUT,OUTPUT和FORWARD
(2)nat: 做NAT工作,默認三個chain——OUTPUT,PREROUTING,POSTROUTING
(3)mangle: 對包的一些參數(shù)進行修改��,默認有五個chain——INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
(4)raw:作用未明���,默認有兩個chain——OUTPUT,PREROUTING
不同的table分管不同的方面��。iptables的默認命令是對filter生效�����??梢杂?t nat指定對nat生效。
2�����、所謂的配置防火墻就是:
(1)向chain添加rule:
每個chain都是由一系列rule組成的�,比如你要更改INPUT這個chain來允許用戶訪問你機器上的某個端口。
比如這個INPUT有兩個rule�,一個用于允許用戶訪問你的5901端口,一個用于允許用戶訪問你的5902端口
一般安全策略:
1��、從最嚴(yán)厲的安全措施開始��,當(dāng)你發(fā)現(xiàn)有用的東西不能工作時再一點點兒的放寬限度��。
2��、防火墻不能當(dāng)作防范入侵的主要手段����,它只能作為每臺主機上獨立保護措施的一個補充罷了。每臺主機上的獨立保護措施包括crack����,tcpd�����,nmap��,COPS��,tripwire和相應(yīng)的策略。
規(guī)則和命令:
規(guī)則很簡單�����,相應(yīng)的包���,會交給相應(yīng)的內(nèi)置chain��,然后對于chain中的rules��,是從上到下的順序進行匹配��,和break語句一樣���。所以�����,比如你要開放某些端口����,就寫上面�����,最后才寫封閉所有端口���。
靜態(tài)規(guī)則:
1���、iptables -F chain-name:
清除名為chain-name的chain中的所有rule,只寫-F清除所有的chain中的所有rule�����,但保留chain�。
這默認只對filter table的。如果要清除如nat table的�����,要用 iptables -t nat -F
2、iptables -P chain-name target:
給名為chain-name的chain設(shè)置默認的rule�。這個通常是放在給該chain設(shè)置的所有rule的開頭。相當(dāng)于break語句中的default�。 注意,如果給nat或mangle中的chain設(shè)置���,則別忘了用 -t table�����。 但是注意的是��,這里的target只能用內(nèi)置的
3、iptables -A chain-name rule
給名為chain-name的chain添加一條規(guī)則�����,后面rule是一下的組合:
-j target 預(yù)置target或用戶自定義的chain
-i interface 如eth0
-p proto 協(xié)議�,有tcp,udp
-s source-ip 源ip
-d dest-ip 目的ip
--sport source-port 源端口
--dport dest-port 目的端口
--icmp-type type 匹配ICMP類型��,比如你允許哪些類型的ICMP包通過�,后面跟數(shù)字
! 否定
-t table
4、iptables -I chain-name rulenum rule:
這個和-A的區(qū)別是:插入���,而不是加在末尾�����。rulenum為1表示加在最前面���。
5����、iptables -X chain-name:
刪除非系統(tǒng)內(nèi)置(用戶自定義)的chain����,這個不同于-F,這個是把chain整個刪除��,名字都沒了���,即你用iptables -L -v看不到了�����。
6�����、iptables -D chain-name rule/rulenum
這個同iptable -A chain-name rule完全相反�����,如果你要刪除chain-name中的一條rule�,就按照-A時的寫法就可以刪除之?����;蛘哂胷ulenum����,即該chain的從上往下數(shù)的num數(shù),第一條rule的rulenum為1����。
7����、iptables -L chain-name
打印名為chain-name的chain的rules。不給出chain-name���,則打印所有chain�。
8、iptables -L -v chain-name
在6的基礎(chǔ)上加了些有用信息��,如從開機到現(xiàn)在����,匹配每條rule的包的數(shù)量!
動態(tài)規(guī)則: 針對connection(TCP連接)
1���、有三種動態(tài)參數(shù):
NEW:指收到的第一次TCP連接
ESTABLISHED:當(dāng)連接建立后����,屬于該connection的包
RELATED:當(dāng)連接建立后�����,又有相關(guān)的連接建立(典型的是ftp的passive模式��,由client發(fā)起到server的數(shù)據(jù)連接�����,這個端口是由server指定的��,但由client發(fā)起)
2、命令:
iptables -A INPUT -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
上面兩條命令�����,拒絕所有NEW的外來包�����。但允許自己發(fā)出的連接收到外來的數(shù)據(jù)(ESTABLISHED)
再加上:
iptables -A INPUT -p tcp -dport 21 -j ACCEPT
iptables -A INPUT -p udp -dport 21 -j ACCEPT
則表示可以允許外界訪問21端口(FTP�,并假設(shè)采用passive模式),結(jié)合上面的狀態(tài)��,則允許外界主動發(fā)起到自己的ftp數(shù)據(jù)連接———可能是任意端口����,但這里已不用寫了!�����!
所以���,一般,先寫上動態(tài)規(guī)則�,然后再寫靜態(tài)規(guī)則,就可以做到處理一些像FTP Passive模式這種不知道用戶會訪問哪個端口的情況。
3�、注意:
有狀態(tài)的規(guī)則需要內(nèi)核相應(yīng)模塊支持,如果沒有編譯進��,或沒有加載����,則不會生效的。
iptables對請求的URL作IP訪問控制
下面來看一個實例�。
服務(wù)器運行環(huán)境是Tomcat,現(xiàn)在要實現(xiàn)的目的是���,只允許特定的IP訪問某個目錄����,
一種方法是在tomcat配置文件server.conf中�����,使用RemoteAddrValve對虛擬主機做訪問控制����。
另外一種方法可以通過iptables規(guī)則。個人比較喜歡iptables
例如:禁止訪問http://192.168.137.254:10000/managersns 這個路徑,只允許192.168.137.101訪問
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.137.101 -m string --string "/managersns" --algo bm -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -m string --string "/managersns" --algo bm -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -s 192.168.137.101 -m string --string "/managersns" --algo bm -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 10000 -m string --string "/managersns" --algo bm -j DROP
以上規(guī)則是正對eth0網(wǎng)卡�,可以跟蹤自己需求修改����。
參數(shù)說明:
-m string
使用string功能�����,string是iptables的一個module���,也就是做字符串匹配的�����。
–string “xxxx”
定義字符串內(nèi)容�,可以是URL里任意字符����,如果是需要block下載某些類型的文件或請求,這個有很大的發(fā)揮空間�����,可自由想象喔��。
–algo bm
設(shè)置字符匹配的查詢算法�,一般默認使用bm算法效果就可以了���,另外還可以設(shè)置kmp算法����,那是一種更復(fù)雜的算法,詳細內(nèi)容可自行參見高等數(shù)學(xué)里的資料�。(bm = Boyer-Moore, kmp = Knuth-Pratt-Morris)
-j DROP
這在公司網(wǎng)絡(luò)禁用視頻網(wǎng)站是非常有效的,在網(wǎng)關(guān)服務(wù)器上設(shè)置:
iptables -A FORWARD -m string –-string “ku6.com” --algo bm -j DROP iptables -A FORWARD -m string –-string “tudou.com” –-algo bm -j DROP iptables -A FORWARD -m string –-string “ouou.com” –-algo bm -j DROP
iptables -A FORWARD -m string –-string “ku6.com” --algo bm -j DROP
iptables -A FORWARD -m string –-string “tudou.com” –-algo bm -j DROP
iptables -A FORWARD -m string –-string “ouou.com” –-algo bm -j DROP
其中各項參數(shù)的意義如下:
-A FORWARD
增加FORWARD鏈的規(guī)則��,以上規(guī)則是針對啟用了路由功能(即:echo 1 > /proc/sys/net/ipv4/ip_forward)
如果是直接訪問����,可使用的INPUT或OUTPUT。
設(shè)置符合此條件的包的處理方式�����,DROP即是丟棄���,也是reject的意思����。
iptables -A INPUT -m string --string "stringname" --algo bm -j DROP
