通過(guò)向防火墻提供有關(guān)對(duì)來(lái)自某個(gè)源、到某個(gè)目的地或具有特定協(xié)議類(lèi)型的信息包要做些什么的指令��,規(guī)則控制信息包的過(guò)濾�����。通過(guò)使用 netfilter/iptables 系統(tǒng)提供的特殊命令 iptables���,建立這些規(guī)則����,并將其添加到內(nèi)核空間的特定信息包過(guò)濾表內(nèi)的鏈中��。關(guān)于添加/除去/編輯規(guī)則的命令的一般語(yǔ)法如下:
$ iptables [-t table] command [match] [target]
表(table)
[-t table] 選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表�����。表是包含僅處理特定類(lèi)型信息包的規(guī)則和鏈的信息包過(guò)濾表。有三種可用的表選項(xiàng):filter��、nat 和 mangle。該選項(xiàng)不是必需的�����,如果未指定,則 filter 用作缺省表�。
filter 表用于一般的信息包過(guò)濾��,它包含 INPUT���、OUTPUT 和 FORWARD 鏈。nat 表用于要轉(zhuǎn)發(fā)的信息包����,它包含 PREROUTING����、OUTPUT 和 POSTROUTING 鏈����。如果信息包及其頭內(nèi)進(jìn)行了任何更改��,則使用 mangle 表�����。該表包含一些規(guī)則來(lái)標(biāo)記用于高級(jí)路由的信息包,該表包含 PREROUTING 和 OUTPUT 鏈�����。
注:PREROUTING 鏈由指定信息包一到達(dá)防火墻就改變它們的規(guī)則所組成�����,而 POSTROUTING 鏈由指定正當(dāng)信息包打算離開(kāi)防火墻時(shí)改變它們的規(guī)則所組成。
命令(command)
上面這條命令中具有強(qiáng)制性的 command 部分是 iptables 命令的最重要部分���。它告訴 iptables 命令要做什么���,例如,插入規(guī)則�、將規(guī)則添加到鏈的末尾或刪除規(guī)則���。以下是最常用的一些命令:
-A 或 –append:該命令將一條規(guī)則附加到鏈的末尾���。
示例:
$ iptables -A INPUT -s 205.168.0.1 -j ACCEPT
該示例命令將一條規(guī)則附加到 INPUT 鏈的末尾,確定來(lái)自源地址 205.168.0.1 的信息包可以 ACCEPT。
-D 或 –delete:通過(guò)用 -D 指定要匹配的規(guī)則或者指定規(guī)則在鏈中的位置編號(hào)���,該命令從鏈中刪除該規(guī)則�。下面的示例顯示了這兩種方法。
示例:
$ iptables -D INPUT –dport 80 -j DROP
$ iptables -D OUTPUT 3
第一條命令從 INPUT 鏈刪除規(guī)則,它指定 DROP 前往端口 80 的信息包�����。第二條命令只是從 OUTPUT 鏈刪除編號(hào)為 3 的規(guī)則。
-P 或 –policy:該命令設(shè)置鏈的缺省目標(biāo)�����,即策略���。所有與鏈中任何規(guī)則都不匹配的信息包都將被強(qiáng)制使用此鏈的策略。
示例:
$ iptables -P INPUT DROP
該命令將 INPUT 鏈的缺省目標(biāo)指定為 DROP���。這意味著���,將丟棄所有與 INPUT 鏈中任何規(guī)則都不匹配的信息包����。
-N 或 –new-chain:用命令中所指定的名稱創(chuàng)建一個(gè)新鏈。
示例:
$ iptables -N allowed-chain
-F 或 –flush:如果指定鏈名��,該命令刪除鏈中的所有規(guī)則,如果未指定鏈名��,該命令刪除所有鏈中的所有規(guī)則�����。此參數(shù)用于快速清除�����。
示例:
$ iptables -F FORWARD
$ iptables -F
-L 或 –list:列出指定鏈中的所有規(guī)則。
示例:
$ iptables -L allowed-chain
匹配(match)
iptables 命令的可選 match 部分指定信息包與規(guī)則匹配所應(yīng)具有的特征(如源和目的地地址、協(xié)議等)����。匹配分為兩大類(lèi):通用匹配和特定于協(xié)議的匹配。這里���,我將研究可用于采用任何協(xié)議的信息包的通用匹配���。下面是一些重要的且常用的通用匹配及其示例和說(shuō)明:
-p 或 –protocol:該通用協(xié)議匹配用于檢查某些特定協(xié)議���。協(xié)議示例有 TCP、UDP���、ICMP、用逗號(hào)分隔的任何這三種協(xié)議的組合列表以及 ALL(用于所有協(xié)議)�����。ALL 是缺省匹配�����?���?梢允褂?! 符號(hào)�����,它表示不與該項(xiàng)匹配。
示例:
$ iptables -A INPUT -p TCP, UDP
$ iptables -A INPUT -p ! ICMP
在上述示例中,這兩條命令都執(zhí)行同一任務(wù) — 它們指定所有 TCP 和 UDP 信息包都將與該規(guī)則匹配����。通過(guò)指定 ! ICMP�����,我們打算允許所有其它協(xié)議(在這種情況下是 TCP 和 UDP),而將 ICMP 排除在外���。
-s 或 –source:該源匹配用于根據(jù)信息包的源 IP 地址來(lái)與它們匹配�。該匹配還允許對(duì)某一范圍內(nèi)的 IP 地址進(jìn)行匹配�,可以使用 ! 符號(hào)��,表示不與該項(xiàng)匹配。缺省源匹配與所有 IP 地址匹配���。
示例:
$ iptables -A OUTPUT -s 192.168.1.1
$ iptables -A OUTPUT -s 192.168.0.0/24
$ iptables -A OUTPUT -s ! 203.16.1.89
第二條命令指定該規(guī)則與所有來(lái)自 192.168.0.0 到 192.168.0.24 的 IP 地址范圍的信息包匹配。第三條命令指定該規(guī)則將與除來(lái)自源地址 203.16.1.89 外的任何信息包匹配�。
-d 或 –destination:該目的地匹配用于根據(jù)信息包的目的地 IP 地址來(lái)與它們匹配�。該匹配還允許對(duì)某一范圍內(nèi) IP 地址進(jìn)行匹配����,可以使用 ! 符號(hào),表示不與該項(xiàng)匹配����。
示例:
$ iptables -A INPUT -d 192.168.1.1
$ iptables -A INPUT -d 192.168.0.0/24
$ iptables -A OUTPUT -d ! 203.16.1.89
目標(biāo)(target)
我們已經(jīng)知道����,目標(biāo)是由規(guī)則指定的操作��,對(duì)與那些規(guī)則匹配的信息包執(zhí)行這些操作���。除了允許用戶定義的目標(biāo)之外,還有許多可用的目標(biāo)選項(xiàng)。下面是常用的一些目標(biāo)及其示例和說(shuō)明:
ACCEPT:當(dāng)信息包與具有 ACCEPT 目標(biāo)的規(guī)則完全匹配時(shí)�,會(huì)被接受(允許它前往目的地),并且它將停止遍歷鏈(雖然該信息包可能遍歷另一個(gè)表中的其它鏈���,并且有可能在那里被丟棄)。該目標(biāo)被指定為 -j ACCEPT���。
DROP:當(dāng)信息包與具有 DROP 目標(biāo)的規(guī)則完全匹配時(shí)���,會(huì)阻塞該信息包����,并且不對(duì)它做進(jìn)一步處理�����。該目標(biāo)被指定為 -j DROP�����。
REJECT:該目標(biāo)的工作方式與 DROP 目標(biāo)相同,但它比 DROP 好�����。和 DROP 不同,REJECT 不會(huì)在服務(wù)器和客戶機(jī)上留下死套接字�。另外�,REJECT 將錯(cuò)誤消息發(fā)回給信息包的發(fā)送方�。該目標(biāo)被指定為 -j REJECT�����。
示例:
$ iptables -A FORWARD -p TCP –dport 22 -j REJECT
RETURN:在規(guī)則中設(shè)置的 RETURN 目標(biāo)讓與該規(guī)則匹配的信息包停止遍歷包含該規(guī)則的鏈。如果鏈?zhǔn)侨?INPUT 之類(lèi)的主鏈�,則使用該鏈的缺省策略處理信息包。它被指定為 -jump RETURN����。示例:
$ iptables -A FORWARD -d 203.16.1.89 -jump RETURN
還有許多用于建立高級(jí)規(guī)則的其它目標(biāo)��,如 LOG、REDIRECT����、MARK����、MIRROR 和 MASQUERADE 等�����。
保存規(guī)則
現(xiàn)在��,您已經(jīng)學(xué)習(xí)了如何建立基本的規(guī)則和鏈以及如何從信息包過(guò)濾表中添加或刪除它們。但是����,您應(yīng)該記?���。河蒙鲜龇椒ㄋ⒌囊?guī)則會(huì)被保存到內(nèi)核中�����,當(dāng)重新引導(dǎo)系統(tǒng)時(shí)�,會(huì)丟失這些規(guī)則��。所以,如果您將沒(méi)有錯(cuò)誤的且有效的規(guī)則集添加到信息包過(guò)濾表��,同時(shí)希望在重新引導(dǎo)之后再次使用這些規(guī)則�����,那么必須將該規(guī)則集保存在文件中��。可以使用 iptables-save 命令來(lái)做到這一點(diǎn):
$ iptables-save > iptables-script
現(xiàn)在,信息包過(guò)濾表中的所有規(guī)則都被保存在文件 iptables-script 中�����。無(wú)論何時(shí)再次引導(dǎo)系統(tǒng)�����,都可以使用 iptables-restore 命令將規(guī)則集從該腳本文件恢復(fù)到信息包過(guò)濾表,如下所示:
$ iptables-rest
