1、iptables简介
Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好
Iptables是linux2.4及2.6内核中继承的服务,其功能与安全性比其老一辈ipfwadm,ipchains强大的多(长江后浪推前浪),Iptables主要工作早OSI七层的二、三、四层,如果重新编译内核Iptables也可以支持7层控制(squid代理+iptables)
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter
netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。
iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。
2、iptables使用场景
(1) 生产中看情况,只有内网IP一般关闭防火墙,当服务器上有外网IP的 时候才打开防火墙。
a. linux场景能够被外网访问到的服务器尽量开外网防火墙。
b. 后台数据库服务器、存储服务器等有出网访问需求也可以不开。
(2) 大并发(10000-15000)的情况,不能开iptables,影响性能,硬件防火墙。
3、基于安全基本优化:
1) 尽可能不给服务器配置外网IP可以通过代理转发或者通过防火墙映射。
2) 并发不是特别大情况再外网IP的环境,要开启iptables防火墙。
4、iptables工作流程
(1)防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
(2)如果匹配上了规则即明确标明是组织还是通过,此时数据包就不在向下匹配新规则了。
(3)如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。
(4)防火墙的默认规则是对应链的所有的规则执行完才会执行(最后执行的规则)
5、管理控制选项
# -A 在指定链的末尾添加(append)一条新的规则
# -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
# -I 在指定链中插入(insert)一条新的规则,默认在第一行添加
# -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
# -L 列出(list)指定链中所有的规则进行查看
# -E 重命名用户定义的链,不改变链本身
# -F 清空(flush)
# -N 新建(new-chain)一条用户自己定义的规则链
# -X 删除指定表中用户自定义的规则链(delete-chain)
# -P 设置指定链的默认策略(policy)
# -Z 将所有表的所有链的字节和数据包计数器清零
# -n 使用数字形式(numeric)显示输出结果
# -v 查看规则表详细信息(verbose)的信息
# -V 查看版本(version)
# -h 获取帮助(help)
6、表名
# raw :高级功能,如:网址过滤。
# mangle:数据包修改(QOS),用于实现服务质量。
# net :地址转换,用于网关路由器。
# filter:包过滤,用于防火墙规则。7、规则链名
# INPUT链 :处理输入数据包
# OUTPUT链 :处理输出数据包
# PORWARD链 :处理转发数据包
# PREROUTING链:用于目标地址转换(DNAT)
# POSTOUTING链:用于源地址转换(SNAT)
# FOEROURING链:转发数据包时应用此规则链中的策略8、动作
# ACCEPT :接收数据包
# DROP :丢弃数据包
# REDIRECT :重定向、映射、透明代理(拒绝数据包通过,必要时会给数据发送端一个响应的信息。)
# SNAT :源地址转换。
# DNAT :目标地址转换。
# MASQUERADE:IP伪装(NAT),用于ADSL
# LOG :日志记录(在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则)9、命令选项使用语法
# iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。10、命令示例
# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
# iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
# iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
# iptables -A INPUT -j reject #禁止其他未允许的规则访问
# iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
# iptables -A INPUT -p tcp -j ACCEPT #在末尾追加一条新的规则
# iptables -I INPUT 3 -p tcp -j ACCEPT #插入一条规则到第三行11、查看规则
# iptables -nL12、删除规则
列出规则行号
# iptables -nL --line-numbers
根据行号删除对应规则
# iptables -D INPUT 1 #删除INPUT链第一条规则(根据行号自行修改)原文:https://www.cnblogs.com/xiongty/p/14770594.html