iptables 防火墙详解

netfilter 防火墙

table –> chain

iptables 的三个表

filter 表 ==>过滤包

内建 3 个链
==>
INPUT：作用于进入本机的包
OUTPUT：作用于本机送出去的包
FORWARD：作用于与本机无关的包

nat 表 ==> 网络地址转换

内建 3 个链
==>
OUTPUT：改变本地产生的包的目的地址
PREROUTING：在包刚刚到达防火墙时改变目的地
POSTOUTING：将要离开防火墙之前改变源地址

1mangle 表 ==> 给数据包打标记，然后根据标记操作哪些包

INPUT：
OUTPUT：
FORWARD：
PREROUTING：
POSTOUTING：

iptables -t nat -nvL

• -t 后面跟表名，-nvL 即查看该表的规则；
• -n表示不针对IP反解析主机名；
• -L表示列出的意思；
• -v表示列出的信息更加详细。
  如果不加-t ，则打印filter表的相关信息

iptables -A INPUT -s 10.72.11.12 -p tcp –sport 1234 -d 10.72.137.159 –dport 80 -j DROP

iptables 规则匹配从上往下

• -A 增加一条规则 (在原有规则最下面增加)
• -I 插入一条规则 (在原有规则最上面增加)
• -D 删除一条规则
  删除规则的简单方法：
  

  iptables -nvL –line-numbers     //列出规则并用数字标记
  1. Chain INPUT (policy ACCEPT 133 packets, 9740 bytes)
  2. num pkts bytes target prot opt in out source destination
  3. 1 0 0 ACCEPT all – eth0 * 192.168.1.0/24 0.0.0.0/0

删除某一条规则:
iptables -D INPUT 1

• -D 后跟链名，然后是规则 num，这个 num 就是查看 iptables 规则时第一列的值。
• -s 跟源地址
• -p 指定协议
• –sport/–dport 源端口/目标端口 跟-p 一起使用
• -d 跟目的地址
• -j 动作 (DROP、REJECT、ACCEPT)
• -i 指定网卡
• -P INPUT ACCEPT 预设链的默认处理规则 （policy）
• -Z 清除计数器
• -F 清空规则

备份防火墙规则：

iptables-save > 1.ipt

恢复备份规则：

iptables-restore < 1.ipt

DROP 与 REJECT 的区别：
DROP：直接丢弃，不做任何的反馈。客户端需要等待超时才能判断是否连接成功
REJECT：拒绝后返回一个拒绝的 ICMP 数据包。马上断开连接

DROP比REJECT好在节省资源，而且延缓黑客攻击的进度（因为不会给黑客返回任何有关服务器的信息）；坏在容易让企业的网络问题难以排查，而且在DDoS攻击的情况容易耗尽所有的带宽。

REJECT比DROP的好处在于容易诊断和调试网络设备或防火墙造成的问题；坏处你给骗子回个信，相当于暴露了自己的服务器信息。

所以一般的建议是在上游防火墙中使用REJECT，在比较危险的面向外网的基础防火墙上，使用DROP要相对安全一些。