Iptable指令语法

Iptables有五个规则连，其实是通过五个钩子函数（hook functions）实现的，分别如下：

PREROUTING (路由前)INPUT (数据包流入口)FORWARD (转发管卡)OUTPUT(数据包出口)POSTROUTING（路由后）

这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。

在定义策略的时候，又要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。在Iptables中主要有以下几个表：

filter 定义允许或者不允许的nat 定义地址转换的 mangle功能:修改报文原数据

iptables的语法如下：

iptables [-t table] command [match] [-j target/jump]

[-t table] 指定规则表 

-t 参数用来，内建的规则表有三个，分别是：

        nat、mangle 和 filter，未指定规则表时，则一律视为是filter。

各个规则表的功能如下：

nat：此规则表拥有 PREROUTING 和 POSTROUTING 两个规则链，主要功能为进行一对一、一对多、多对多等网址转换工作（SNAT、DNAT），这个规则表除了作网址转换外，请不要做其它用途。mangle：此规则表拥有 PREROUTING、FORWARD 和 POSTROUTING 三个规则链。除了进行网址转换工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义mangle 规则表中，由于使用率不高，不打算在这里讨论 mangle 的用法。filter： 这个规则表是默认规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。

command 常用命令列表：

-A, --append    新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。   -D, --delete     从某个规则链中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除-R, --replace      取代现行规则，规则被取代后并不会改变顺序。-I, --insert      插入一条规则，原本该位置上的规则将会往后移动一个顺位。-L, --list      列出某规则链中的所有规则-F, --flush      删除 filter 表中 INPUT 链的所有规则-Z, --zero      将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。-N, --new-chain      定义新的规则链。-X, --delete-chain      删除某个规则链。-P, --policy     定义过滤政策。 也就是未符合过滤条件之封包， 默认的处理方式。-E, --rename-chain      修改某自定义规则链的名称。

[match] 常用封包匹配参数：

-p, --protocol  匹配通讯协议类型是否相符，可以使用!运算符进行反向匹配，例如：-p !tcp意思是指除tcp以外的其它类型，如 udp、icmp ...等。如果要匹配所有类型，则可以使用 all 关键词，例如：-p all。-s, --src  用来匹配封包的来源IP，可以匹配单机或网络，匹配网络时请用数字来表示 子网掩码，例如：-s 192.168.0.0/24匹配 IP 时可以使用 ! 运算符进行反向匹配，例如：-s !192.168.0.0/24。-d, --dst 用来匹配封包的目的地IP。-i, --in-interface 用来匹配封包是从哪块网卡进入，可以使用通配字符+来做大范围匹配，例如：-i eth+表示所有的ethernet 网卡，也可以使用!运算符进行反向匹配，例如：-i !eth0。-o, --out-interface 用来匹配封包要从哪块网卡送出。--sport, --source-port  用来匹配封包的源端口，可以匹配单一端口，或是一个范围，例如：--sport 22:80表示从22到80端口之间都算是符合条件，如果要匹配不连续的多个端口，则必须使用--multiport参数。匹配端口号时，可以使用!运算符进行反向配。--dport, --destination-port 用来匹配封包的目的地端口号。--tcp-flags  匹配TCP封包的状态标志，参数分为两个部分，第一个部分列举出想匹配的标志，第二部分则列举前述标志中哪些有被设置，未被列举的标志必须是空的。TCP 状态标志包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行匹配。匹配标志时，可以使用!运算符行反向匹配。--syn  用来表示TCP通信协议中，SYN位被打开，而ACK与FIN位关闭的分组，即TCP的初始连接，与iptables -p tcp --tcp-flags SYN,FIN,ACK SYN的作用完全相同。-m multiport --source-port 用来匹配不连续的多个源端口，一次最多可以匹配15个端口，可以使用!运算符进行反向匹陪。如：iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110-m multiport --destination-port 匹配不连续的多个目的地端口号。-m multiport --port 这个参数比较特殊，用来匹配源端口和目的端口号相同的封包。需要注意的是：在本范例中，如果来源端口号为 80 目的地端口号为 110，这种封包并不算符合条件。--icmp-type 来匹配ICMP的类型编号，可以使用代码或数字编号来进行匹配。-m limit --limit 用来匹配某段时间内封包的平均流量。例子：iptables -A INPUT -m limit --limit 3/hour。用来匹配：每小时平均流量是否超过一次3个封包。除了每小时平均次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后：/second、/minute、/day。除了进行封包数量的匹配外，设定这个参数也会在条件达成时，暂停封包的匹配动作，以避免因骇客使用洪水攻击法，导致服务被阻断。-m limit --limit-burst 用来匹配瞬间大量封包的数量。例子:iptables -A INPUT -m limit --limit-burst 5。用来匹配一次同时涌入的封包是否超过5个（这是默认值），超过此上限的封包将被直接丢弃。-m mac --mac-source 用来匹配封包来源网络接口的硬件地址，这个参数不能用在OUTPUT和POSTROUTING规则链上，这是因为封包要送到网卡后，才能由网卡驱动程序透过ARP通讯协议查出目的地的MAC地址，所以iptables在进行封包匹配时，并不知道封包会送到哪个网络接口去。-m mark --mark  用来匹配封包是否被表示某个号码，当封包被匹配成功时，我们可以透过MARK处理动作，将该封包标示一个号码，号码最大不可以超过4294967296。-m owner --uid-owner  用来匹配来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法 匹配出来自其它主机的封包。-m owner --gid-owner  用来匹配来自本机的封包，是否为某特定使用者群组所产生的。-m owner --pid-owner  用来匹配来自本机的封包，是否为某特定进程所产生的。-m owner --sid-owner  用来匹配来自本机的封包，是否为某特定 连接（Session ID）的响应封包。-m state --state  用来匹配连接状态， 连接状态共有四种：INVALID、ESTABLISHED、NEW和RELATED。INVALID表示该封包的连接编号（Session ID）无法辨识或编号不正确。ESTABLISHED表示该封包属于某个已经建立的连接。NEW表示该封包想要起始一个连接（重设连接或将连接重导向）。RELATED表示该封包是属于某个已经建立的连接，所建立的新连接。

[-j target/jump]

-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。

ACCEPT：将封包放行，进行完此处理动作后，将不再匹配其它规则，直接跳往下一个规则链（natostrouting）。REJECT：拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择： ICMP port-unreachable、 ICMP echo-reply 或是tcp-reset（这个封包会要求对方关闭连接），进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。 范例如下：      iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-resetDROP：丢弃封包不予处理，进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。REDIRECT：将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续匹配其它规则。这个功能可以用来实现透明代理或用来保护web服务器。例如：      iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080MASQUERADE：改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则链（manglepostrouting）。这个功能与SNAT略有不同，当进行IP伪装时，不需指定要伪装成哪个IP，IP会从网卡直接读取，当使用拨 号接连时，IP通常是由ISP公司的DHCP服务器指派的，这个时候MASQUERADE特别有用。范例如下：      iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000LOG：将封包相关讯息纪录在/var/log中，详细位置请查阅/etc/syslog.conf配置文件，进行完此处理动作后，将会继续匹配其规则。例如：      iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"SNAT：改写封包来源IP为某特定IP或IP范围，可以指定port对应的范围，进行完此处理动作后，将直接跳往下一个规规（mangleostrouting）。范例如下：       iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT  -to-source?194.236.50.155-194.236.50.160:1024-32000 DNAT：改写封包目的地IP为某特定IP或IP范围，可以指定port对应的范围，进行完此处理动作后，将会直接跳往下一个规则链（filter:input 或 filter:forward）。范例如下：      iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100MIRROR：镜射封包，也就是将来源IP与目的地IP对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。QUEUE：中断过滤程序，将封包放入队列，交给其它程序处理。通过自行开发的处理程序，可以进行其它应用。RETURN：结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自定义规则链看成是一个子程序，那么这个动作，就相当于提前结束子程序并返回到主程序中。MARK：将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续匹配其它规则。范例如下：        iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2