iptables 学习

         很早以前都对iptables 有所耳闻，但是一致没有弄清楚。现在由于工作需要，要仔细研究下这个所谓的iptables 。

1，何为iptables ，

防火墙，就是linux 下用于网络访问的控制模块。可以对进出网络的包进行检测  ip ，数据  等。

iptables 是由多张表构成网络访问的详细规则，每个表有多条规则链构成的。所以叫做iptables。

2，工作的位置

iptables 定义的规则表 工作在用户空间，定义规则工具。定义的规则，可以让内核空间当中netfilter 来读取，并且实现让防火墙工作。而放入内核的地方必须要是特定的位置，必须是TCP/IP的协议栈经过的地方。而这个TCP/IP协议栈必须经过的地方，可以实现读取规则的地方就是nefilter （网络过滤器）

一共有五个控制位置：

1.内核空间中：从一个网络接口进来，到另一个网络接口去的

2.数据包从内核流入用户空间的

3.数据报从用户空间流出的

4.进入/离开本机的外网接口

5.进入/离开本机的内网接口

3，iptables 工作机制

从上面五个控制点可以看出来。其实前三个位置已经基本景路径彻底封锁了，但是为什么已经在进出的口设置了关卡之后还要在内部设置控制点呢？由于数据包尚未进行路由决策，还不知道数据要走向哪里，所以进出口是没有办法实现数据过滤的。所以要在内核空间设置转发的关卡，进入用户空间的关卡，从用户空间出去的关卡。我们在做NAT和DNAT的时候，目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。

这个五个位置也是传说中的五个钩子函数  ，五个规则链。

1，PREROUTING (路由前）

2，INTPUT （数据包流入口）

3，FORWARD(转发关口）

4，OUTPUT（数据包出口）

5，POSTROUTING(路由后）

这是NetFilter 规定的五个规则链，任何一个数据包，只要经过本机，必将经过这个五个链中的其中一个链。

3，防火墙的策略

防火墙一般分为两种，一种是“通”策略，通策略，默认是关着的，必须要定义谁能进。堵策略则是，大门是开着的，但是你必须有身份认证，否则不能进。所以需要定义让进来的进来，让出去的出去，所以通，是要全通，而堵是要选择的。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter 过滤的功能，而定义地址转换的功能的则是nat 选项。为了让这些工作交替工作，我们执行了“表”这个定义，来定义，区分各种不同的工作功能和处理方式。

最常用的三个功能是  

1，filter 定义允许或者不允许的

2，nat 定义地址转换的

3，mangle 功能：修改报文原数据

我们修改报文原数据是来修改TTL的。能够实现将数据包的原数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle 来实现的。

简单对应 ：

对于filter 来讲一般只能做在3个链上：INPUT,FORWARD ,OUTPUT

对于nat 来讲一般也只能做在3个链上：PREROUTING ,OUTPUT,POSTROUTING

而mangle 则是5个链上都可以做：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

iptables 是工作在用户内核空间的，它可以让规则进行生效的，本身不是一种服务，而且规则是立即生效的

注意规则次序是非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

4，规则的写法：

iptables 定义规则的方式比较复杂：

格式：iptables  [-t table] COMMAND chain CREATIRIA -j ACTION

-t table :    filter nat mangle

COMMAND :定义如何对规则进行管理

chain ：指定接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的

CRETIRIA :指定匹配标准

-j ACTION :制定如何进行处理

比如指定不能再172.16.0.0/24的进行访问

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

可以拒绝的更彻底：

iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

5, 详解COMMAND

1. 链管理命令（这都是立即生效的 注意链管理命令都是 大写的）

-P ：设置默认策略的（设置默认门是关着的还是开着的）

默认策略一般 只有两种

iptables -P INPUT (DROP|ACCEPT)默认是关着的/默认是开着的

比如：

iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义那个动作，所以关于外界连接的所有规则包括Xshell 连接之类的，远程连接都被拒绝了

-F ：FLASH，清空规则链 每个链的管理权限

iptables -t nat -F PREROUTING

iptables -t nat -F 清空nat 表的所有链

-N ：NEW 支持用户新建一个链

iptables - N inbound新建一个inbound  链

-X ：用于删除用户自定义的空链

使用方法跟-N 相同，但是在删除之前必须要将里面的链给清空了

-E ：用来Rename chain 主要是用来给用户自定义的链重命名

-E oldname newname

-Z:清空链，及链中默认规则的计数器的

iptables -Z ：清空

2，规则管理命令

-A ：追加，在当前链的最后一个追加一个新的规则。

-I num：插入，把当前规则插入为第几条

-I 3 ：插入为第三条

-R num：Replays 替换/修改第几条规则

格式: iptables -R 3 .....

-D num：删除，明确指定删除第几条规则

3，查看管理命令 "-L"

附加子命令

-n :以数字的方式显示ip，它将ip直接显示出来，如果不加-n，则会将ip 反向解析成主机名。

-v:显示详细信息

6,详细匹配规则

详细匹配规则  ：原地址目标地址的匹配

-s :指定作为源地址匹配，这里不能指定主机名称，必须IP地址

IP |IP/MASK|0.0.0.0/0.0.0.0

而且地址可以取反，加上一个"!"表示处理哪个IP之外

-d:表示匹配目标地址

-p：用于匹配协议的(这里协议通常有3种，TCP/UDP/ICMP)

-i eth0:从这块网卡流出的数据

流入一般用在INPUT 和 PREROUTING上

-o eth0:从这块网卡流出的数据

流出一般在OUTPUT和POSTROUTING上

2，扩展匹配

2.1 隐含扩展：对协议的扩展

-p tcp:TCP 协议扩展。一般有三种扩展

--dport xx-xx:指定目标端口，不能指定多个非连续的端口，只能只能单个端口，

--dport 21 或者 --dport 21-23（此时表示21,22,23)

-sposrt:指定源端口

--tcp-flags ：TCP 的标志位（SYN,ACK,FIN,RST,URG)

对于它 ，一般要跟两个参数：

1，检查的标志位

2，必须为1的标志位

--tcpflags syn,ack ,fin,rst,syn = --syn

表示检查这4个位，这个4个位中syn必须为1，其他的必须为0.所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写的方式为  ：--syn

-p udp:UDP协议的扩张

--dport

--sport

-p icmp:icmp数据报文的扩展

--icmp-type:

echo-request(请求回电），一般用8来表示

2.2显示扩展（-m）

扩展各种模块

-m multiport:表示启用多端口扩展

之后我们就可以使用如--dports 21 ,23,80

7，详解-j ACTION

DROP :悄悄丢弃

一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表

REJECT :明示拒绝

ACCEPT ：接受

custom_chain :专项一个自定义的链

DNAT

SNAT

MASQUEREAD: 源地址伪装

REDIRECT：重定向：主要实现端口重定向

MARK:打防火墙标记的，

RETURN :返回

在自定义链执行完毕后使用返回，来返回原规则链