Iptables是linux自动化运维工作中常见的系统安全必要的工作。了解和熟悉iptables的工作原理,有助于写防火墙脚本,以下就来说说iptables的运用原理。

Linux系统的防火墙功能是由内核实现的

2.0 版内核中,包过滤机制是ipfw,管理工具是ipfwadm

2.2 版内核中,包过滤机制是ipchain,管理工具是ipchains

2.4 版及以后的内核中,包过滤机制是netfilter,管理工具是iptables

iptables

位于/sbin/iptables,是用来管理防火墙的命令工具

为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包

称为Linux防火墙的用户态

netfilter

位于Linux内核中的包过滤防火墙功能体系

称为Linux防火墙的内核态

包过滤防火墙工作在TCP/IP的网络层

规则表

具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的表中

规则表是规则链的集合

默认的4个规则表

raw表:确定是否对该数据包进行状态跟踪

mangle表:为数据包设置标记

nat表:修改数据包中的源、目标IP地址或端口

filter表:确定是否放行该数据包(过滤)

规则链

规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则被组织在不同的链中

规则链是防火墙规则/策略的集合

默认的5种规则链

INPUT:处理入站数据包

OUTPUT:处理出站数据包

FORWARD:处理转发数据包

POSTROUTING链:在进行路由选择后处理数据包

PREROUTING链:在进行路由选择前处理数据包come

默认的规则链

规则表间的优先顺序

依次为:raw mangle nat filter

规则链间的匹配顺序

入站数据:PREROUTING INPUT

出站数据:OUTPUT POSTROUTING

转发数据:PREROUTING FORWARD POSTROUTING

规则链内的匹配顺序

按顺序依次进行检查,找到相匹配的规则即停止(LOG策略除外)

若找不到相匹配的规则,则按该链的默认策略处理

数据包过滤匹配流程

数据包过滤匹配流程

iptables命令的语法格式

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

几个注意事项

不指定表名时,默认表示filter表

不指定链名时,默认表示该表内所有链

除非设置规则链的缺省策略,否则需要指定匹配条件

管理选项

iptables语法1
 

iptables语法2


iptables语法3

 

iptables语法4

 

iptables语法5

iptables语法6
 

iptables语法7

iptables语法8

iptables语法9

iptables语法10

iptables语法11
 

INVAID 非法连接

iptables语法12
 

iptables语法13
 

iptables语法14