netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。
4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。如下图:
iptables中表和链的对应关系如下:
iptables防火墙使用模板
代码语言:javascript复制IF="eth0"
#清除规则
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
# 预定义策略
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT # 允许回环接口可以被访问
/sbin/iptables -P INPUT DROP # 默认是拒绝访问
/sbin/iptables -P OUTPUT ACCEPT # 允许本机访问其他机器,无限制
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT # 允许ping
#允许的本机服务
/sbin/iptables -A INPUT -p TCP -i $IF --dport 22 -j ACCEPT # SSH
# /sbin/iptables -A INPUT -p TCP -i $IF --dport 3306 -j ACCEPT # mysql
# /sbin/iptables -A INPUT -p TCP -i $IF --dport 80 -j ACCEPT # web
# 黑名单
#/sbin/iptables -A INPUT -s 1.1.1.0/24 -j DROP
#/sbin/iptables -A INPUT -s 1.1.1.0 -j DROP
# 信任的网络和IP
/sbin/iptables -A INPUT -s 1.1.1.1/24 -j ACCEPT # 信任的网络
/sbin/iptables -A INPUT -s 1.1.1.1 -j ACCEPT # 信任的ip
