iptables网络防火墙

官网：http://www.netfilter.org/
iptables由Netfilter内核态组件实现防火墙功能, 包过滤功能强大，使用灵活
不适用于大并发场景，适用于并发量相对较少(500左右并发)的访问场景

iptables -V   #查看iptables版本

iptables主要工作在OSI七层的3层(IP), 也支持2层(但基本不需要对2层控制)
iptables也可以支持7层控制(重新编译内核或通过iptables+squid结合来实现)
还可以使用iptables+Quagga(开源)实现OSPF和BGP的功能

概念理解

添加iptables规则时需要指定规则所属的链和链所属的表

Netfilter	表(tables)	链(chains)	规则(policy)
一栋楼	楼里的房子	房子里的柜子	柜子里的衣服,摆放规则

iptables数据包处理流程

- 按顺序依次检查，匹配即停止（LOG策略例外）
- 若找不到相匹配的规则，则按该链的默认策略处理

根据规则链的划分原则，不同的链处理时机是比较固定的，因此规则链之间的应用顺序取决于数据包的流向，具体表现如下。

-- 入站数据流向：
来自外部的数据包到达防火墙后，首先被PREROUTING链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包发往何处）；如果数据包地址是防火墙本机（入internet用户访问网关的web服务端口），那么内核将其传递给（filter表的）INPUT链进行处理（决定是否允许通过等），通过以后再给系统上层的应用（入httpd）进行响应。

-- 转发数据流向：
来自外部的数据包到达防火墙后，首先被PREROUTING链处理（是否修改数据包地址等），然后进行路由选择；如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问QQ服务器），则内核将其传送给FORWARD链进行处理（允许转发或者拦截，丢弃），最后交给POSTROUTING链（是否修改数据包地址等）进行处理。

-- 出站数据流向：
防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网DNS服务时），首先被OUTPUT链处理，然后进行路由选择，再交给POSTROUTING链（是否修改数据包地址等）进行处理

防火墙4个表(tables)5个链(chains)

默认包括4个规则表：

raw表：确定是否对该数据包进行状态跟踪；对应iptable_raw，表内包含两个链：OUTPUT、PREROUTING

mangle表：为数据包的TOS（服务类型）、TTL（生命周期）值，或者为数据包设置Mark标记，以实现流量整形、策略路由等高级应用。其对应iptable_mangle，表内包含五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

nat表：修改数据包中的源、目标IP地址或端口；其对应的模块为iptable_nat，表内包括三个链：PREROUTING、POSTROUTING、OUTPUT

filter表：确定是否放行该数据包（过滤）；其对应的内核模块为iptable_filter，表内包含三个链：INPUT、FORWARD、OUTPUT

默认包括5种规则链:

INPUT：处理入站数据包
OUTPUT：处理出站数据包
FORWARD：处理转发数据包
POSTROUTING链：在进行路由选择后处理数据包（对数据链进行源地址修改转换）
PREROUTING链：在进行路由选择前处理数据包（做目标地址转换）

注：INPUT、OUTPUT链主要用在“主机型防火墙”中，即主要针对服务器本机进行保护的防火墙,比如服务器；而FORWARD、PREROUTING、POSTROUTING链多用在“网络型防火墙”中,比如RouterOS路由器等。

4个规则表之间的应用顺序

raw表 --> mangle表 -->nat表 -->filter表

iptables命令

iptables -L          查看现有iptables规则
iptables -nL         以数字的形式显示iptables规则
iptables -nL -t nat  指定查看哪张表的配置,默认是查看filter表, -t 即tables
iptables -nL --line-number  给iptables规则显示行号
iptables -F          清除/初始化默认iptables规则(注:默认删除的是filter表的规则)
iptables -F -t nat   清除/初始化指定表的规则
iptables -nL (服务停止情况下执行此命令会清空其默认规则)

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
-t filter 指定表
-A 指定表中的链chains
剩余的部分就是具体的规则
-p 指定协议
--dport 指定访问这台服务器的目标端口
--sport 指定访问这台服务器的源端口
-s 指定访问本机的源IP地址
-j ACCEPT允许/DROP丢弃/REJECT拒绝(丢弃比拒绝从安全思想来说更安全)

iptables -nL --line-number -v   #查询数据包匹配计数
iptables -Z   清除数据包匹配计数
iptables -X   删除防火墙所有自定义链

初始化防火墙步骤

/etc/sysconfig/iptables   #初始化保存配置文件

初始化操作配置
iptables -F		清除所有规则，不会处理默认的规则
iptables -X		清除用户自定义的链
iptables -Z		清除链的计数器清零（数据包计数器与数据包字节计数器）
iptables -nL -v  显示计数器信息

iptables -A INPUT -s 10.0.0.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT  先把自己允许(别限制太细)
iptables -A INPUT -i lo -j ACCEPT  允许本地环回接口
iptables -P INPUT DROP    配置默认拒绝

测试：禁止10.0.0.10访问我本地10.0.0.8的80端口

iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -d 10.0.0.8 -s 10.0.0.10 -j DROP
-A 添加
-i 指定从哪个端口进来
-d 指定本地(目标)IP地址
-s 指定源IP地址(可以是单个ip,也可以是整个地址段10.0.0.0/24)

#模拟禁用整个地址段(也包括目标IP地址),此时目标服务器也无法ssh连接了
iptables -t filter -A INPUT -p tcp --dport 22 -d 10.0.0.0/24 -s 10.0.0.10 -j DROP

#解决方法：物理机插入一条策略
iptables -t filter -I INPUT -p tcp --dport 22 -s 10.0.0.8 -j ACCEPT
-I 插入(插入后会优先执行此规则)

注：如果使用-A参数添加后，仍然无法ssh连接目标服务器,因为默认执行了第一条策略

删除规则

iptables -nL --line-number
iptable -D INPUT 2

修改现有规则

iptables -nL --line-number
iptables -R INPUT 2 -s 10.0.0.253 -p tcp --dport 80 -j ACCEPT

-R 链名称 规则号

测试:除了10.1.0.0/24网段可以连接10.0.0.8服务器22端口，其他网段都禁止

前提：filter表需要默认允许,否则该方法会被拒
方法：
iptables -t filter -A INPUT ！ -s 10.1.0.0/24 -d 10.0.0.8 -p tcp --dport 22 -j REJECT

匹配多个端口

【匹配连续多个端口】
禁止访问本地10000-20000端口
iptables -t filter -A INPUT -p tcp  --dport 10000:20000 -j DROP

【匹配不连续端口，需要使用multiport模块】
禁止任何访问目标服务器的22和80端口
iptables -t filter -A INPUT -p tcp -m multiport --dport 22,80 -j DROP

匹配多个IP或IP段

屏蔽多个IP地址或多个地址段
iptables -t filter -A INPUT -s 1.1.1.1,1.0.0.1,192.168.10.0/24 -j DROP

禁止Ping

资料参考: [Ping回显类型](http://www.cnitblog.com/yang55xiaoguang/articles/59581.ht

主要关注以下类型
类型:8    Echo request——回显请求（Ping请求）
类型:0    Echo Reply——回显应答（Ping应答）

禁止ping策略原则: iptables服务器是ping命令的发起者或是接受者

作为发起者时：
input链：  禁止icmp-type 0  
          iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j DROP
output链： 禁止icmp-type 8  
          iptables -A OUTPUT -o eth0 -p icmp --icmp-type 8 -j DROP

作为接受者时：
input链：  禁止icmp-type 8  
          iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP
output链： 禁止icmp-type 0  
          iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j DROP
   
简化配置：
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j DROP
注:使用-m 调用icmp模块

状态机制配置

New状态机制的包：说明这是三次握手第一次发出的SYN包

ESTABLISHED状态机制的包: 一方数据发送(SYN)另一方正常应答，双向保持连接(SYN/ACK)，此时状态就是ESTABLISHED的状态了

RELATED(有关系的)状态机制的包：一个新的连接想要是RELATED状态,首先要有一个ESTABLISHED状态一直存活。有了RELATED状态,ICMP/FTP传输才能穿过防火墙正常工作。

INVALID(无效的)：说明数据包不能被识别属于哪个连接或没有任何状态。一般我们会DROP掉这个状态数据包,因为防火墙认为这是不安全的状态

配置

防火墙服务配置在FTP服务器上时，需要配置以下策略
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables对网络数据传输进行限速

原理图如上，它是基于逻辑上的令牌桶实现

配置

iptables -A INPUT -s 10.0.0.253 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT
iptables -A INPUT -s 10.0.0.253 -p icmp --icmp-type 8 -j DROP
上面两条命令意思为：即,先允许5个ping包通过,然后ping继承第2条drop规则(超时)，然后每10秒再次给予一个令牌(可以再ping 一个包)，如果一分钟内令牌没被使用(没ping),令牌依然存在,此时可以再ping 5个包，然后再等待10秒再获取一个令牌

参数：
--limit n/{second/minute/hour}: 
解释：指定时间内的请求速率”n”为速率，后面为时间分别为：秒 分 时

--limit-burst [n]
解释：在同一时间内允许通过的请求”n”为数字(单位包比特)，不指定默认为5

注：生产环境需要对数据包进行计算,如限速5M等于多少包比特

iptables安全配置

基本配置

/etc/sysconfig/iptables   #初始化保存配置文件

初始化操作配置
iptables -F		清除所有规则，不会处理默认的规则
iptables -X		清除用户自定义的链
iptables -Z		清除链的计数器清零（数据包计数器与数据包字节计数器）
iptables -nL -v  显示计数器信息

iptables -A INPUT -s 10.0.0.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT  先把自己允许(别限制太细)
iptables -A INPUT -i lo -j ACCEPT  允许自己ping自己
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT  允许内网访问进来
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   允许安全状态机制
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  允许安全状态机制
iptables -P INPUT DROP    进来的数据包配置默认拒绝
iptables -P FORWARD DROP  进来的FORWARD配置默认拒绝
iptables -P OUTPUT ACCEPT 出去的数据包配置默认允许

业务配置

iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT   #开放80和443 Web端口
iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP      #公网禁止Ping
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT    # 允许访问的原地址网段

防火墙规则永久保存

方法1：/etc/init.d/iptables save 永久保存

方法2： iptables-save  #查看当前规则
iptables-save > /etc/sysconfig/iptables  #保存规则

方法3： 放到脚本中,然后crontab定时加载一次。或者开启自加载

此时再重启iptables服务配置就不会丢失了

iptables线上配置规范

在测试环境测试OK后，再在线上机器配置

注：iptables -A INPUT ......iptables开头的命令配置完毕后是即时生效的
    而vim /etc/sysconfig/iptables配置文件中修改后需要重启才能生效

SNAT共享上网

环境说明：
(iptables)主机1: 
eth0:IP:10.0.0.8(公网IP)   eth1:IP:172.16.1.50

主机2: eth1 - IP:172.16.1.51

以下配置均在防火墙上配置

#iptables上开启内核转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

iptables配置内网172.16.1.51主机NAT
iptables -t nat -A POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.8
注：这里10.0.0.8是iptables上的公网IP

最后，在172.16.1.51服务器上配置网关为172.16.1.50或配置如下路由
ip route 0.0.0.0 0.0.0.0 172.15.1.50

故障排查

内网机ping外网测试,如果Ping不通,则按照包转发流程排查

iptables -nL -v
iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT  #对172.16.1.0/24网段出口转发
iptables -A FORWARD -i eth1 -d 172.16.1.0/24 -j ACCEPT  #对172.16.1.0/24网段启用进来转发

注：如果配置了默认FORWARD策略为DROP，则需要配置以上两条FORWARD规则

注：172.16.1.51是局域网IP地址(非iptables主机)
    -o 表示出去的网口
    -i 表示进来的网口
    -s 指定源地址
    -d 指定目的地址

如果没有固定外网IP地址,可以使用以下NAT伪装命令

iptables -t nat -A POSTROUTING -s  172.16.1.0/24 -o eth0 -j MASQUERADE

DNAT端口映射

访问我本机的10.0.0.8(公网IP)的9000端口，映射到172.16.1.51的22端口
iptables -t nat -A PREROUTING -d 10.0.0.8 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.51:22

####DNAT一对一映射

iptables项目案例3：IP一对一映射  172.16.1.10 == 10.0.0.8(公网)

iptables  -t nat -I PREROUTING -d 10.0.0.8 -j DNAT --to-destination 172.16.1.10
iptables  -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.8

映射多个外网IP上网

方法1：
   iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
三层交换机或路由器，划分VLAN。
  
  
方法2：
iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12
扩大子网，增加广播风暴。

iptables自定义链

与shell变量定义类似，目的是方便使用

RETURN意思是当此策略不匹配时，继续执行下面的一条命令

#说明:创建名字为syn-flood自定义链
iptables -N syn-flood  

#定义自定义链的值(syn并发超过200个就每秒限制5000个包,不匹配就执行下一条规则)
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN   
iptables -A syn-flood -j DROP 

#应用名字为syn-flood的规则
iptables -A INPUT -i eth0 -syn -j syn-flood

自定义链测试

需求：对多个网段数据包进行丢弃
iptable -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP
iptable -A INPUT -s 11.0.0.0/24 -p tcp --dport 22 -j DROP
iptable -A INPUT -s 12.0.0.0/24 -p tcp --dport 22 -j DROP
iptable -A INPUT -s 13.0.0.0/24 -p tcp --dport 22 -j DROP

上面太繁琐，使用自定义链配置如下：
iptable -N IPNET
iptable -A IPNET -p tcp --dport 22 -j DROP
	
调用自定义链
iptable -A INPUT -s 10.0.0.0/24 -j IPNET
iptable -A INPUT -s 11.0.0.0/24 -j IPNET
iptable -A INPUT -s 12.0.0.0/24 -j IPNET
iptable -A INPUT -s 13.0.0.0/24 -j IPNET

如果后期需要变更的时候，只需要修改自定义链的配置即可，举例如下：
iptable -R IPNET 1 -p tcp -m mutilport --dport 22,23 -j DROP

iptables优化

系统防火墙与网络内核优化标准参数
有关iptables的内核优化
调整内核参数文件/etc/sysctl.conf

以下是我的生产环境的某个服务器的配置：

------------解决time-wait过多-------------
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_tw_buckets = 36000
----------------------------------
net.ipv4.ip_local_port_range = 4000  65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
----------------------------------
#dmesg里面显示 ip_conntrack: table full, dropping packet.的错误提示，什么原因？如何解决？
#iptables优化
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

• 本文作者： GaryWu
• 本文链接： https://garywu520.github.io/2018/02/10/iptables网络防火墙/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！