---

---

iptables 概述

iptables 是 Linux 系统中的防火墙机制，主要用于 IP 信息包的过滤与管理。

它由两个主要组件组成：netfilter 和 iptables，共同在网络层对 IP 数据包进行过滤和处理。其核心功能体现在对包内 IP 地址、端口、协议等信息的控制上。是CentOS7以前版本系统的默认防火墙。

netfilter 与 iptables 的关系

• netfilter：处于内核态（Kernel Space）的防火墙功能模块，是 Linux 内核的一部分，主要负责数据包的过滤。

  它通过多个数据包过滤表（表中含有规则集）来管理数据包的处理流程。

• iptables：处于用户态（User Space）的防火墙管理工具，提供了一系列命令行接口，用于管理和操作 netfilter 内核模块的规则集。

  用户可以通过 iptables 命令轻松插入、修改、删除数据包过滤规则。通常该命令程序位于 /sbin/iptables 路径下。

为了简化表述，netfilter/iptables 通常简称为 iptables。iptables 是基于内核的防火墙，内置了四个规则表：raw、mangle、nat 和 filter。所有规则配置一旦设定，立即生效，无需重启服务。

四表五链

规则表的作用：容纳各种规则链

规则链的作用：容纳各种防火墙规则

规则的作用：对数据包进行过滤或处理

链的分类依据：处理数据包的不同时机

总结：表中有链，链里有规则

规则表

iptables 中包含四个规则表，每个表包含一组规则链，主要用于不同类型的数据包处理。

• raw 表（生的\原的）：决定是否对数据包进行状态跟踪。

  包含两个规则链：OUTPUT 和 PREROUTING。

• mangle 表（乱砍\损坏）：用于修改数据包内容，如流量整形和设置标记。

  包含五个规则链：INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

• nat 表：负责网络地址转换（NAT），用于修改数据包的源或目标 IP 地址和端口。

  包含三个规则链：OUTPUT、PREROUTING、POSTROUTING。

• filter 表（过滤器）：用于数据包的过滤，决定是否允许数据包通过。

  包含三个规则链：INPUT、FORWARD、OUTPUT。

其中，mangle 和 raw 表的使用频率相对较低。

规则链

每个规则表中包含的规则链用于对数据包进行不同阶段的处理。

• INPUT 链：处理入站数据包，匹配目标 IP 为本机的数据包。
• OUTPUT 链：处理出站数据包，匹配从本机发出的数据包。
• FORWARD 链：处理转发数据包，匹配流经本机的数据包。
• PREROUTING 链：在路由选择之前处理数据包，常用于修改目的地址（DNAT）。
  相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
  修改外网转发到内网数据包的源IP地址 nat(PREROUTING)
• POSTROUTING 链：在路由选择之后处理数据包，常用于修改源地址（SNAT）。
  相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
  修改内网转发到外网数据包的源IP地址 nat(POSTEOUTING)

数据包处理的优先顺序与规则链匹配顺序

规则表的优先顺序

当数据包到达防火墙时，按照以下规则表的优先顺序依次进行处理：

raw > mangle > nat > filter

这种顺序决定了数据包在不同规则表中被处理的流程。

规则链的匹配顺序

规则链的匹配顺序根据防火墙的类型有所不同：

• 主机型防火墙：
  • 入站数据（来自外界且目标地址是防火墙本机的数据包）：PREROUTING --> INPUT --> 本机的应用程序
  • 出站数据（从防火墙本机发送到外部地址的数据包）：本机的应用程序 --> OUTPUT --> POSTROUTING
• 网络型防火墙：
  • 转发数据（需要经过防火墙转发的数据包）：PREROUTING --> FORWARD --> POSTROUTING

规则链内的匹配顺序

在规则链内部，数据包的匹配按以下顺序进行：

• 自上而下依次检查每条规则，找到匹配的规则即停止（LOG 策略例外，用于记录日志而不停止检查）。
• 如果在链内没有找到匹配的规则，则按该链的默认策略处理。默认情况下，链的策略通常为“允许”数据包通过。

匹配流程示意图

安装与格式

iptables 的安装

在 CentOS 7 系统中，默认使用 firewalld 作为防火墙服务。如果需要使用 iptables 防火墙，需要先关闭 firewalld 并安装 iptables：

1. 停止并禁用 firewalld：

   systemctl stop firewalld.service
   systemctl disable firewalld.service
   

2. 安装 iptables 和相关服务：

   yum -y install iptables iptables-services
   # iptables-services为系统服务
   systemctl start iptables.service
   

注：iptables.service 服务关闭，即规则清空。

iptables 防火墙的配置方法

iptables 防火墙的配置可以通过以下两种方式进行：

1. 使用 iptables 命令行。
2. 使用 system-config-firewall 图形界面工具。

iptables 命令行配置方法

iptables 命令行的基本格式如下：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：

• 不指定表名时，默认指 filter 表。
• 不指定链名时，默认作用于表内的所有链。
• 除非设置链的默认策略，否则必须指定匹配条件。
• 控制类型和链名使用大写字母，其余部分使用小写。

常用的控制类型（动作）

• ACCEPT：允许数据包通过。
• DROP：直接丢弃数据包，不给出任何回应信息。
• REJECT：拒绝数据包通过，并给数据发送端一个响应信息。
• SNAT：修改数据包的源地址。
• DNAT：修改数据包的目的地址。
• REDIRECT：重定向数据包，改变目的端口，将数据包转发至本机的不同端口。
• MASQUERADE：伪装成一个非固定公网 IP 地址。（相似于SNAT，但是SNAT是固定的）
• LOG：记录日志信息到 /var/log/messages 文件，然后将数据包传递给下一条规则（LOG只是一种辅助动作，不真正处理数据包）。

常用的管理选项（命令）

• -A：在指定链的末尾追加（-append）一条新的规则。
• -I：在指定链的开头插入（-insert）一条新的规则，未指定序号时默认作为第一条规则。
• -R：修改或替换（-replace）指定链中的某一条规则，可指定规则序号或具体内容。
• -P：设置指定链的默认策略（-policy）。
• -D：删除（-delete）指定链中的某一条规则，可指定规则序号或具体内容。
• -F：清空（-flush）指定链中的所有规则，若未指定链名，则清空表中的所有链。
• -L：列出（-list）指定链中的所有规则，若未指定链名，则列出表中的所有链。
• -n：使用数字形式（-numeric）显示输出结果，如显示 IP 地址而不是主机名。
• -v：显示详细信息，包括每条规则的匹配包数量和匹配字节数。
• –line-numbers：查看规则时，显示规则的序号。

添加新规则示例

• 添加拒绝 icmp（ping）协议数据包的规则：

  iptables -t filter -A INPUT -p icmp -j REJECT
  

• 在 INPUT 链的第二条规则位置插入允许 tcp 协议 22 端口（SSH）的规则：

  iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
  

配置与规则管理

查-查看规则列表

查看指定规则表中链的规则列表：

iptables [-t 表名] -n -L [链名] [--line-numbers]

• 示例：查看 filter 表中的所有规则，显示规则的序号：

  iptables -n -L --line-numbers
  

• 简单查看方式：

  iptables -vnL
  

  注意：不能写作 -Ln。

增-添加规则

在链的末尾添加新规则：

iptables [-t 表名] -A <链名> <匹配条件选项> -j <控制类型>

默认在链是开头插入规则，也可以在指定序号的规则前插入新规则：

 iptables [-t 表名] -I <链名> <序号> <匹配条件选项> -j <控制类型>

删-删除规则

删除规则的两种方式：

1. 按内容删除规则：

   iptables [-t 表名] -D <链名> [规则序号/内容]
   

   示例：

   iptables -t filter -D INPUT -p icmp -j REJECT
   

   以上命令删除 INPUT 链中匹配 -p icmp -j REJECT 的规则。

2. 按序号删除规则：

   iptables -D INPUT 2
   

   以上命令删除 INPUT 链的第二条规则。

注意事项：

1. 若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条。
2. 按号码匹配删除时，确保规则序号小于等于已有规则数，否则会报错。
3. 按内容匹配删除时，确保规则存在，否则会报错。

删-清空规则

清空指定表中链的所有规则：

iptables [-t 表名] -F [链名]

示例：

iptables -F INPUT  # 清空 INPUT 链
iptables -F        # 清空 filter 表中的所有链

注意事项：

1. -F 仅仅是清空链中的规则，不影响 -P 设置的默认规则。默认规则需要手动进行修改。
2. -P 设置为 DROP 后，使用 -F 需小心，避免删除允许远程连接的规则，导致无法远程连接主机。如果规则未保存，可通过重启主机解决。
3. 如果不指定表名和链名，默认清空 filter 表中所有链里的所有规则。

改-修改规则

修改指定序号的规则内容：

iptables -t <表名> -R <链名> <规则序号> <新规则内容>

解释： 使用 -R 选项可以替换指定序号的规则。

修改链的默认规则（策略）为 ACCEPT、DROP 或 REJECT：

iptables -t <表名> -P <链名> <ACCEPT|DROP|REJECT>

解释： ****使用 -P 选项可以设置链的默认策略，例如 ACCEPT、DROP 或 REJECT。

改-设置默认策略

通过以下命令设置链的默认策略：

iptables [-t 表名] -P <链名> <控制类型>

示例：

iptables -P INPUT DROP
iptables -P FORWARD DROP

说明：在生产环境中，通常将网络型防火墙和主机型防火墙的默认策略设置为 DROP，并设置允许通过的白名单规则。

提示：可在配置完iptables后在规则最后添加拒绝所有规则，而不要修改默认策略

# 其余禁止
iptables -A INPUT -j DROP 
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j ACCEPT 

规则的匹配

1. 通用匹配

可直接使用，不依赖于其他条件或扩展的匹配条件，包括协议、IP 地址、网络接口等：

• 协议匹配：-p <协议名>（如 tcp、udp、icmp）
• 地址匹配：-s <源地址>，d <目的地址>（可以是 IP、网段、域名、空-任何地址）
• 接口匹配：-i <入站网卡>，-o <出站网卡>

示例：

iptables -A FORWARD ! -p icmp -j ACCEPT  
# 允许除 ICMP 外的所有协议
iptables -A INPUT -s 192.168.80.11 -j DROP  
# 禁止特定 IP 地址的入站连接
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP  
# 禁止特定网卡的特定网段的入站连接

2. 隐含匹配

隐含匹配条件需要以特定协议匹配为前提，例如端口、TCP 标记、ICMP 类型等：

• 端口匹配：--sport <源端口>，--dport <目的端口>（需与 -p <协议类型> 配合使用，如 -p tcp --sport 22 ）

  端口匹配格式

  --sport 1000			# 匹配源端口是1000的数据包
  --sport 1000:3000	# 匹配源端口是1000-3000的数据包
  --sport :3000			# 匹配源端口是3000及以下的数据包
  --sport 1000:			# 匹配源端口是1000及以上的数据包
  

示例：

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT  
# 允许 FTP 端口的数据包
iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP  
# 禁止特定网段的特定端口的数据包

• TCP 标志位匹配：--tcp-flags <标志位> （需与 -p <协议类型> 配合使用）

示例：

# 拒绝非首次 SYN 连接的包：
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT  
# 拒绝进入的端口 22 的 TCP SYN 数据包（表示非首次连接）。
iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
# 拒绝发出的端口 22 的 TCP SYN,ACK 数据包（表示非首次连接的响应）。
# TCP 三次握手时的第一次握手放行 SYN 为 1 数据报文，拒绝其他包；第二次握手放行 SYN,ACK 为 1 数据报文，拒绝其他包

# TCP三次握手的处理规则：
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT
# 拒绝所有进入的端口 22 的 TCP 包，包的 TCP 标志设置了 ACK 位。确保只有在 TCP 三次握手的正确过程中才允许连接继续。

解释：

三次握手中的首次握手：客户端发送 SYN 包（SYN 标志位设置），请求建立连接。第一条规则拒绝了这些包，以防止非首次 SYN 连接的包通过。

三次握手中的第二次握手：服务器响应 SYN,ACK 包（SYN 和 ACK 标志位设置）。第二条规则拒绝了这些包，以防止非首次连接的 SYN,ACK 包通过。

三次握手中的第三次握手：客户端响应 ACK 包（ACK 标志位设置）。第三条规则拒绝了所有 ACK 包，以确保只有正确的握手过程中的 ACK 包才能通过。

• ICMP 类型匹配：--icmp-type <ICMP类型> （可以指定类型名称（字符串）或数字代码，需与 -p <协议类型> 配合使用）

  常用的 ICMP 类型：

  • Echo-Request（请求）：代码为 8
  • Echo-Reply（回显）：代码为 0
  • Destination-Unreachable（目标不可达）：代码为 3

示例：

iptables -p icmp -h
# 查看所有可用的 ICMP 类型及其描述

iptables -A INPUT -p icmp --icmp-type 8 -j DROP  # 禁止其它主机 ping 本机

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT  
# 允许本机 ping 其它主机

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
# 允许收到目标不可达消息

iptables -A INPUT -p icmp -j REJECT
# 默认拒绝所有其他 ICMP 包

3. 显式匹配

显式匹配要求使用 -m <扩展模块> 的形式明确指出类型，如多端口、MAC 地址、IP 范围、数据包状态等：

• 多端口匹配：-m multiport --sport <源端口列表>，-m multiport --dport <目的端口列表>

示例：

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT  
# 允许多个常用端口的 TCP 流量
iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT
# 允许多个端口的 UDP 流量

• IP 范围匹配：-m iprange --src-range <源IP范围> --dst-range <目标地址范围>

示例：

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP  
# 禁止转发特定源地址范围的 UDP 数据包

• MAC 地址匹配：-m mac --mac-source <MAC地址>

示例：

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP  
# 禁止来自特定 MAC 地址的数据包

• 状态匹配：-m state --state <连接状态>

常见的连接状态：

• NEW：主机与目标主机连接时，在目标主机看到的第一个包。
• ESTABLISHED：主机已与目标主机建立连接，判断标准只要目标主机回应了第一个包，就进入该状态。
• RELATED：与已建立连接相关的包。主机已与目标主机进行通信，目标主机发起新的链接方式，一般与ESTABLISHED 配合使用。
• INVALID：无效的封包，例如数据破损的封包状态。

解释： ESTABLISHED , RELATED 表示已经建立tcp连接的包以及该连接相关的包都允许通过。简单来说就是放行所有自己发出去的包的应答包进来。

示例：

iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  
# 允许新的 SSH 连接

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT  
# 允许已建立和相关连接的流量

iptables -P INPUT DROP  
# 设置默认策略为丢弃未明确允许的入站流量

规则匹配实例

完成iptables规则编写：为Web主机编写入站规则，仅允许192.168.1.0/24IP的局域网段进行ping，ssh连接，开放tcp80端口，和放行与本主机连接相关的数据包。

过程和结果：

iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
# 允许指定网段的 TCP/22 端口即 ssh 入站
iptables -t filter -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT               
# 仅允许指定网段使用 icmp 协议 ping 入站
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# 开放 TCP/80 端口
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# 放行与本主机连接相关的数据包
iptables -t filter -A INPUT -j DROP
# 白名单设置，丢弃其他包

# 合并1和2，即一条命令开放22和80端口
iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp -m multiport --dport 22,80 -j ACCEPT

---

注：图片来源于网络，侵删。