最后更新于2018年12月27日; 如遇到问题,请留言及时通知站长; 欢迎加入 三生三世,讨论各种问题!

说明

前几天新买的云服务器,忘记修改22端口了。今天修改了下,顺便用了下centos7iptables,之前站长都是安装firewalld使用的。今天在搞iptables时,遇到点坑,比如网上的保存命令不好使,甚至最后无法访问站点了。不过,最后我又解决了。话说,差点我就重装系统。为了以后方便继续修改,今天把用过的代码发出来。此外,分享点iptables命令相关的文章

本次使用的命令

#进入iptables规则列表文件
vi /etc/sysconfig/iptables

摁下i键,进入插入模式,添加如下代码

#增加80端口
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#增加443端口
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
#自己改的ssh端口,注意修改成你的
-A INPUT -p tcp -m state --state NEW -m tcp --dport 222 -j ACCEPT

然后,摁下esc键,退出插入模式;再摁下:wq,退出并保存文件编辑。最后,输入如下命令,重新启动iptables服务

systemctl restart iptables

Centos防火墙规则之iptables篇章,简单介绍

规则大全

iptables命令格式

一般,命令格式如下

iptables [-t 表] -命令 匹配   操作

具体的参数见下表

-t 表

表选项用于指定命令应用于哪个iptables内置表。

命令

命令选项用于指定iptables的执行方式,包括插入规则,删除规则和添加规则,如下表所示

命令说明
-P --policy<链名> 定义默认策略
-L --list<链名> 查看iptables规则列表
-A --append<链名> 在规则列表的最后增加1条规则
-I --insert<链名> 在指定的位置插入1条规则
-D --delete<链名> 从规则列表中删除1条规则
-R --replace<链名> 替换规则列表中的某条规则
-F --flush<链名> 删除表中所有规则
-Z --zero<链名> 将表中数据包计数器和流量计数器归零
-X --delete-chain<链名> 删除自定义链
-v --verbose<链名> 与-L他命令一起使用显示更多更详细的信息

匹配规则

匹配选项指定数据包与规则匹配所具有的特征,包括源地址,目的地址,传输协议和端口号,如下表所示

匹配说明
-i --in-interface网络接口名> 指定数据包从哪个网络接口进入,
-o --out-interface网络接口名> 指定数据包从哪个网络接口输出
-p ---proto协议类型 指定数据包匹配的协议,如TCP、UDP和ICMP等
-s --source源地址或子网> 指定数据包匹配的源地址
--sport源端口号> 指定数据包匹配的源端口号
--dport目的端口号> 指定数据包匹配的目的端口号
-m --match匹配的模块 指定数据包规则所使用的过滤模块

操作规则

iptables执行规则时,是从规则表中从上至下顺序执行的,如果没遇到匹配的规则,就一条一条往下执行,如果遇到匹配的规则后,那么就执行本规则,执行后根据本规则的动作(acceptrejectlogdrop等),决定下一步执行的情况,后续执行一般有三种情况。

  • 一种是继续执行当前规则队列内的下一条规则。比如执行过Filter队列内的LOG后,还会执行Filter队列内的下一条规则。
  • 一种是中止当前规则队列的执行,转到下一条规则队列。比如从执行过accept后就中断Filter队列内其它规则,跳到nat队列规则去执行
  • 一种是中止所有规则队列的执行。

规则动作

前面我们说过iptables处理动作除了 ACCEPTREJECTDROPREDIRECTMASQUERADE 以外,还多出 LOGULOGDNATRETURNTOSSNATMIRRORQUEUETTLMARK等。我们只说明其中最常用的动作:

REJECT 拦阻该数据包,并返回数据包通知对方,可以返回的数据包有几个选择:ICMP port-unreachableICMP echo-reply 或是tcp-reset(这个数据包包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。 范例如下:

iptables -A  INPUT -p TCP --dport 22 -j REJECT --reject-with ICMP echo-reply

DROP 丢弃数据包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。

REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将会继续比对其它规则。这个功能可以用来实作透明代理 或用来保护web 服务器。例如:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8081

MASQUERADE 改写封包来源IP为防火墙的IP,可以指定port 对应的范围,进行完此处理动作后,直接跳往下一个规则链(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行IP 伪装时,不需指定要伪装成哪个 IPIP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:

iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 21000-31000

LOG 将数据包相关信息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 配置文件,进行完此处理动作后,将会继续比对其它规则。例如:

iptables -A INPUT -p tcp -j LOG --log-prefix "input packet"

SNAT 改写封包来源 IP 为某特定 IPIP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则炼(mangle:postrouting)。范例如下:

iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 192.168.10.15-192.168.10.160:2100-3200

DNAT 改写数据包包目的地 IP 为某特定 IPIP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则链(filter:inputfilter:forward)。范例如下:

iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.10.1-192.168.10.10:80-100

MIRROR 镜像数据包,也就是将来源 IP与目的地IP对调后,将数据包返回,进行完此处理动作后,将会中断过滤程序。

QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用.......等。

RETURN 结束在目前规则链中的过滤程序,返回主规则链继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。

MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 22

暂时,就这么多了。关于iptables能说的太多,以后再说吧

- The End -