防火墙 iptables 企业防火墙之 iptables

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [www.cnblogs.com](https://www.cnblogs.com/zdqc/p/9447671.html)

Centos6 自带防火墙

7 的话关闭自带的 下载如下

yum -y install iptables-server

[企业防火墙之 iptables](https://www.cnblogs.com/clsn/p/8308678.html)
==============================================================

分类: [网络技能](http://www.cnblogs.com/clsn/category/1092665.html), [故障解决](http://www.cnblogs.com/clsn/category/1093779.html), [其他](http://www.cnblogs.com/clsn/category/1097397.html), [防火墙](http://www.cnblogs.com/clsn/category/1155137.html)

posted @ 2018-08-09 11:04  [追梦 NAN](https://www.cnblogs.com/zdqc/)  阅读 (800)  评论 (0)  [编辑](https://i.cnblogs.com/EditPosts.aspx?postid=9447671)  [收藏](javascript:void(0))  [举报](javascript:void(0))

分类: [网工](https://www.cnblogs.com/zdqc/category/1271741.html)

undefined

1.1 企业中安全优化配置原则
---------------

尽可能不给服务器配置外网 ip , 可以通过代理转发或者通过防火墙映射. 并发不是特别大情况有外网 ip, 可以开启防火墙服务.

大并发的情况，不能开 iptables, 影响性能，利用硬件防火墙提升架构安全

### 1.1.1 生产中 iptables 的实际应用

主要应用方向

1、主机防火墙（filter 表的 INPUT 链）。

2、局域网共享上网 (nat 表的 POSTROUTING 链)。半个路由器，NAT 功能。

3、端口及 IP 映射 (nat 表的 PREROUTING 链)，硬防的 NAT 功能。

4、IP 一对一映射。

**_其他说明：_**

①iptables 是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。

**注：**iptables 主要工作在 OSI 七层的 2.3.4 层。七层的控制可以使用 squid 代理 + iptables。

②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开 iptables，影响性能，iptables 是要消耗 CPU 的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做 ids 的入侵检测。

③实际生产中尽可能不给服务器配置外网 IP。可以通过代理转发。比如，nagios 就不需要外网。

④并发不是很大的情况下，再外网的 IP 环境，开防火墙。

⑤第一次直接默认规则生成配置文件，以后就在配置文件中进行修改（编辑添加删除）。

⑥封掉 IP：根据 IP 地址和网络连接数进行封杀。（定时任务，定时封掉，判断，存在就不再进行二次封杀）

### 1.1.2 企业常用案例功能小结：

1）linux 主机防火墙，单机作为防火墙（表 filter）。

2）局域网共享上网（表 nat postrouting）。

3）外部地址映射为内部地址和端口（表 nat prerouting）

1.2 iptables 防火墙简介
------------------

Netfilter/Iptables(以下简称 Iptables) 是 unix/linux 自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具，它的功能十分强大，使用非常灵活，可以对流入和流出服务器的数据包进行很精细的控制. 特别是它可以在一台非常低的硬件配置服务器上跑的非常好（赛扬 500HZ cpu 64M 内存的惲况下部署网关防火墙），提供近 400 人的上网服务丝毫不逊色企业级专业路由器防火墙。 iptables + zebra + squid (企业常用网络开源产品）。

iptables 是 linux2.4 及 2.6 内核中集成的服务，其功能与安全性比其老一蜚 ipfwadm，ipchains 强大的多，iptables 主要工作在 0SI 七层的二、三、四层，如果重新编译内核，iptables 也可以支持 7 层控制（squid 代理 + iptables）。

### 1.2.1 iptables 名词和术语

不少刚接触到 iptables 的朋友可能会对 iptables 防火墙的相关名词搞的很晕，不知道其所云的具体意思，而是就最基本的能让大家容易快速理解和掌握的思路来描述：

容器：包含或者说属于的关系

### 1.2.2 什么是容器

谁不知道啊，容器就是装东西的，如（箱、包、坛）。没错，恭喜你答对了. 词典里解释说，容器就是用来包装或装载物品的贮存器（如箱、罐、坛）或者成形或柔软不成形的包覆材料.

在 iptables 里的呢，就是用来描述这种包含或者说属于的关系。

### 1.2.3 什么是 Netfilter/iptables ?

Netfilter 是表（tables）的容器，这样解释大家肯定还是晕。举个例子，如果把 Netfilter 看成是某个小区的一栋楼。那么表（tables) 就是楼里的其中的一套房子。这套房子 "表（tables)" 属于这栋 “Netfilter”。

### 1.2.4 什么是表（tables）？

表（tables）是链的容器，即所有的链（chains）都属于其对应的表（tables）. 如上，如果把 Netfilter 看成是某个小区的一栋楼. 那么表（tables）就是楼里的其中的一套房子。

### 1.2.5 什么是链（chains）？

链（chains）是规则（Policys）的容器。接上，如果把表（tables）当作有一套房子，那么链（chains）就可以说是房子里的家具（柜子等）。

### 1.2.6 什么是规则（Policy）？

规则（Policy）就比较容易理解了，就是 iptables 系列过滤信息的规范和具体方法条款了. 可以理解为柜子如何增加并摆放柜子东西等。

基本术语如下表格所示：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="19%">Netfilter</td><td valign="top" width="23%">表（tables）</td><td valign="top" width="23%">链（chains）</td><td valign="top" width="33%">规则（Policy）</td></tr><tr><td valign="top" width="19%">一栋楼</td><td valign="top" width="23%">按里的房子</td><td valign="top" width="23%">房子里的柜子</td><td valign="top" width="33%">柜子里衣服，摆放规则</td></tr></tbody></table>

1.3 iptables 表和链
----------------

描述完 iptables 术语后，相信大家对 iptables 的表和链有了初步的了解了，默认情况下，iptables 根据功能和表的定义划分包含三个表，filter,nat,mangle, 其每个表又包含不同的操作链（chains )。 实际 iptables 包含 4 张表和五个链, 巧主要记住两张表即可 filter 和 nat 表即可。

下面表格展示了表和链的对应关系。

**四个表：**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="18%">表（tables）</td><td colspan="2" width="81%">链（chains）</td></tr><tr><td rowspan="4" width="18%">Filter</td><td colspan="2" width="81%">这是默认表，实现防火墙数据过滤功能。</td></tr><tr><td width="18%">INPUT</td><td width="62%">对于指定到本地套接字的包，即到达本地防火墙服务器的数据包。</td></tr><tr><td width="18%">FORWARD</td><td width="62%">路由穿过的数据包，即经过本地防火墙服务器的数据包。</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包</td></tr><tr><td rowspan="4" width="18%">NAT</td><td colspan="2" width="81%">当遇到新创建的数据包连接时将参考这个表</td></tr><tr><td width="18%">FREROUTING</td><td width="62%">一进来就对数据包进行改变</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包在路由前进行改变</td></tr><tr><td width="18%">POSTROUTING</td><td width="62%">在数据包即将出去时改变数据包信息</td></tr><tr><td rowspan="6" width="18%">Mangle</td><td colspan="2" width="81%">这个表专门用于改变数据包</td></tr><tr><td width="18%">INPUT</td><td width="62%">进入到设备本身的包</td></tr><tr><td width="18%">FORWARD</td><td width="62%">对路由后的数据包信息进行修改</td></tr><tr><td width="18%">FREROUTING</td><td width="62%">在路由之前更改传入的包</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包在路由之前改变</td></tr><tr><td width="18%">POSTROUTING</td><td width="62%">在数据包即将离开时更改数据包信息</td></tr><tr><td rowspan="3" width="18%">raw</td><td colspan="2" width="81%">此表用处较少，可以忽略不计。This&nbsp; table is used mainly for configuring exemptions from connection tracking in combination with the&nbsp; NOTRACK&nbsp; target.</td></tr><tr><td width="18%">PREROUTING</td><td width="62%">for packets arriving via any network interface</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">for packets&nbsp; generated by local processes</td></tr></tbody></table>

**五个链**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td rowspan="2" width="18%">表（tables）</td><td colspan="5" width="81%">链（chains）</td></tr><tr><td width="15%">INPUT</td><td width="16%">FORWARD</td><td width="15%">OUTPUT</td><td width="16%">PREROUTING</td><td width="17%">POSTROUTING</td></tr><tr><td width="18%">Filter</td><td width="15%">√</td><td width="16%">√</td><td width="15%">√</td><td width="16%">×</td><td width="17%">×</td></tr><tr><td width="18%">NAT</td><td width="15%">×</td><td width="16%">×</td><td width="15%">√</td><td width="16%">√</td><td width="17%">√</td></tr><tr><td width="18%">Managle</td><td width="15%">√</td><td width="16%">√</td><td width="15%">√</td><td width="16%">√</td><td width="17%">√</td></tr><tr><td width="18%">raw</td><td width="15%">×</td><td width="16%">×</td><td width="15%">√</td><td width="16%">√</td><td width="17%">×</td></tr><tr><td colspan="6" width="100%">说明：√&nbsp;表示有，×&nbsp;表示无。</td></tr></tbody></table>

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095127803-1524170528.png)

图 - iptables 中的表与链的结构关系

### 1.3.1 filter 表的详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">filter 表</td><td valign="top" width="79%">主要和主机自身相关，真正负责主机防火墙功能的（过滤流入流出主机的数据包）filter 表是 iptables 默认使用的表，这个表定义了三个链（chains）企业工作场景: 主机防火墙</td></tr><tr><td width="20%">INPUT</td><td valign="top" width="79%">负责过滤所有目标是本机地址的数据包通俗来说：就是过滤进入主机的数据包</td></tr><tr><td width="20%">FORWARD</td><td valign="top" width="79%">负责转发流经主机的数据包。起到转发的作用，和 NAT 关系很大。LVS NAT&nbsp;模式，net.ipv4.ip_forward=0</td></tr><tr><td width="20%">OUTPUT</td><td valign="top" width="79%">处理所有源地址是本机地址的数据包通俗的讲：就是处理从主机发出的数据包</td></tr></tbody></table>

对于 filter 表的控制是我们实现本机防火墙功能的重要手段，特别是 INPUT 链的控制。

### 1.3.2 NAT 表信息详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">NAT 表</td><td width="79%">负责网络地址转换的，即来源与目的的 IP 地址和 port 的转换。应用：和主机本身无关，一般用于局域网共享上网或者特殊的端口转换相关.工作场景：1、用于企业路由 (zebra) 或网关(iptables), 共享上网(POSTROUTING)2、做内部外部 IP 地址一对一映射 (dmz), 硬件防火墙映射 IP 到内部服务器，FTP 服务 (PREROUTING)3、WEB, 单个端口的映射，直接映射 80 端口 (PREROUTING)这个表定义了 3 个链，nat 功能相当于网络的 acl 控制。和网络交换机 acl 类似。</td></tr><tr><td width="20%">OUTPUT</td><td width="79%">和主机放出去的数据包有关，改变主机发出数据包的目的地址。</td></tr><tr><td width="20%">PREROUTING</td><td width="79%">在数据包到达防火墙时，进行路由判断之前执行的规则，作用是改变数据包的目的地址、目的端口等就是收信时，根据规则重写收件人的地址例如：把公网 IP：&nbsp;xxx.xxx.xxx.xxx&nbsp;映射到局域网的&nbsp;x.x.x.x&nbsp;服务器如果是 web 服务，可以把 80 转换为局域网的服务器 9000 端口上。</td></tr><tr><td width="20%">POSTROUTING</td><td width="79%">在数据包离开防火墙时进行路由判断之后执行的规则，作用改变数据包的源地址，源端口等。写好收件人的地址，要让家人回信时能够有地址可回。例如。默认笔记本和虚拟机都是局域网地址，在出网的时候被路由器将源地址改为公网地址。生产应用：局域网共享上网。</td></tr></tbody></table>

### 1.3.3 Mangle 表信息详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">Mangle 表</td><td width="79%">主要负责修改数据包中特殊的路由标记，如 TTL,TOS,MARK 等，这个表定义了 5 个链 (chains).</td></tr></tbody></table>

由于这个表与特殊标记相关，一般倩况下，我们用不到这个 mangle 表。

这里就不做详细介绍了。

1.4 iptables 工作流程
-----------------

### 1.4.1 工作流程说明

前面介绍已经提到，iptables 是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

iptables 是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

数据包的流向是从左向右的。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095142834-207194553.png)

图 - iptables 包处理流程图

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095149740-1977616339.png)

图 - iptables 包处理流程图 (简化)

**_抽象说明：_**上图可以用北京地铁 1,2 号线来描述：

1 号线：主要是 NAT 功能

企业案例：

1) 局域网上网共享（路由和网关），使用 NAT 的 POSTROUTING 链。

2) 外部 IP 和端口映射为内部 IP 和端口（DMZ 功能），使用 NAT 的 PREROUTING 链

2 号线：主要是 FILTER 功能，即防火墙功能 FILTER INPUT FORWARD

企业案例：

主要应用就是主机服务器防火墙，使用 FILTER 的 INPUT 链

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095207678-1251478781.png)

图 - iptables 数据包转发流程图

### 1.4.2 iptables 工作流程小结

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。

3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

1.5 iptables 操作
---------------

系统环境说明

```
[root@clsn ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)
[root@clsn ~]# hostname -I
10.0.0.188 172.16.1.188
```

软件版本

```
[root@clsn ~]# iptables -V
iptables v1.4.7
```

### 1.5.1 iptables 参数说明

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="32%">参数</td><td colspan="3" width="67%">参数说明</td></tr><tr><td colspan="4" width="100%">显示相关参数</td></tr><tr><td width="32%">-n/--numeric</td><td colspan="3" width="67%">以数字的方式显示地址或端口信息</td></tr><tr><td width="32%">-L/ --list</td><td colspan="3" width="67%">列出一个链或所有链中的规则信息</td></tr><tr><td width="32%">--list-rules/-S</td><td colspan="3" width="67%">Print the rules in a chain or all chains</td></tr><tr><td width="32%">--line-number</td><td colspan="3" width="67%">当列出规则信息时，打印规则行号</td></tr><tr><td width="32%">-v</td><td colspan="3" width="67%">显示详细信息，可以叠加</td></tr><tr><td width="32%">-h</td><td colspan="3" width="67%">显示帮助信息</td></tr><tr><td colspan="4" width="100%">初始化相关参数</td></tr><tr><td width="32%">iptables -F</td><td colspan="3" width="67%">清除所有规则，不会处理默认的规则</td></tr><tr><td width="32%">iptables -X</td><td colspan="3" width="67%">删除用户自定义的链</td></tr><tr><td width="32%">iptables -Z</td><td colspan="3" width="67%">链的计数器清零（数据包计数器与数据包字节计数器）</td></tr><tr><td colspan="4" width="100%">配置常用参数</td></tr><tr><td width="32%">-t&nbsp;表名称</td><td colspan="3" width="67%">指定配置哪个表，指定配置表名称。</td></tr><tr><td width="32%">--append/-A&nbsp;链名称</td><td colspan="3" width="67%">附加或追加上相应规则策略，到指定链 (链名称必须大写)，默认将配置的规则插入到最后一条。</td></tr><tr><td width="32%">--check/-C</td><td colspan="3" width="67%">Check for the existence of a rule</td></tr><tr><td width="32%">--insert/-I&nbsp;链名称</td><td colspan="3" width="67%">插入相应规则策略，到指定链上，默认将配置的规则插入到第一条（可以根据规则序号插入到指定位置）-- 封 IP 地址使用。</td></tr><tr><td width="32%">--delete/-D&nbsp;链名称</td><td colspan="3" width="67%">删除指定的规则 (可以根据规则序号进行删除)</td></tr><tr><td width="32%">--replace/-R</td><td colspan="3" width="67%">Replace rule rulenum (1 = first) in chain</td></tr><tr><td width="32%">-P(大写) 链名称</td><td colspan="3" width="67%">改变链上的最终默认规则策略</td></tr><tr><td width="32%">--new/-N</td><td colspan="3" width="67%">创建新的用户定义链</td></tr><tr><td width="32%">-p&nbsp;协议名称[!]&nbsp;--proto</td><td colspan="3" width="67%">指定规则的协议名称&nbsp;all tcp udp icmp</td></tr><tr><td width="32%">--dport</td><td colspan="3" width="67%">指定匹配的目标端口信息</td></tr><tr><td width="32%">--sport</td><td colspan="3" width="67%">指定匹配的源端口信息</td></tr><tr><td rowspan="7" width="32%">-j&nbsp;动作</td><td colspan="3" width="67%">匹配数据包后的动作&nbsp;&nbsp;&nbsp;&nbsp;</td></tr><tr><td colspan="2" width="20%">ACCEPT</td><td width="47%">允许</td></tr><tr><td colspan="2" width="20%">DROP</td><td width="47%">丢弃 (没有响应)</td></tr><tr><td colspan="2" width="20%">REJECT</td><td width="47%">拒绝 (回应请求者明确的拒绝)</td></tr><tr><td colspan="2" width="20%">MASQUERADE</td><td width="47%">伪装上网时使用</td></tr><tr><td colspan="2" width="20%">SNAT</td><td width="47%">共享地址上网</td></tr><tr><td colspan="2" width="20%">DNAT</td><td width="47%">目的地址改写</td></tr><tr><td width="32%">-i[!]&nbsp;--in-interface</td><td colspan="3" width="67%">在 INPUT 链配置规则中，指定从哪一个网卡接口进入的流量（只能配置在 INPUT 链上）</td></tr><tr><td width="32%">-o[!]&nbsp;--out-interface</td><td colspan="3" width="67%">在 OUTPUT 链配置规则中，指定从哪一个网接口出去的流量（只能配置在 OUTPUT 链上）</td></tr><tr><td valign="top" width="32%">-s&nbsp;[!] --source&nbsp;</td><td colspan="3" width="67%">指定源 IP 地址或源网段信息</td></tr><tr><td valign="top" width="32%">-d[!]&nbsp;--destination</td><td colspan="3" width="67%">指定目标 IP 地址或目标网段信息</td></tr><tr><td colspan="4" width="100%">扩展参数</td></tr><tr><td rowspan="4" width="32%">-m&nbsp;模块</td><td colspan="3" width="67%">表示增加扩展，匹配功能扩展匹配（可以加载扩展参数）</td></tr><tr><td width="18%">multiport</td><td colspan="2" width="48%">实现不连续多端口扩展匹配</td></tr><tr><td width="18%">icmp</td><td colspan="2" width="48%">使用 icmp 的扩展</td></tr><tr><td width="18%">state</td><td colspan="2" width="48%">状态模块扩展</td></tr><tr><td width="32%">--icmp-type</td><td colspan="3" width="67%">只有类型 8 是真正会影响 ping，或者也可以采用 any；了解很多 icmp 类型 iptables -p icmp -h</td></tr><tr><td width="32%">--limit n/{second/minute/hour}</td><td colspan="3" width="67%">指定时间内的请求速率”n” 为速率，后面为时间分别为：秒&nbsp;分&nbsp;时</td></tr><tr><td width="32%">--limit-burst [n]</td><td colspan="3" width="67%">在同一时间内允许通过的请求”n” 为数字，不指定默认为 5</td></tr><tr><td width="32%">--exact/-x</td><td colspan="3" width="67%">扩展数字（显示精确数值）</td></tr><tr><td width="282">&nbsp;</td><td width="129">&nbsp;</td><td width="9">&nbsp;</td><td width="287">&nbsp;</td></tr></tbody></table>

**!** **的使用实例**

```
[root@clsn ~]# iptables ! -V
Not 1.4.7 ;-)
[root@clsn ~]# iptables  -V
iptables v1.4.7
```

注意：在 iptables 中所有链名必须大写，表明必须小写，动作必须大写，匹配必须小写。

### 1.5.2 配置前准备

在配置防火墙首先要其中防火墙

```
[root@clsn ~]# /etc/init.d/iptables start 
iptables: Applying firewall rules:                         [  OK  ]
```

清除 iptables 所有规则

```
[root@clsn ~]# iptables -Z
[root@clsn ~]# iptables -X
[root@clsn ~]# iptables -F
```

查看 iptables 的规则

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

查看其他的表配置（-t 参数）

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# iptables -nL -t raw
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

查看配置规则的顺序号

```
[root@clsn ~]# iptables -nvL --number-list
--line-number #  显示规则的序号
```

1.6 iptables filter 表配置实例
-------------------------

### 1.6.1 基础配置

**配置实例一：**配置 22/ssh 端口访问控制规则

```
iptables -A INPUT -p tcp --dport 22 -j DROP     # 禁止所有人访问22端口
iptables -I INPUT -p tcp --dport 22 -j ACCEPT   # 恢复连接方法
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT # 通过插入指定行号信息，指定将规则插入到第几行
iptables -D INPUT -p tcp --dport 22 -j ACCEPT   # 删除指定规则
iptables -D INPUT 2                             # 根据规则行号，删除相应的规则
```

只允许 10.0.0.1 的 ip 通过 ssh 连接这台服务器

```
iptables -I INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT 
```

配置实例二：禁止网段连入（禁止 172.16.1.0 网段访问 172.16.1.188）

```
iptables -A INPUT  -s 172.16.1.0/24 -d 172.16.1.188  -j DROP
```

配置实例三：禁止某个 172.16.1.0 网段访问服务器主机的 22 端口

```
iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.188  -p tcp --dport 22 -j DROP
```

方向说明：

```
# 在入方向控制
iptables -I INPUT -i eth0  -p tcp --dport 22 -j ACCEPT
# 在出方向控制
iptables -I OUTPUT -o eth0  -p tcp --sport 22 -j DROP
```

### 1.6.2 配置实例四：除 10.0.0.0 网段可以进行连接服务器主机意外，其余网段都禁止

_第一种方式：_

```
iptables -A INPUT -s 10.0.0.0/24 -d 172.16.1.8  -j ACCEPT
```

修改默认规则，将默认规则改为拒绝

_第二种方式：_

！  --- 表示对规则信息进行取反

```
iptables -A INPUT ! -s 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos6用法
iptables -A INPUT -s ! 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos5用法
```

说明：只有 iptables 帮助手册中指定的参数可以用取反符号（iptables --help）

### 1.6.3 配置实例五：测试匹配列举端口范围。

```
iptables -A INPUT -p tcp --dport 22:80 -j DROP                 # 设置连续多端口控制策略
iptables -A INPUT -p tcp -m multiport  --dport 22,80 -j DROP   # 设置不连续多端口控制策略
```

-m 参数表示增加扩展匹配功能，multiport 实现不连续多端口扩展匹配

### 1.6.4 配置实例六：匹配 ICMP 类型

禁止 ping 策略原则

iptables 服务器是 ping 命令发起者或是接受者

**发起者：**

input 链： 禁止 icmp-type 0

```
iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j DROP
```

output 链： 禁止 icmp-type 8

```
iptables -A OUTPUT -o eth0 -p icmp --icmp-type 8 -j DROP
```

**接受者：**

input 链： 禁止 icmp-type 8

```
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP
```

output 链： 禁止 icmp-type 0

```
iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j DROP
```

简化配置：

```
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j DROP  #禁止所有类型的icmp
```

指定类型禁止 icmp

```
iptables -A INPUT -p icmp --icmp-type 8
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT
```

说明：只有类型 8 是真正会影响 ping，或者也可以采用 any；了解很多 icmp 类型 iptables -p icmp -h

**ICMP** **类型的说明**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="11%">TYPE</td><td valign="top" width="11%">CODE</td><td valign="top" width="56%">Description</td><td valign="top" width="11%">Query</td><td valign="top" width="11%">Error</td></tr><tr><td valign="top" width="11%">0</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Echo Reply——回显应答（Ping 应答）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Network Unreachable——网络不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Host Unreachable——主机不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">2</td><td valign="top" width="56%">Protocol Unreachable——协议不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">3</td><td valign="top" width="56%">Port Unreachable——端口不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">4</td><td valign="top" width="56%">Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">5</td><td valign="top" width="56%">Source routing failed——源站选路失败</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">6</td><td valign="top" width="56%">Destination network unknown——目的网络未知</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">7</td><td valign="top" width="56%">Destination host unknown——目的主机未知</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">8</td><td valign="top" width="56%">Source host isolated (obsolete)——源主机被隔离（作废不用）</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">9</td><td valign="top" width="56%">Destination network administratively prohibited——目的网络被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">10</td><td valign="top" width="56%">Destination host administratively prohibited——目的主机被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">11</td><td valign="top" width="56%">Network unreachable for TOS——由于服务类型 TOS，网络不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">12</td><td valign="top" width="56%">Host unreachable for TOS——由于服务类型 TOS，主机不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">13</td><td valign="top" width="56%">Communication administratively prohibited by filtering——由于过滤，通信被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">14</td><td valign="top" width="56%">Host precedence violation——主机越权</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">15</td><td valign="top" width="56%">Precedence cutoff in effect——优先中止生效</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">4</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Source quench——源端被关闭（基本流控制）</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Redirect for network——对网络重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Redirect for host——对主机重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">2</td><td valign="top" width="56%">Redirect for TOS and network——对服务类型和网络重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">3</td><td valign="top" width="56%">Redirect for TOS and host——对服务类型和主机重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">8</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Echo request——回显请求（Ping 请求）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">9</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Router advertisement——路由器通告</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">10</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Route solicitation——路由器请求</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">11</td><td valign="top" width="11%">0</td><td valign="top" width="56%">TTL equals 0 during transit——传输期间生存时间为 0</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">11</td><td valign="top" width="11%">1</td><td valign="top" width="56%">TTL equals 0 during reassembly——在数据报组装期间生存时间为 0</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">12</td><td valign="top" width="11%">0</td><td valign="top" width="56%">IP header bad (catchall error)——坏的 IP 首部（包括各种差错）</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">12</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Required options missing——缺少必需的选项</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">13</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Timestamp request (obsolete)——时间戳请求（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">14</td><td valign="top" width="11%"></td><td valign="top" width="56%">Timestamp reply (obsolete)——时间戳应答（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">15</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Information request (obsolete)——信息请求（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">16</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Information reply (obsolete)——信息应答（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">17</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Address mask request——地址掩码请求</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">18</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Address mask reply——地址掩码应答</td><td valign="top" width="11%">&nbsp;</td><td valign="top" width="11%">&nbsp;</td></tr></tbody></table>

数据来源：http://www.cnitblog.com/yang55xiaoguang/articles/59581.html

### 1.6.5 防火墙状态机制配置

状态集简单说明:

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="50%">状态集</td><td valign="top" width="50%">说明</td></tr><tr><td valign="top" width="50%">NEW</td><td valign="top" width="50%">表示新建立连接的数据包状态</td></tr><tr><td valign="top" width="50%">ESTABLISHED</td><td valign="top" width="50%">表示新建立连接数据包发送之后，回复响应的数据包状态</td></tr><tr><td valign="top" width="50%">RELATED</td><td valign="top" width="50%">表示借助已经建立的链路，发送新的连接数据包</td></tr><tr><td valign="top" width="50%">INVALID</td><td valign="top" width="50%">无效无法识别的数据包</td></tr></tbody></table>

注意：允许关联的状态包通过（web 服务不要使用 FTP 服务）

防火墙服务配置在 FTP 服务器上时，需要配置以下策略

```
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

实现发现 sent_syn 状态

```
iptables -A INPUT -m state --state NEW -j DROP    # 防火墙所连接客户端上配置
```

实现发现 sent_rcvd 状态

```
iptables -I INPUT -i eth0 -s 10.0.0.201 -m state --state ESTABLISHED -j DROP  # 防护墙上配置的
```

### 1.6.6 使用 iptables 实现限速功能

limit 是 iptables 的一个匹配模块，用它结合 iptables 的其它命令可以实现限速的功能。

不过首先必须明确，limit 本身只是一个 “匹配” 模块。我们知道，iptables 的基本原理是“匹配 -- 处理”，limit 在这个工作过程中只能起到匹配的作用，它本身是无法对网络数据包进行任何处理的。我看到网上有些 limit 的例子里面说只 用一条包含 limit 匹配规则的 iptables 语句就可以实现限速，那是错误的。

实际上，利用 imit 来限速需要包括两个步骤:

1. 对符合 limit 匹配规则包放行

2. 丢弃 / 拒绝未放行的包

示例：

```
iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT 
iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -j DROP
```

语句含义：当来自 10.0.0.7 的 ping 包超过 5 个时进行限速，限制为每 10s 一个。

参数说明：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="44%">参数</td><td width="55%">参数含义</td></tr><tr><td width="44%">--limit n/{second/minute/hour}</td><td width="55%">指定时间内的请求速率”n” 为速率，后面为时间分别为：秒&nbsp;分&nbsp;时</td></tr><tr><td width="44%">--limit-burst [n]</td><td width="55%">在同一时间内允许通过的请求”n” 为数字，不指定默认为 5</td></tr></tbody></table>

**limit** **模块具体是如何工作的。？**

limit 的匹配是基于令牌桶 (Token bucket）模型的。

令牌桶是一种网络通讯中常见的缓冲区工作原理，它有两个重要的参数，令牌桶容量 n 和令牌产生速率 s。

我们可以把令牌当成是门票，而令牌桶则是负责制作和发放门票的管理员，它手里最多有 n 张令牌。一开始，管理员开始手里有 n 张令牌。每当一个数据包到达后，管理员就看看手里是否还有可用的令牌。如果有，就把令牌发给这个数据包，limit 就告诉 iptables，这个数据包被匹配了。而当管理员把手上所有的令牌都发完了，再来的数据包就拿不到令牌了。这时，limit 模块就告诉 iptables，这个数据包不能被匹配。除了发放令牌之外，只要令牌桶中的令牌数量少于 n，它就会以速率 s 来产生新的令牌，直到令牌数量到达 n 为止。

通过令牌桶机制，即可以有效的控制单位时间内通过（匹配）的数据包数量，又可以容许短时间内突发的大量数据包的通过（只要数据包数量不超过令牌桶 n）。

limit 模块提供了两个参数 --limit 和 --limit-burst，分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外，limit 匹配的另外一个重要概念是匹配项。在 limit 中，每个匹配项拥有一个单独的令牌桶，执行独立的匹配计算。

### 1.6.7 企业级防火墙配置

清除防火墙规则

```
[root@clsn ~]# iptables -F
[root@clsn ~]# iptables -X
[root@clsn ~]# iptables -Z
```

修改默认规则为拒绝（修改前先放行 22 端口，保证自己能够连上主机）

```
[root@clsn ~]# iptables -A INPUT -p tcp --dport  22 -j ACCEPT
[root@clsn ~]# iptables -P INPUT DROP 
[root@clsn ~]# iptables -P FORWARD DROP
```

放行指定的端口

```
[root@clsn ~]# iptables -A INPUT -i lo -j ACCEPT
[root@clsn ~]# iptables -A INPUT  -p tcp  -m multiport --dport  80,443 -j ACCEPT
[root@clsn ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
[root@clsn ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

**保存 iptables** **配置**

01. 第一种方式

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@clsn ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Apr  4 12:24:43 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [159:10664]
-A INPUT -s 10.0.0.0/24 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT 
-A INPUT -s 172.16.1.0/24 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Tue Apr  4 12:24:43 2017
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

02. 第二种方式

```
iptables-save >/etc/sysconfig/iptables
```

1.7 iptables nat 表配置实例
----------------------

### 1.7.1 iptables 实现共享上网

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095907193-681615791.png)

图 - SNAT 配置原理图

第一个里程碑：配置内网服务器，设置网关地址

```
/etc/init.d/iptables stop      # 内网服务器停止防火墙服务
ifdown eth0                    # 模拟关闭内网服务器外网网卡
setup                          # 修改内网网卡网关和DNS地址信息
```

也可以使用命令添加默认网关

```
route add default gw 172.16.1.188
```

查看默认的路由信息

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@test ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
0.0.0.0         172.16.1.188    0.0.0.0         UG    0      0        0 eth1
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

说明：内网服务器网关地址指定为共享上网服务器内网网卡地址

第二个里程碑：配置共享上网服务器，开启共享上网服务器路由转发功能

```
[root@clsn ~]# vim /etc/sysctl.conf 
[root@clsn ~]# sysctl -p
~~~
net.ipv4.ip_forward = 1
~~~
```

第三个里程碑：配置共享上网服务器，实现内网访问外网的 NAT 映射

```
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.188
```

参数详解：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="37%">参数</td><td width="62%">参数说明</td></tr><tr><td width="37%">-s 172.16.1.0/24</td><td width="62%">指定将哪些内网网段进行映射转换</td></tr><tr><td width="37%">-o eth0</td><td width="62%">指定在共享上网哪个网卡接口上做 NAT 地址转换</td></tr><tr><td width="37%">-j SNAT</td><td width="62%">将源地址进行转换变更</td></tr><tr><td width="37%">-j DNAT</td><td width="62%">将目标地址进行转换变更</td></tr><tr><td width="37%">--to-source ip 地址</td><td width="62%">将源地址映射为什么 IP 地址</td></tr><tr><td width="37%">--to-destination ip 地址</td><td width="62%">将目标地址映射为什么 IP 地址</td></tr></tbody></table>

当 filter 表中的 forward 默认为 drop 策略时，如何配置 forward 链？

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100154553-999721017.png)

图 - forward 工作原理

**配置示例**

```
iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT  # 可以不进行配置
iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT   # 可以不进行配置
```

当外网 ip 不固定时如何配置？

```
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE   # 伪装共享上网
```

说明：在企业中如何没有固定外网 IP 地址，可以采取以上伪装映射的方式进行共享上网

**配置映射方法小结**

01. 指定哪些网段需要进行映射     -s 172.16.1.0/24

02. 指定在哪做映射               -o eth0

03. 用什么方法做映射             -j SNAT/DNAT MASQUERADE

04. 映射成什么地址               --to-source  ip 地址 /--to-destination ip 地址

### 1.7.2 iptables 实现外网 IP 的端口映射到内网 IP 的端口

实际需求：将网关的 IP 和 9000 端口映射到内网服务器的 22 端口

端口映射 10.0.0.188:9000 -->172.16.1.180:22

配置实例：

```
iptables -t nat -A PREROUTING -d 10.0.0.188 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.7:22
```

参数说明:

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="44%">参数</td><td width="55%">参数说明</td></tr><tr><td width="44%">-d 10.0.0.188</td><td width="55%">目标地址。</td></tr><tr><td width="44%">-j DNAT</td><td width="55%">目的地址改写。</td></tr></tbody></table>

### 1.7.3 IP 一对一映射

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100320756-725387577.png)

图 - DNAT 映射原理

实际需求：将 ip 地址 172.16.1.180 映射到 10.0.0.188

通过辅助 IP 配置：

```
ip addr add 10.0.0.81/24 dev eth0 label eth0:0   # 添加辅助IP
iptables  -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables  -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81
```

适合内网的机器访问 NAT 外网的 IP

```
iptables  -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 172.16.1.8
```

检查配置：

```
ping 10.0.0.81 -t
tcpdump|grep -i icmp（两台机器上分别监测）
telnet 10.0.0.81 22
```

### 1.7.4 映射多个外网 IP 上网

方法 1：

```
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
```

在三层交换机或路由器，划分 VLAN。

方法 2：

```
iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12
```

扩大子网，会增加广播风暴。

### 1.7.5 系统防火墙与网络内核优化标准参数

有关 iptables 的内核优化

调整内核参数文件 / etc/sysctl.conf

以下是我的生产环境的某个服务器的配置：

**解决 time-wait** **过多**的解决办法：

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_tw_buckets = 36000
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.ipv4.ip_local_port_range = 4000  65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
```

在 dmesg 中显示  ip_conntrack: table full, dropping packet. 的错误提示，什么原因？

如何解决？

#iptables 优化

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

1.8 自定义链的配置
-----------

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100524162-470889662.png)

图 - 自定义链原理

创建自定义链

```
#示例：在filter表中创建NOICMP自定义链
iptables -t filter -N NOICMP
```

引用自定义链

```
#示例：在INPUT链中引用刚才创建的自定义链
iptables -t filter -I INPUT -p icmp  -j NOICMP
```

重命名自定义链

```
#示例：将IN_WEB自定义链重命名为WEB
iptables -E NOICMP ACCEPTICMP
```

删除自定义链

删除自定义链需要满足两个条件

1、自定义链没有被引用

2、自定义链中没有任何规则

```
# 示例： 删除引用数为0且不包含任何规则的ACCEPTICMP链
iptables -X ACCEPTICMP
```

1.9 附录 - 防火墙状态机制
----------------

状态机制是 iptables 中较为特殊的一部分，这也是 iptables 和比较老的 ipchains 的一个比较大的区別之一，运行状态机制（连接跟踪）的防火墙称作带有状态机制的防火墙，以下简称为状态防火墙. 状态防火墙比非状态防火墙要安全，因为它允许我们编写更严密的规则。

在 iptables 上一共有四种状态，分别被称为 NEW、ESTABLISHED、INVALID、RELATED, 这四种状态对于 TCP、UDP、ICMP 三种协议均有效。下面，我们来分别阐述四种状态的特性.

**🔔 NEW**

meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions

NEW 说明这个包是我们看到的笛一个包。意思就是，这是 conntrack 横块看到的某个连接的第一个包，它即格被匹配了。比如，我们看到一个 SYN 包，是我们所留意的连接的第一 个包，就要匹配它。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100700365-1333317962.png)

****🔔** ESTABLISHED**

meaning that the packet is associated with a connection which has seen packets in both directions

ESTABLISHED 已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包. 处于 ESTABLISHED 状态的连接是非常容易理解的. 只要发送并接到应答，连接就是 ESTABLISHED 的了。一个连接要从 NEW 变为 ESTABLISHED, 只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防火墙转发的. ICMP 的错误和重定向等信息包也被看作是 ESTABLISHED, 只要它们是我们所发出的信息的应答。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100709240-1842733823.png)

**🔔** RELATED

meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

RELATED 是个比较麻烦的状态. 当一个连接和某个已处于 ESTABLISHED 状态的连接有关系时，就被认为是 RELATED 的了，换句话说，一个连接要想是 RELATED 的，首先要有一个 ESTABLISHED 的连接。这个 ESTABLISHED 连接再产生一个主连接之外的连接，这个新的连接就是 RELATED 的了，当然前提是 conntrack 模块要能理解 RELATED。ftp 是个很好的例子，FTP-data 连接就是和 FTP-control 有关联的，如果没有在 iptables 的策略中配 RELATED 状态，FTP-data 的连接是无法正确建立的，还有其他的例子，比如，通过 IRC 的 DCC 连接 #有了这个状态，ICMP 应答、FTP 传输、DCC 等才能穿过防火墙正常工作. 注意，大部分还有一些 UDP 协议都依赖这个机制。这些协议是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100716459-532997150.png)

****🔔** INVALID**

meaning that the packet is associated with no known connection

INVALID 说明数据包不能被识别属于哪个连接或没有任何状态. 有几个原因可以产生这种情况，比如，内存溢出，收到不知厲于哪个连接的 ICMP 错误信息。一般地，我们 DROP 这个状态的任何东西，因为防火墙认为这是不安全的东西

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100722240-904097578.png)

### 1.9.1 iptables 配置哲学

如何防止自己被关在门外？

01、去机房重启系统或者登陆服努器删除刚才的禁止规则。

02、让机房人员重启服芳器或者让机房人员拿用户密码登录进去。

03、通过服努器的远程管理卡管理（推荐）。

04、先写一个定时任务，每 5 分钟就停止防火墙。

05、测试环境测试好，写成脚本，批置执行

配置禁用 22 端口策略:

```
iptables -I INPUT -p tcp - dport 22 -j DROP
# 说明：利用-I参数，实现强行阻止访问22端口，将Jffc规则放在第一位
```

删除配置的禁止连接 22 端口的规则

```
iptables -t filter -D INPUT -p tcp —dport 22 -j DROP
iptables -F
/etc/init.d/iptables restart
```

1.1 企业中安全优化配置原则
---------------

尽可能不给服务器配置外网 ip , 可以通过代理转发或者通过防火墙映射. 并发不是特别大情况有外网 ip, 可以开启防火墙服务.

大并发的情况，不能开 iptables, 影响性能，利用硬件防火墙提升架构安全

### 1.1.1 生产中 iptables 的实际应用

主要应用方向

1、主机防火墙（filter 表的 INPUT 链）。

2、局域网共享上网 (nat 表的 POSTROUTING 链)。半个路由器，NAT 功能。

3、端口及 IP 映射 (nat 表的 PREROUTING 链)，硬防的 NAT 功能。

4、IP 一对一映射。

**_其他说明：_**

①iptables 是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。

**注：**iptables 主要工作在 OSI 七层的 2.3.4 层。七层的控制可以使用 squid 代理 + iptables。

②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开 iptables，影响性能，iptables 是要消耗 CPU 的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做 ids 的入侵检测。

③实际生产中尽可能不给服务器配置外网 IP。可以通过代理转发。比如，nagios 就不需要外网。

④并发不是很大的情况下，再外网的 IP 环境，开防火墙。

⑤第一次直接默认规则生成配置文件，以后就在配置文件中进行修改（编辑添加删除）。

⑥封掉 IP：根据 IP 地址和网络连接数进行封杀。（定时任务，定时封掉，判断，存在就不再进行二次封杀）

### 1.1.2 企业常用案例功能小结：

1）linux 主机防火墙，单机作为防火墙（表 filter）。

2）局域网共享上网（表 nat postrouting）。

3）外部地址映射为内部地址和端口（表 nat prerouting）

1.2 iptables 防火墙简介
------------------

Netfilter/Iptables(以下简称 Iptables) 是 unix/linux 自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具，它的功能十分强大，使用非常灵活，可以对流入和流出服务器的数据包进行很精细的控制. 特别是它可以在一台非常低的硬件配置服务器上跑的非常好（赛扬 500HZ cpu 64M 内存的惲况下部署网关防火墙），提供近 400 人的上网服务丝毫不逊色企业级专业路由器防火墙。 iptables + zebra + squid (企业常用网络开源产品）。

iptables 是 linux2.4 及 2.6 内核中集成的服务，其功能与安全性比其老一蜚 ipfwadm，ipchains 强大的多，iptables 主要工作在 0SI 七层的二、三、四层，如果重新编译内核，iptables 也可以支持 7 层控制（squid 代理 + iptables）。

### 1.2.1 iptables 名词和术语

不少刚接触到 iptables 的朋友可能会对 iptables 防火墙的相关名词搞的很晕，不知道其所云的具体意思，而是就最基本的能让大家容易快速理解和掌握的思路来描述：

容器：包含或者说属于的关系

### 1.2.2 什么是容器

谁不知道啊，容器就是装东西的，如（箱、包、坛）。没错，恭喜你答对了. 词典里解释说，容器就是用来包装或装载物品的贮存器（如箱、罐、坛）或者成形或柔软不成形的包覆材料.

在 iptables 里的呢，就是用来描述这种包含或者说属于的关系。

### 1.2.3 什么是 Netfilter/iptables ?

Netfilter 是表（tables）的容器，这样解释大家肯定还是晕。举个例子，如果把 Netfilter 看成是某个小区的一栋楼。那么表（tables) 就是楼里的其中的一套房子。这套房子 "表（tables)" 属于这栋 “Netfilter”。

### 1.2.4 什么是表（tables）？

表（tables）是链的容器，即所有的链（chains）都属于其对应的表（tables）. 如上，如果把 Netfilter 看成是某个小区的一栋楼. 那么表（tables）就是楼里的其中的一套房子。

### 1.2.5 什么是链（chains）？

链（chains）是规则（Policys）的容器。接上，如果把表（tables）当作有一套房子，那么链（chains）就可以说是房子里的家具（柜子等）。

### 1.2.6 什么是规则（Policy）？

规则（Policy）就比较容易理解了，就是 iptables 系列过滤信息的规范和具体方法条款了. 可以理解为柜子如何增加并摆放柜子东西等。

基本术语如下表格所示：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="19%">Netfilter</td><td valign="top" width="23%">表（tables）</td><td valign="top" width="23%">链（chains）</td><td valign="top" width="33%">规则（Policy）</td></tr><tr><td valign="top" width="19%">一栋楼</td><td valign="top" width="23%">按里的房子</td><td valign="top" width="23%">房子里的柜子</td><td valign="top" width="33%">柜子里衣服，摆放规则</td></tr></tbody></table>

1.3 iptables 表和链
----------------

描述完 iptables 术语后，相信大家对 iptables 的表和链有了初步的了解了，默认情况下，iptables 根据功能和表的定义划分包含三个表，filter,nat,mangle, 其每个表又包含不同的操作链（chains )。 实际 iptables 包含 4 张表和五个链, 巧主要记住两张表即可 filter 和 nat 表即可。

下面表格展示了表和链的对应关系。

**四个表：**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="18%">表（tables）</td><td colspan="2" width="81%">链（chains）</td></tr><tr><td rowspan="4" width="18%">Filter</td><td colspan="2" width="81%">这是默认表，实现防火墙数据过滤功能。</td></tr><tr><td width="18%">INPUT</td><td width="62%">对于指定到本地套接字的包，即到达本地防火墙服务器的数据包。</td></tr><tr><td width="18%">FORWARD</td><td width="62%">路由穿过的数据包，即经过本地防火墙服务器的数据包。</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包</td></tr><tr><td rowspan="4" width="18%">NAT</td><td colspan="2" width="81%">当遇到新创建的数据包连接时将参考这个表</td></tr><tr><td width="18%">FREROUTING</td><td width="62%">一进来就对数据包进行改变</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包在路由前进行改变</td></tr><tr><td width="18%">POSTROUTING</td><td width="62%">在数据包即将出去时改变数据包信息</td></tr><tr><td rowspan="6" width="18%">Mangle</td><td colspan="2" width="81%">这个表专门用于改变数据包</td></tr><tr><td width="18%">INPUT</td><td width="62%">进入到设备本身的包</td></tr><tr><td width="18%">FORWARD</td><td width="62%">对路由后的数据包信息进行修改</td></tr><tr><td width="18%">FREROUTING</td><td width="62%">在路由之前更改传入的包</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">本地创建的数据包在路由之前改变</td></tr><tr><td width="18%">POSTROUTING</td><td width="62%">在数据包即将离开时更改数据包信息</td></tr><tr><td rowspan="3" width="18%">raw</td><td colspan="2" width="81%">此表用处较少，可以忽略不计。This&nbsp; table is used mainly for configuring exemptions from connection tracking in combination with the&nbsp; NOTRACK&nbsp; target.</td></tr><tr><td width="18%">PREROUTING</td><td width="62%">for packets arriving via any network interface</td></tr><tr><td width="18%">OUTPUT</td><td width="62%">for packets&nbsp; generated by local processes</td></tr></tbody></table>

**五个链**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td rowspan="2" width="18%">表（tables）</td><td colspan="5" width="81%">链（chains）</td></tr><tr><td width="15%">INPUT</td><td width="16%">FORWARD</td><td width="15%">OUTPUT</td><td width="16%">PREROUTING</td><td width="17%">POSTROUTING</td></tr><tr><td width="18%">Filter</td><td width="15%">√</td><td width="16%">√</td><td width="15%">√</td><td width="16%">×</td><td width="17%">×</td></tr><tr><td width="18%">NAT</td><td width="15%">×</td><td width="16%">×</td><td width="15%">√</td><td width="16%">√</td><td width="17%">√</td></tr><tr><td width="18%">Managle</td><td width="15%">√</td><td width="16%">√</td><td width="15%">√</td><td width="16%">√</td><td width="17%">√</td></tr><tr><td width="18%">raw</td><td width="15%">×</td><td width="16%">×</td><td width="15%">√</td><td width="16%">√</td><td width="17%">×</td></tr><tr><td colspan="6" width="100%">说明：√&nbsp;表示有，×&nbsp;表示无。</td></tr></tbody></table>

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095127803-1524170528.png)

图 - iptables 中的表与链的结构关系

### 1.3.1 filter 表的详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">filter 表</td><td valign="top" width="79%">主要和主机自身相关，真正负责主机防火墙功能的（过滤流入流出主机的数据包）filter 表是 iptables 默认使用的表，这个表定义了三个链（chains）企业工作场景: 主机防火墙</td></tr><tr><td width="20%">INPUT</td><td valign="top" width="79%">负责过滤所有目标是本机地址的数据包通俗来说：就是过滤进入主机的数据包</td></tr><tr><td width="20%">FORWARD</td><td valign="top" width="79%">负责转发流经主机的数据包。起到转发的作用，和 NAT 关系很大。LVS NAT&nbsp;模式，net.ipv4.ip_forward=0</td></tr><tr><td width="20%">OUTPUT</td><td valign="top" width="79%">处理所有源地址是本机地址的数据包通俗的讲：就是处理从主机发出的数据包</td></tr></tbody></table>

对于 filter 表的控制是我们实现本机防火墙功能的重要手段，特别是 INPUT 链的控制。

### 1.3.2 NAT 表信息详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">NAT 表</td><td width="79%">负责网络地址转换的，即来源与目的的 IP 地址和 port 的转换。应用：和主机本身无关，一般用于局域网共享上网或者特殊的端口转换相关.工作场景：1、用于企业路由 (zebra) 或网关(iptables), 共享上网(POSTROUTING)2、做内部外部 IP 地址一对一映射 (dmz), 硬件防火墙映射 IP 到内部服务器，FTP 服务 (PREROUTING)3、WEB, 单个端口的映射，直接映射 80 端口 (PREROUTING)这个表定义了 3 个链，nat 功能相当于网络的 acl 控制。和网络交换机 acl 类似。</td></tr><tr><td width="20%">OUTPUT</td><td width="79%">和主机放出去的数据包有关，改变主机发出数据包的目的地址。</td></tr><tr><td width="20%">PREROUTING</td><td width="79%">在数据包到达防火墙时，进行路由判断之前执行的规则，作用是改变数据包的目的地址、目的端口等就是收信时，根据规则重写收件人的地址例如：把公网 IP：&nbsp;xxx.xxx.xxx.xxx&nbsp;映射到局域网的&nbsp;x.x.x.x&nbsp;服务器如果是 web 服务，可以把 80 转换为局域网的服务器 9000 端口上。</td></tr><tr><td width="20%">POSTROUTING</td><td width="79%">在数据包离开防火墙时进行路由判断之后执行的规则，作用改变数据包的源地址，源端口等。写好收件人的地址，要让家人回信时能够有地址可回。例如。默认笔记本和虚拟机都是局域网地址，在出网的时候被路由器将源地址改为公网地址。生产应用：局域网共享上网。</td></tr></tbody></table>

### 1.3.3 Mangle 表信息详细介绍

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="20%">Mangle 表</td><td width="79%">主要负责修改数据包中特殊的路由标记，如 TTL,TOS,MARK 等，这个表定义了 5 个链 (chains).</td></tr></tbody></table>

由于这个表与特殊标记相关，一般倩况下，我们用不到这个 mangle 表。

这里就不做详细介绍了。

1.4 iptables 工作流程
-----------------

### 1.4.1 工作流程说明

前面介绍已经提到，iptables 是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

iptables 是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

数据包的流向是从左向右的。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095142834-207194553.png)

图 - iptables 包处理流程图

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095149740-1977616339.png)

图 - iptables 包处理流程图 (简化)

**_抽象说明：_**上图可以用北京地铁 1,2 号线来描述：

1 号线：主要是 NAT 功能

企业案例：

1) 局域网上网共享（路由和网关），使用 NAT 的 POSTROUTING 链。

2) 外部 IP 和端口映射为内部 IP 和端口（DMZ 功能），使用 NAT 的 PREROUTING 链

2 号线：主要是 FILTER 功能，即防火墙功能 FILTER INPUT FORWARD

企业案例：

主要应用就是主机服务器防火墙，使用 FILTER 的 INPUT 链

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095207678-1251478781.png)

图 - iptables 数据包转发流程图

### 1.4.2 iptables 工作流程小结

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。

3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

1.5 iptables 操作
---------------

系统环境说明

```
[root@clsn ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)
[root@clsn ~]# hostname -I
10.0.0.188 172.16.1.188
```

软件版本

```
[root@clsn ~]# iptables -V
iptables v1.4.7
```

### 1.5.1 iptables 参数说明

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="32%">参数</td><td colspan="3" width="67%">参数说明</td></tr><tr><td colspan="4" width="100%">显示相关参数</td></tr><tr><td width="32%">-n/--numeric</td><td colspan="3" width="67%">以数字的方式显示地址或端口信息</td></tr><tr><td width="32%">-L/ --list</td><td colspan="3" width="67%">列出一个链或所有链中的规则信息</td></tr><tr><td width="32%">--list-rules/-S</td><td colspan="3" width="67%">Print the rules in a chain or all chains</td></tr><tr><td width="32%">--line-number</td><td colspan="3" width="67%">当列出规则信息时，打印规则行号</td></tr><tr><td width="32%">-v</td><td colspan="3" width="67%">显示详细信息，可以叠加</td></tr><tr><td width="32%">-h</td><td colspan="3" width="67%">显示帮助信息</td></tr><tr><td colspan="4" width="100%">初始化相关参数</td></tr><tr><td width="32%">iptables -F</td><td colspan="3" width="67%">清除所有规则，不会处理默认的规则</td></tr><tr><td width="32%">iptables -X</td><td colspan="3" width="67%">删除用户自定义的链</td></tr><tr><td width="32%">iptables -Z</td><td colspan="3" width="67%">链的计数器清零（数据包计数器与数据包字节计数器）</td></tr><tr><td colspan="4" width="100%">配置常用参数</td></tr><tr><td width="32%">-t&nbsp;表名称</td><td colspan="3" width="67%">指定配置哪个表，指定配置表名称。</td></tr><tr><td width="32%">--append/-A&nbsp;链名称</td><td colspan="3" width="67%">附加或追加上相应规则策略，到指定链 (链名称必须大写)，默认将配置的规则插入到最后一条。</td></tr><tr><td width="32%">--check/-C</td><td colspan="3" width="67%">Check for the existence of a rule</td></tr><tr><td width="32%">--insert/-I&nbsp;链名称</td><td colspan="3" width="67%">插入相应规则策略，到指定链上，默认将配置的规则插入到第一条（可以根据规则序号插入到指定位置）-- 封 IP 地址使用。</td></tr><tr><td width="32%">--delete/-D&nbsp;链名称</td><td colspan="3" width="67%">删除指定的规则 (可以根据规则序号进行删除)</td></tr><tr><td width="32%">--replace/-R</td><td colspan="3" width="67%">Replace rule rulenum (1 = first) in chain</td></tr><tr><td width="32%">-P(大写) 链名称</td><td colspan="3" width="67%">改变链上的最终默认规则策略</td></tr><tr><td width="32%">--new/-N</td><td colspan="3" width="67%">创建新的用户定义链</td></tr><tr><td width="32%">-p&nbsp;协议名称[!]&nbsp;--proto</td><td colspan="3" width="67%">指定规则的协议名称&nbsp;all tcp udp icmp</td></tr><tr><td width="32%">--dport</td><td colspan="3" width="67%">指定匹配的目标端口信息</td></tr><tr><td width="32%">--sport</td><td colspan="3" width="67%">指定匹配的源端口信息</td></tr><tr><td rowspan="7" width="32%">-j&nbsp;动作</td><td colspan="3" width="67%">匹配数据包后的动作&nbsp;&nbsp;&nbsp;&nbsp;</td></tr><tr><td colspan="2" width="20%">ACCEPT</td><td width="47%">允许</td></tr><tr><td colspan="2" width="20%">DROP</td><td width="47%">丢弃 (没有响应)</td></tr><tr><td colspan="2" width="20%">REJECT</td><td width="47%">拒绝 (回应请求者明确的拒绝)</td></tr><tr><td colspan="2" width="20%">MASQUERADE</td><td width="47%">伪装上网时使用</td></tr><tr><td colspan="2" width="20%">SNAT</td><td width="47%">共享地址上网</td></tr><tr><td colspan="2" width="20%">DNAT</td><td width="47%">目的地址改写</td></tr><tr><td width="32%">-i[!]&nbsp;--in-interface</td><td colspan="3" width="67%">在 INPUT 链配置规则中，指定从哪一个网卡接口进入的流量（只能配置在 INPUT 链上）</td></tr><tr><td width="32%">-o[!]&nbsp;--out-interface</td><td colspan="3" width="67%">在 OUTPUT 链配置规则中，指定从哪一个网接口出去的流量（只能配置在 OUTPUT 链上）</td></tr><tr><td valign="top" width="32%">-s&nbsp;[!] --source&nbsp;</td><td colspan="3" width="67%">指定源 IP 地址或源网段信息</td></tr><tr><td valign="top" width="32%">-d[!]&nbsp;--destination</td><td colspan="3" width="67%">指定目标 IP 地址或目标网段信息</td></tr><tr><td colspan="4" width="100%">扩展参数</td></tr><tr><td rowspan="4" width="32%">-m&nbsp;模块</td><td colspan="3" width="67%">表示增加扩展，匹配功能扩展匹配（可以加载扩展参数）</td></tr><tr><td width="18%">multiport</td><td colspan="2" width="48%">实现不连续多端口扩展匹配</td></tr><tr><td width="18%">icmp</td><td colspan="2" width="48%">使用 icmp 的扩展</td></tr><tr><td width="18%">state</td><td colspan="2" width="48%">状态模块扩展</td></tr><tr><td width="32%">--icmp-type</td><td colspan="3" width="67%">只有类型 8 是真正会影响 ping，或者也可以采用 any；了解很多 icmp 类型 iptables -p icmp -h</td></tr><tr><td width="32%">--limit n/{second/minute/hour}</td><td colspan="3" width="67%">指定时间内的请求速率”n” 为速率，后面为时间分别为：秒&nbsp;分&nbsp;时</td></tr><tr><td width="32%">--limit-burst [n]</td><td colspan="3" width="67%">在同一时间内允许通过的请求”n” 为数字，不指定默认为 5</td></tr><tr><td width="32%">--exact/-x</td><td colspan="3" width="67%">扩展数字（显示精确数值）</td></tr><tr><td width="282">&nbsp;</td><td width="129">&nbsp;</td><td width="9">&nbsp;</td><td width="287">&nbsp;</td></tr></tbody></table>

**!** **的使用实例**

```
[root@clsn ~]# iptables ! -V
Not 1.4.7 ;-)
[root@clsn ~]# iptables  -V
iptables v1.4.7
```

注意：在 iptables 中所有链名必须大写，表明必须小写，动作必须大写，匹配必须小写。

### 1.5.2 配置前准备

在配置防火墙首先要其中防火墙

```
[root@clsn ~]# /etc/init.d/iptables start 
iptables: Applying firewall rules:                         [  OK  ]
```

清除 iptables 所有规则

```
[root@clsn ~]# iptables -Z
[root@clsn ~]# iptables -X
[root@clsn ~]# iptables -F
```

查看 iptables 的规则

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

查看其他的表配置（-t 参数）

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# iptables -nL -t raw
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

查看配置规则的顺序号

```
[root@clsn ~]# iptables -nvL --number-list
--line-number #  显示规则的序号
```

1.6 iptables filter 表配置实例
-------------------------

### 1.6.1 基础配置

**配置实例一：**配置 22/ssh 端口访问控制规则

```
iptables -A INPUT -p tcp --dport 22 -j DROP     # 禁止所有人访问22端口
iptables -I INPUT -p tcp --dport 22 -j ACCEPT   # 恢复连接方法
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT # 通过插入指定行号信息，指定将规则插入到第几行
iptables -D INPUT -p tcp --dport 22 -j ACCEPT   # 删除指定规则
iptables -D INPUT 2                             # 根据规则行号，删除相应的规则
```

只允许 10.0.0.1 的 ip 通过 ssh 连接这台服务器

```
iptables -I INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT 
```

配置实例二：禁止网段连入（禁止 172.16.1.0 网段访问 172.16.1.188）

```
iptables -A INPUT  -s 172.16.1.0/24 -d 172.16.1.188  -j DROP
```

配置实例三：禁止某个 172.16.1.0 网段访问服务器主机的 22 端口

```
iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.188  -p tcp --dport 22 -j DROP
```

方向说明：

```
# 在入方向控制
iptables -I INPUT -i eth0  -p tcp --dport 22 -j ACCEPT
# 在出方向控制
iptables -I OUTPUT -o eth0  -p tcp --sport 22 -j DROP
```

### 1.6.2 配置实例四：除 10.0.0.0 网段可以进行连接服务器主机意外，其余网段都禁止

_第一种方式：_

```
iptables -A INPUT -s 10.0.0.0/24 -d 172.16.1.8  -j ACCEPT
```

修改默认规则，将默认规则改为拒绝

_第二种方式：_

！  --- 表示对规则信息进行取反

```
iptables -A INPUT ! -s 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos6用法
iptables -A INPUT -s ! 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos5用法
```

说明：只有 iptables 帮助手册中指定的参数可以用取反符号（iptables --help）

### 1.6.3 配置实例五：测试匹配列举端口范围。

```
iptables -A INPUT -p tcp --dport 22:80 -j DROP                 # 设置连续多端口控制策略
iptables -A INPUT -p tcp -m multiport  --dport 22,80 -j DROP   # 设置不连续多端口控制策略
```

-m 参数表示增加扩展匹配功能，multiport 实现不连续多端口扩展匹配

### 1.6.4 配置实例六：匹配 ICMP 类型

禁止 ping 策略原则

iptables 服务器是 ping 命令发起者或是接受者

**发起者：**

input 链： 禁止 icmp-type 0

```
iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j DROP
```

output 链： 禁止 icmp-type 8

```
iptables -A OUTPUT -o eth0 -p icmp --icmp-type 8 -j DROP
```

**接受者：**

input 链： 禁止 icmp-type 8

```
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP
```

output 链： 禁止 icmp-type 0

```
iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j DROP
```

简化配置：

```
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j DROP  #禁止所有类型的icmp
```

指定类型禁止 icmp

```
iptables -A INPUT -p icmp --icmp-type 8
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT
```

说明：只有类型 8 是真正会影响 ping，或者也可以采用 any；了解很多 icmp 类型 iptables -p icmp -h

**ICMP** **类型的说明**

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="11%">TYPE</td><td valign="top" width="11%">CODE</td><td valign="top" width="56%">Description</td><td valign="top" width="11%">Query</td><td valign="top" width="11%">Error</td></tr><tr><td valign="top" width="11%">0</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Echo Reply——回显应答（Ping 应答）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Network Unreachable——网络不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Host Unreachable——主机不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">2</td><td valign="top" width="56%">Protocol Unreachable——协议不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">3</td><td valign="top" width="56%">Port Unreachable——端口不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">4</td><td valign="top" width="56%">Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">5</td><td valign="top" width="56%">Source routing failed——源站选路失败</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">6</td><td valign="top" width="56%">Destination network unknown——目的网络未知</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">7</td><td valign="top" width="56%">Destination host unknown——目的主机未知</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">8</td><td valign="top" width="56%">Source host isolated (obsolete)——源主机被隔离（作废不用）</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">9</td><td valign="top" width="56%">Destination network administratively prohibited——目的网络被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">10</td><td valign="top" width="56%">Destination host administratively prohibited——目的主机被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">11</td><td valign="top" width="56%">Network unreachable for TOS——由于服务类型 TOS，网络不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">12</td><td valign="top" width="56%">Host unreachable for TOS——由于服务类型 TOS，主机不可达</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">13</td><td valign="top" width="56%">Communication administratively prohibited by filtering——由于过滤，通信被强制禁止</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">14</td><td valign="top" width="56%">Host precedence violation——主机越权</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">3</td><td valign="top" width="11%">15</td><td valign="top" width="56%">Precedence cutoff in effect——优先中止生效</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">4</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Source quench——源端被关闭（基本流控制）</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Redirect for network——对网络重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Redirect for host——对主机重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">2</td><td valign="top" width="56%">Redirect for TOS and network——对服务类型和网络重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">5</td><td valign="top" width="11%">3</td><td valign="top" width="56%">Redirect for TOS and host——对服务类型和主机重定向</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">8</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Echo request——回显请求（Ping 请求）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">9</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Router advertisement——路由器通告</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">10</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Route solicitation——路由器请求</td><td valign="top" width="11%"></td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">11</td><td valign="top" width="11%">0</td><td valign="top" width="56%">TTL equals 0 during transit——传输期间生存时间为 0</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">11</td><td valign="top" width="11%">1</td><td valign="top" width="56%">TTL equals 0 during reassembly——在数据报组装期间生存时间为 0</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">12</td><td valign="top" width="11%">0</td><td valign="top" width="56%">IP header bad (catchall error)——坏的 IP 首部（包括各种差错）</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">12</td><td valign="top" width="11%">1</td><td valign="top" width="56%">Required options missing——缺少必需的选项</td><td valign="top" width="11%"></td><td valign="top" width="11%">x</td></tr><tr><td valign="top" width="11%">13</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Timestamp request (obsolete)——时间戳请求（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">14</td><td valign="top" width="11%"></td><td valign="top" width="56%">Timestamp reply (obsolete)——时间戳应答（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">15</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Information request (obsolete)——信息请求（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">16</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Information reply (obsolete)——信息应答（作废不用）</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">17</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Address mask request——地址掩码请求</td><td valign="top" width="11%">x</td><td valign="top" width="11%"></td></tr><tr><td valign="top" width="11%">18</td><td valign="top" width="11%">0</td><td valign="top" width="56%">Address mask reply——地址掩码应答</td><td valign="top" width="11%">&nbsp;</td><td valign="top" width="11%">&nbsp;</td></tr></tbody></table>

数据来源：http://www.cnitblog.com/yang55xiaoguang/articles/59581.html

### 1.6.5 防火墙状态机制配置

状态集简单说明:

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="50%">状态集</td><td valign="top" width="50%">说明</td></tr><tr><td valign="top" width="50%">NEW</td><td valign="top" width="50%">表示新建立连接的数据包状态</td></tr><tr><td valign="top" width="50%">ESTABLISHED</td><td valign="top" width="50%">表示新建立连接数据包发送之后，回复响应的数据包状态</td></tr><tr><td valign="top" width="50%">RELATED</td><td valign="top" width="50%">表示借助已经建立的链路，发送新的连接数据包</td></tr><tr><td valign="top" width="50%">INVALID</td><td valign="top" width="50%">无效无法识别的数据包</td></tr></tbody></table>

注意：允许关联的状态包通过（web 服务不要使用 FTP 服务）

防火墙服务配置在 FTP 服务器上时，需要配置以下策略

```
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

实现发现 sent_syn 状态

```
iptables -A INPUT -m state --state NEW -j DROP    # 防火墙所连接客户端上配置
```

实现发现 sent_rcvd 状态

```
iptables -I INPUT -i eth0 -s 10.0.0.201 -m state --state ESTABLISHED -j DROP  # 防护墙上配置的
```

### 1.6.6 使用 iptables 实现限速功能

limit 是 iptables 的一个匹配模块，用它结合 iptables 的其它命令可以实现限速的功能。

不过首先必须明确，limit 本身只是一个 “匹配” 模块。我们知道，iptables 的基本原理是“匹配 -- 处理”，limit 在这个工作过程中只能起到匹配的作用，它本身是无法对网络数据包进行任何处理的。我看到网上有些 limit 的例子里面说只 用一条包含 limit 匹配规则的 iptables 语句就可以实现限速，那是错误的。

实际上，利用 imit 来限速需要包括两个步骤:

1. 对符合 limit 匹配规则包放行

2. 丢弃 / 拒绝未放行的包

示例：

```
iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT 
iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -j DROP
```

语句含义：当来自 10.0.0.7 的 ping 包超过 5 个时进行限速，限制为每 10s 一个。

参数说明：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="44%">参数</td><td width="55%">参数含义</td></tr><tr><td width="44%">--limit n/{second/minute/hour}</td><td width="55%">指定时间内的请求速率”n” 为速率，后面为时间分别为：秒&nbsp;分&nbsp;时</td></tr><tr><td width="44%">--limit-burst [n]</td><td width="55%">在同一时间内允许通过的请求”n” 为数字，不指定默认为 5</td></tr></tbody></table>

**limit** **模块具体是如何工作的。？**

limit 的匹配是基于令牌桶 (Token bucket）模型的。

令牌桶是一种网络通讯中常见的缓冲区工作原理，它有两个重要的参数，令牌桶容量 n 和令牌产生速率 s。

我们可以把令牌当成是门票，而令牌桶则是负责制作和发放门票的管理员，它手里最多有 n 张令牌。一开始，管理员开始手里有 n 张令牌。每当一个数据包到达后，管理员就看看手里是否还有可用的令牌。如果有，就把令牌发给这个数据包，limit 就告诉 iptables，这个数据包被匹配了。而当管理员把手上所有的令牌都发完了，再来的数据包就拿不到令牌了。这时，limit 模块就告诉 iptables，这个数据包不能被匹配。除了发放令牌之外，只要令牌桶中的令牌数量少于 n，它就会以速率 s 来产生新的令牌，直到令牌数量到达 n 为止。

通过令牌桶机制，即可以有效的控制单位时间内通过（匹配）的数据包数量，又可以容许短时间内突发的大量数据包的通过（只要数据包数量不超过令牌桶 n）。

limit 模块提供了两个参数 --limit 和 --limit-burst，分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外，limit 匹配的另外一个重要概念是匹配项。在 limit 中，每个匹配项拥有一个单独的令牌桶，执行独立的匹配计算。

### 1.6.7 企业级防火墙配置

清除防火墙规则

```
[root@clsn ~]# iptables -F
[root@clsn ~]# iptables -X
[root@clsn ~]# iptables -Z
```

修改默认规则为拒绝（修改前先放行 22 端口，保证自己能够连上主机）

```
[root@clsn ~]# iptables -A INPUT -p tcp --dport  22 -j ACCEPT
[root@clsn ~]# iptables -P INPUT DROP 
[root@clsn ~]# iptables -P FORWARD DROP
```

放行指定的端口

```
[root@clsn ~]# iptables -A INPUT -i lo -j ACCEPT
[root@clsn ~]# iptables -A INPUT  -p tcp  -m multiport --dport  80,443 -j ACCEPT
[root@clsn ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
[root@clsn ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
```

**保存 iptables** **配置**

01. 第一种方式

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@clsn ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@clsn ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Apr  4 12:24:43 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [159:10664]
-A INPUT -s 10.0.0.0/24 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT 
-A INPUT -s 172.16.1.0/24 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Tue Apr  4 12:24:43 2017
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

02. 第二种方式

```
iptables-save >/etc/sysconfig/iptables
```

1.7 iptables nat 表配置实例
----------------------

### 1.7.1 iptables 实现共享上网

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118095907193-681615791.png)

图 - SNAT 配置原理图

第一个里程碑：配置内网服务器，设置网关地址

```
/etc/init.d/iptables stop      # 内网服务器停止防火墙服务
ifdown eth0                    # 模拟关闭内网服务器外网网卡
setup                          # 修改内网网卡网关和DNS地址信息
```

也可以使用命令添加默认网关

```
route add default gw 172.16.1.188
```

查看默认的路由信息

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
[root@test ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
0.0.0.0         172.16.1.188    0.0.0.0         UG    0      0        0 eth1
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

说明：内网服务器网关地址指定为共享上网服务器内网网卡地址

第二个里程碑：配置共享上网服务器，开启共享上网服务器路由转发功能

```
[root@clsn ~]# vim /etc/sysctl.conf 
[root@clsn ~]# sysctl -p
~~~
net.ipv4.ip_forward = 1
~~~
```

第三个里程碑：配置共享上网服务器，实现内网访问外网的 NAT 映射

```
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.188
```

参数详解：

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="37%">参数</td><td width="62%">参数说明</td></tr><tr><td width="37%">-s 172.16.1.0/24</td><td width="62%">指定将哪些内网网段进行映射转换</td></tr><tr><td width="37%">-o eth0</td><td width="62%">指定在共享上网哪个网卡接口上做 NAT 地址转换</td></tr><tr><td width="37%">-j SNAT</td><td width="62%">将源地址进行转换变更</td></tr><tr><td width="37%">-j DNAT</td><td width="62%">将目标地址进行转换变更</td></tr><tr><td width="37%">--to-source ip 地址</td><td width="62%">将源地址映射为什么 IP 地址</td></tr><tr><td width="37%">--to-destination ip 地址</td><td width="62%">将目标地址映射为什么 IP 地址</td></tr></tbody></table>

当 filter 表中的 forward 默认为 drop 策略时，如何配置 forward 链？

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100154553-999721017.png)

图 - forward 工作原理

**配置示例**

```
iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT  # 可以不进行配置
iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT   # 可以不进行配置
```

当外网 ip 不固定时如何配置？

```
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE   # 伪装共享上网
```

说明：在企业中如何没有固定外网 IP 地址，可以采取以上伪装映射的方式进行共享上网

**配置映射方法小结**

01. 指定哪些网段需要进行映射     -s 172.16.1.0/24

02. 指定在哪做映射               -o eth0

03. 用什么方法做映射             -j SNAT/DNAT MASQUERADE

04. 映射成什么地址               --to-source  ip 地址 /--to-destination ip 地址

### 1.7.2 iptables 实现外网 IP 的端口映射到内网 IP 的端口

实际需求：将网关的 IP 和 9000 端口映射到内网服务器的 22 端口

端口映射 10.0.0.188:9000 -->172.16.1.180:22

配置实例：

```
iptables -t nat -A PREROUTING -d 10.0.0.188 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.7:22
```

参数说明:

<table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td width="44%">参数</td><td width="55%">参数说明</td></tr><tr><td width="44%">-d 10.0.0.188</td><td width="55%">目标地址。</td></tr><tr><td width="44%">-j DNAT</td><td width="55%">目的地址改写。</td></tr></tbody></table>

### 1.7.3 IP 一对一映射

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100320756-725387577.png)

图 - DNAT 映射原理

实际需求：将 ip 地址 172.16.1.180 映射到 10.0.0.188

通过辅助 IP 配置：

```
ip addr add 10.0.0.81/24 dev eth0 label eth0:0   # 添加辅助IP
iptables  -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables  -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81
```

适合内网的机器访问 NAT 外网的 IP

```
iptables  -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 172.16.1.8
```

检查配置：

```
ping 10.0.0.81 -t
tcpdump|grep -i icmp（两台机器上分别监测）
telnet 10.0.0.81 22
```

### 1.7.4 映射多个外网 IP 上网

方法 1：

```
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
```

在三层交换机或路由器，划分 VLAN。

方法 2：

```
iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12
```

扩大子网，会增加广播风暴。

### 1.7.5 系统防火墙与网络内核优化标准参数

有关 iptables 的内核优化

调整内核参数文件 / etc/sysctl.conf

以下是我的生产环境的某个服务器的配置：

**解决 time-wait** **过多**的解决办法：

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_tw_buckets = 36000
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.ipv4.ip_local_port_range = 4000  65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
```

在 dmesg 中显示  ip_conntrack: table full, dropping packet. 的错误提示，什么原因？

如何解决？

#iptables 优化

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

```
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
```

[

![](http://common.cnblogs.com/images/copycode.gif)

](javascript:void(0); "复制代码")

1.8 自定义链的配置
-----------

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100524162-470889662.png)

图 - 自定义链原理

创建自定义链

```
#示例：在filter表中创建NOICMP自定义链
iptables -t filter -N NOICMP
```

引用自定义链

```
#示例：在INPUT链中引用刚才创建的自定义链
iptables -t filter -I INPUT -p icmp  -j NOICMP
```

重命名自定义链

```
#示例：将IN_WEB自定义链重命名为WEB
iptables -E NOICMP ACCEPTICMP
```

删除自定义链

删除自定义链需要满足两个条件

1、自定义链没有被引用

2、自定义链中没有任何规则

```
# 示例： 删除引用数为0且不包含任何规则的ACCEPTICMP链
iptables -X ACCEPTICMP
```

1.9 附录 - 防火墙状态机制
----------------

状态机制是 iptables 中较为特殊的一部分，这也是 iptables 和比较老的 ipchains 的一个比较大的区別之一，运行状态机制（连接跟踪）的防火墙称作带有状态机制的防火墙，以下简称为状态防火墙. 状态防火墙比非状态防火墙要安全，因为它允许我们编写更严密的规则。

在 iptables 上一共有四种状态，分别被称为 NEW、ESTABLISHED、INVALID、RELATED, 这四种状态对于 TCP、UDP、ICMP 三种协议均有效。下面，我们来分别阐述四种状态的特性.

**🔔 NEW**

meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions

NEW 说明这个包是我们看到的笛一个包。意思就是，这是 conntrack 横块看到的某个连接的第一个包，它即格被匹配了。比如，我们看到一个 SYN 包，是我们所留意的连接的第一 个包，就要匹配它。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100700365-1333317962.png)

****🔔** ESTABLISHED**

meaning that the packet is associated with a connection which has seen packets in both directions

ESTABLISHED 已经注意到两个方向上的数据传输，而且会继续匹配这个连接的包. 处于 ESTABLISHED 状态的连接是非常容易理解的. 只要发送并接到应答，连接就是 ESTABLISHED 的了。一个连接要从 NEW 变为 ESTABLISHED, 只需要接到应答包即可，不管这个包是发往防火墙的，还是要由防火墙转发的. ICMP 的错误和重定向等信息包也被看作是 ESTABLISHED, 只要它们是我们所发出的信息的应答。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100709240-1842733823.png)

**🔔** RELATED

meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

RELATED 是个比较麻烦的状态. 当一个连接和某个已处于 ESTABLISHED 状态的连接有关系时，就被认为是 RELATED 的了，换句话说，一个连接要想是 RELATED 的，首先要有一个 ESTABLISHED 的连接。这个 ESTABLISHED 连接再产生一个主连接之外的连接，这个新的连接就是 RELATED 的了，当然前提是 conntrack 模块要能理解 RELATED。ftp 是个很好的例子，FTP-data 连接就是和 FTP-control 有关联的，如果没有在 iptables 的策略中配 RELATED 状态，FTP-data 的连接是无法正确建立的，还有其他的例子，比如，通过 IRC 的 DCC 连接 #有了这个状态，ICMP 应答、FTP 传输、DCC 等才能穿过防火墙正常工作. 注意，大部分还有一些 UDP 协议都依赖这个机制。这些协议是很复杂的，它们把连接信息放在数据包里，并且要求这些信息能被正确理解。

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100716459-532997150.png)

****🔔** INVALID**

meaning that the packet is associated with no known connection

INVALID 说明数据包不能被识别属于哪个连接或没有任何状态. 有几个原因可以产生这种情况，比如，内存溢出，收到不知厲于哪个连接的 ICMP 错误信息。一般地，我们 DROP 这个状态的任何东西，因为防火墙认为这是不安全的东西

![](https://images2017.cnblogs.com/blog/1190037/201801/1190037-20180118100722240-904097578.png)

### 1.9.1 iptables 配置哲学

如何防止自己被关在门外？

01、去机房重启系统或者登陆服努器删除刚才的禁止规则。

02、让机房人员重启服芳器或者让机房人员拿用户密码登录进去。

03、通过服努器的远程管理卡管理（推荐）。

04、先写一个定时任务，每 5 分钟就停止防火墙。

05、测试环境测试好，写成脚本，批置执行

配置禁用 22 端口策略:

```
iptables -I INPUT -p tcp - dport 22 -j DROP
# 说明：利用-I参数，实现强行阻止访问22端口，将Jffc规则放在第一位
```

删除配置的禁止连接 22 端口的规则

```
iptables -t filter -D INPUT -p tcp —dport 22 -j DROP
iptables -F
/etc/init.d/iptables restart
```