iptables实现防火墙技术实践

iptables只是一个内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。
netfilter提供了一系列的“表(tables)”，每个表由若干“链(chains)”组成，而每条链中有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，链又是规则的容器。
netfilter系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据预先定义的策略(policy)来处理该数据包。
数据包在filter表中的流程：有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：
（1） 如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。
（2） 如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。
（3） 如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。
当我们在使用iptables NAT功能的时候，我们所使用的表不再是“filter”表，而是“nat”表，所以我们必须使用“-t nat”选项来显式地指明。因为系统缺省的表是“filter”，所以在使用filter功能时，我们没有必要显式的指明“-t filter”。
同“filter”表一样，nat表也有三条缺省的链，这三条链也是规则的容器，它们分别是：
（1） PREROUTING:可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的IP地址，为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。
（2） POSTROUTING:可以在这里定义进行源NAT的规则，在路由器进行路由之后才进行源NAT。
（3） OUTPUT:定义对本地产生的数据包的目的NAT规则。
iptables常用操作语法
功能    命令    语法    说明
添加规则    -A    iptables -A INPUT -p tcp -j ACCEPT    在所选择的规则链末尾添加规则，当源地址或目的地址是以名字而不是IP地址的形式出现时，这些名字将被解析为多个地址，这条规则将和所有可用的地址结合。
删除规则    -D    iptables -D INPUT -p tcp -j ACCEPT    从所选链中删除规则。有两种方法指定要删除的规则：一种方法是把规则完整定出，另一种方法是指定规则在所选链中的序号(每条链的规则都各自从1被编号)。
自定义链重命名    -E    iptables -E customlist userlist    对自定义的链重命名，原来的名字在前，新名字在后。
清空规则    -F    iptables -F INPUT    清空所选的链，如果没有指定链，则清空指定表中的所有链。默认情况下清空默认表所有的链。
插入规则    -I    iptables -I INPUT 1 -p tcp -j ACCEPT    在指定链内的某个位置插入规则，如果序号为1或没有序号，规则会被插入到的头部。
显示规则    -L    iptables -L INPUT    显示所选链的所有规则，如果没有指定链，则显示指定表中的所有链。默认情况下显示默认表所有的链。精确输出受其它参数影响，如-n和-v等参数。
用户自定义链    -N    iptables -N customlist    根据用户指定的名字建立新的链。所用的名字不能和已有的链、target同名。
默认策略    -P    iptables -P INPUT DROP    为链设置默认的target(ACCEPT、DROP、REJECT、REDIRECT、)。target称作策略，所有不符合规则的包都被强制使用这个策略。只有内建的链才可以使用策略，但内建的链和用户自定义链都不能被作为策略使用。
替换规则    -R    iptables -R INPUT 1 -p udp -j ACCETP    在所选中的链里指定的行上(每条链的规则都各自从1被编号)替换规则。它主要用于试验不同的规则。当源地址或目的地址是以名字而不是IP地址的形式出现时，如果这此名字可以被解析为多个地址，则这条命令会失败。
删除用户自定义链    -X    iptables -X customlist    删除指定的用户自定义链。这条链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将会删除默认表所有非内建的链。
计数器归零    -Z    iptables -Z    把指定链（如未指定则认为所有链）的所有计数器归零。
二、常用通用匹配语法
对于任何协议及协议的扩展，通用匹配都可以直接使用。
（1） 匹配指定协议。
匹配-p，--protocol／使用iptables -A INPUT -p tcp -j ACCEPT／说明匹配指定的协议，指定协议的形式有以下几种：①名字不分大小写，但必须是在/etc/protocols中定义的；②可以使用协议相应的整数值。例如，ICMP的值是1，TCP是6，UDP是17；③缺少设置ALL，相应数值是0，要注意这只代表匹配TCP、UDP、ICMP，而不是/etc/protocols中定义的所有协议；④可以是协议列表，以英文逗号为分隔符，如：udp，tcp；⑤可以在协议前加英文的感叹号表示取反，注意有空格，如：--protocol !tcp表示非TCP协议，也就是UDP和ICMP。可以看出这个取反的范围只是TCP、UDP和ICMP。
（2） 以IP源地址匹配包。
匹配-s，--src，--source／使用iptables -A INPUT -s 192.168.0.1 -j ACCEPT／说明以IP源地址匹配包。地址的形式如下：①单个地址，如192.168.0.1，也可写成192.168.0.1/255.255.255.255或192.168.0.1/32；②网络，如192.168.0.0/24，或192.168.0.0/255.255.255.0；③在地址前加英文感叹号表示取反，注意空格，如--source !192.168.0.0/24表示除此地址外的所有地址；④缺省是所有地址。
（3） 以IP目的地址匹配包。
匹配-d，--dst，--destination／使用iptables -A INPUT -d 192.168.0.1 -j ACCEPT／说明以IP目的地址匹配包。地址的形式和--source完全一样。
（4） 以包进入本地使用的网络接口匹配包。
匹配-i／使用iptables -A INPUT -i eth0 -j ACCEPT／说明以包进入本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于INPUT，FORWARD和PREROUTING这三个链，用在其他任何地方会提示错误信息。指定接口有以下方法：①指定接口名称，如：eth0、ppp0等；②使用通配符，即英文加号，它代表字符数字串。若直接用一个加号，即iptables -A INPUT -i +表示匹配所有的包，而不考虑使用哪个接口。通配符还可以放在某一类接口的后面，如：eth+表示匹配所有从Ethernet接口进入的包；③在接口前加英文感叹号表示取反，如：-i ! eth0意思是匹配来自除eth0外的所有包。
（5） 以包离开本地所使用的网络接口来匹配包。
匹配-o／使用iptables -A OUTPUT -o eth1 -j ACCEPT／说明以包离开本地所使用的网络接口来匹配包。要注意这个匹配操作只能用于OUTPUT，FORWARD和POSTROUTING这三个链，用在其他任何地方会提示错误信息。
（6） 匹配通信源端口。
匹配--source-port，--sport／使用iptables -A INPUT -p tcp --sport 1111／说明当通信协议为TCP或UDP时，可以指定匹配的源端口，但必须与匹配协议相结合使用。
（7） 匹配通信目的端口。
匹配-- destination-port，--dport／使用iptables -A INPUT -p tcp --dport 80／说明当通信协议为TCP或UDP时，可以指定匹配的目的端口，但必须与匹配协议相结合使用。
iptables功能扩展
TCP扩展
iptables可以扩展，扩展分为两种：一种是标准的；另一种是用户派生的。如果指定了“-p tcp”，那么TCP扩展将自动加载，通过--tcp-flags扩展，我们指定TCP报文的哪些Flags位被设置，在其后跟随两个参数：第一个参数代表Mask，指定想要测验的标志位；第二个参数指定哪些位被设置。
例：设置iptables防火墙禁止来自外部的任何tcp主动请求，并对此请求行为进行事件记录。
iptables -A INPUT -p tcp --tcp-flags ALL SYN -j ULOG --ulog-prefix "SYN request"
iptables -A INPUT -p tcp --tcp-flags ALL SYN ¬-j DROP
其中ULOG指定对匹配的数据包进行记录，由日志生成工具ULOG生成iptables防火日志，--log-prefix选项为记录前缀。
ICMP扩展
例：设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包。
iptables -A INPUT -p icmp --icmp-type X/Y -j ACCEPT
其中--icmp-type为扩展命令选项，其后参数可以是三种模式：
（1） ICMP类型名称（例如，host-unreachable）。
（2） ICMP类型值(例如3)。
（3） ICMP类型及代码值（8/0）。
四、状态检测
“状态”的意思是指如果一个数据包是对先前从防火墙发出去的包的回复，则防火墙自动不用检查任何规则就立即允许该数据包进入并返回给请求者，这样就不用设置许多规则定义就可实现应用的功能。
我们可以把请求端与应答端之间建立的网络通信连接称为网络会话，每个网络会话都包括以下信息——源IP地址、目标IP地址、源端口、目的端口，称为套接字对；协议类型、连接状态（TCP协议）和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单的包过滤防火墙具有更大的安全性，而iptables就是一种基于状态的防火墙。命令格式如下：
iptables -m state --state [!] state [,state,state,state]
其中，state表是一个由逗号分割的列表，用来指定连接状态，状态分为4种：
（1） NEW:该包想要建立一个新的连接（重新连接或连接重定向）。
（2） RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：FTP的数据传输连接和控制连接之间就是RELATED关系。
（3） ESTABLISHED：该包属于某个已经建立的连接。
（4） INVALID:该包不匹配于任何连接，通常这些包被DROP。