Linux iptables防火墙设置与NAT服务配置

一.防火墙的概述
(一).防火墙的简介
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。
防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将数据包丢弃，从而保护网络的安全。
通过使用防火墙可以实现以下功能：

可以保护易受攻击的服务；
控制内外网之间网络系统的访问；
集中管理内网的安全性，降低管理成本；
提高网络的保密性和私有性；
记录网络的使用状态，为安全规划和网络维护提供依据。
(二).防火墙的分类
防火墙技术根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤防火墙和代理服务器两种类型。
(三).防火墙的工作原理
1．包过滤防火墙工作原理
① 数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。
② 首先与第一个过滤规则比较。

③ 如果与第一个模块相同，则对它进行审核，判断是否转发该数据包，这时审核结果是转发数据包，则将数据包发送到TCP层进行处理，否则就将它丢弃。
④ 如果与第一个过滤规则不同，则接着与第二个规则相比较，如果相同则对它进行审核，过程与③相同。
⑤ 如果与第二个过滤规则不同，则继续与下一个过滤规则比较，直到与所有过滤规则比较完成。要是所有过滤规则都不满足，就将数据包丢弃。
2．代理服务型防火墙工作原理
代理服务型防火墙是在应用层上实现防火墙功能的。它能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输的信息，它还能处理和管理信息。
它的具体工作原理参见11.1.2节。
二.iptables简介
netfilter/iptables（下文简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换NAT等功能。 Iptables/netfilter包过滤防火墙其实是由两个组件构成的，一个是netfilter，一个是iptables。
三.iptables基础
(一).规则（rules）
规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表
中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。
(二).链（chains）
链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

(三).表（tables）
表（tables）提供特定的功能，iptables内置了3个表，即filter表、nat表和mangle表，分别用于实现包过滤，网络地址转换和包重构的功能。
1．filter表
2．nat表
3．mangle表
(四).iptables传输数据包的过程
① 当一个数据包**网卡时，它首先**PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是**本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图10-4所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。
四.关闭系统防火墙
(一).iptables命令格式
执行“setup”命令启动文字模式配置实用程序，在“选择一种工具”中选择“防火墙配置”，然后选择“运行工具”按钮。出现防火墙的配置界面，将“安全级别”设为“禁用”，然后选择“确定”即可。 iptables的命令格式较为复杂，一般的格式如下：
iptables [-t表] -命令 匹配 操作
1．表选项
表选项用于指定命令应用于哪个iptables内置表，iptables内置包括filter表、nat表和mangle表。
2．命令选项

3．匹配选项

4．动作选项

(二).iptables的使用
1．定义默认策略
当数据包不符合链中任一条规则时，iptables将根据该链预先定义的默认策略来处理数据包，默认策略的定义格式如下。
iptables [-t表名] <-P> <链名> <动作>
参数说明如下。
[-t表名]：指默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。
<-P>：定义默认策略。
<链名>：指默认策略将应用于哪个链，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
<动作>：处理数据包的动作，可以使用ACCEPT（接受数据包）和DROP（丢弃数据包）。
2．查看iptables规则
查看iptables规则的命令格式为：
iptables [-t表名] <-L> [链名]
参数说明如下。
[-t表名]：指查看哪个表的规则列表，表名用可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认查看filter表的规则列表。
<-L>：查看指定表和指定链的规则列表。
[链名]：指查看指定表中哪个链的规则列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING，如果不指明哪个链，则将查看某个表中所有链的规则列表。
3．增加、插入、删除和替换规则
相关规则定义的格式为：
iptables [-t表名] <-A | I | D | R> 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] <-j动作>
参数说明如下。
[-t表名]：定义默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。
-A：新增加一条规则，该规则将会增加到规则列表的最后一行，该参数不能使用规则编号。
-I：插入一条规则，原本该位置上的规则将会往后顺序移动，如果没有指定规则编号，则在第一条规则前插入。
-D：从规则列表中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。
-R：替换某条规则，规则被替换并不会改变顺序，必须要指定替换的规则编号。
<链名>：指定查看指定表中哪个链的规则列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。
[规则编号]：规则编号用于插入、删除和替换规则时用，编号是按照规则列表的顺序排列，规则列表中第一条规则的编号为1。
[-i | o 网卡名称]：i是指定数据包从哪块网卡**，o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。
[-p 协议类型]：可以指定规则应用的协议，包含TCP、UDP和ICMP等。
[-s 源IP地址 | 源子网]：源主机的IP地址或子网地址。
[--sport 源端口号]：数据包的IP的源端口号。
[-d目标IP地址 | 目标子网]：目标主机的IP地址或子网地址。
[--dport目标端口号]：数据包的IP的目标端口号。
<-j动作>：处理数据包的动作，各个动作的详细说明可以参考表10-3。
4．清除规则和计数器
在新建规则时，往往需要清除原有的、旧的规则，以免它们影响新设定的规则。如果规则比较多，一条条删除就会十分麻烦，这时可以使用iptables提供的清除规则参数达到快速删除所有的规则的目的。定义参数的格式为：
iptables [-t表名] <-F | Z>
参数说明如下。
[-t表名]：指定默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。
-F：删除指定表中所有规则。
-Z：将指定表中的数据包计数器和流量计数器归零。
五.NAT服务
(一).什么是私有地址
私有地址（Private address）属于非注册地址，是专门为组织机构内部使用而划定的。使用私有IP地址是无法直接连接到Internet的，但是能够用在公司内部的Intranet的IP地址上。
(二).什么是NAT
NAT是将一个地址域（如专用Intranet）映射到另一个地址域（如Internet）的标准方法。它是一个根据RFC 1631开发的IETF标准，允许一个IP地址域以一个公有IP地址出现在Internet上。NAT可以将内部网络中的所有节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外部发现，使外部无法直接访
问内部网络设备。
(三).NAT的工作原理
1．静态网络地址转换
① 在NAT服务器上建立静态NAT映射表。
② 当内部主机（IP地址为192.168.16.10）需要建立一条到Internet的会话连接时，首先将请求发送到NAT服务器上。NAT服务器接收到请求后，会根据接收到的请求数据包检查NAT映射表。
③ 如果已为该地址配置了静态地址转换，NAT服务器就使用相对应的内部公有IP地址，并转发数据包，否则NAT服务器不对地址进行转换，直接将数据包丢弃。 NAT服务器使用202.96.128.2来替换内部私有IP（192.168.16.10）的过程如图10.13所示。
④ Internet上的主机接收到数据包后进行应答（这时主机接收到202.96.128.2的请求）。
⑤ 当NAT服务器接收到来自Internet上的主机的数据包后，检查NAT映射表。如果NAT映射表存在匹配的映射项，则使用内部私有IP替换数据包的目的IP地址，并将数据包转发给内部主机。如果不存在匹配映射项则将数据包丢弃。
2．动态网络地址转换
① 当内部主机（IP地址为192.168.16.10）需要建立一条到Internet的会话连接时，首先将请求发送到NAT服务器上。NAT服务器接收到请求后，根据接收到的请求数据包检查NAT映射表。
② 如果还没有为该内部主机建立地址转换映射项，NAT服务器就会决定对该地址进行转换（建立 192.168.16.10:2320←→202.96.128.2:2320的映射项，并记录会话状态）。如果已经存在该映射项，则NAT服务器使用该记录进行地址转换，并记录会话状态。然后NAT服务器利用转换后的地址发送数据包到Internet主机上。
③ Internet主机接收到信息后，进行应答，并将应答信息回传给NAT服务器。
④ 当NAT服务器接收到应答信息后，检查NAT映射表。如果NAT映射表存在匹配的映射项，则使用内部公有IP替换数据包的目的IP地址，并将数据包转发给内部主机。如果不存在匹配映射项则将数据包丢弃。
3．网络地址端口转换
① 当内部主机（IP地址为192.168.16.10，使用端口1235）需要与Internet上的某主机（IP地址为202.18.4.6，端口为 2350）建立连接时，首先将请求发送到NAPT服务器上。NAPT服务器接收到请求后，会根据接收到的请求数据包检查NAPT映射表。
②如果还没有为该内部主机建立地址转换映射项，NAPT服务器就会为这个传输创建一个Session，并且给这个Session分配一个端口3200，然后改变这个数据包的源端口为3200。所以原来的192.168.16.10:1235→202.18.4.6:2350数据包经过转换后变为了 202.96.128.2:3200→202.18.4.6:2350。
③ Internet主机接收到信息后进行应答，并将应答信息回传给NAPT服务器。
④ 当NAPT服务器接收到应答信息后，检查NAPT映射表。如果NAPT映射表存在匹配的映射项，则使用内部公有IP替换数据包的目的IP地址，并将数据包转发给内部主机。如果不存在匹配映射项则将数据包丢弃。
六.使用iptables实现NAT服务
(一).配置网络环境
（1）配置网卡eth0
DEVICE=eth0 #网卡的设备别名
BOOTPROTO=static #网卡的IP地址是静态指定
BROADCAST=192.168.16.255 #网卡的网络地址
HWADDR=00:0C:29:FD:D3:29 #网卡的MAC地址
IPADDR=192.168.16.1 #网卡的IP地址
NETMASK=255.255.255.0 #网卡的子网掩码
NETWORK=192.168.16.0 #网卡的网络地址
ONBOOT=yes #系统启动时激活该网卡
TYPE=Ethernet #网卡的类型是以太网
（2）配置网卡eth1
DEVICE=eth1 #网卡的设备别名
BOOTPROTO=static #网卡的IP地址是静态指定
BROADCAST=172.16.1.255 #网卡的网络地址
HWADDR=00:0C:29:FD:D3:33 #网卡的MAC地址
IPADDR=172.16.1.1 #网卡的IP地址
NETMASK=255.255.255.0 #网卡的子网掩码
NETWORK=172.16.1.0 #网卡的网络地址
ONBOOT=yes #系统启动时激活该网卡
TYPE=Ethernet #网卡的类型是以太网
（3）为系统指定DNS服务器
nameserver 61.144.56.101
nameserver 202.96.128.68
（4）使网络配置生效
重启Linux或运行命令“/etc/init.d/network restart”使以上配置生效 。
(二).建立ADSL连接
1．rp-pppoe的安装
默认情况下Red Hat Enterprise Linux安装程序会将rp-pppoe软件安装在系统上，可使用下面的命令检查系统是否已经安装了rp-pppoe软件或查看已经安装了何种版本。
rpm -q rp-pppoe
如果系统还未安装rp-pppoe软件，可将Red Hat Enterprise Linux 5第1张安装盘放入光驱，加载光驱后在光盘的Server目录下找到rp-pppoe软件的RPM安装包文件rp-pppoe- 3.5-32.1.i386.rpm，使用下面的命令安装rp-pppoe软件。
rpm -ivh /mnt/Server/rp-pppoe-3.5-32.1.i386.rpm
2．设置ADSL连接参数
(三).rp-pppoe的控制脚本
1．ADSL拨号
adsl-start
2．查看当前连接的状态如果要查看当前ADSL连接的状态，执行命令“adsl-status”即可。
3．断开连接
如果要断开ADSL连接，执行命令“adsl-stop”即可。
(四).使用iptables实现NAT
使用iptables实现NAT的具体步骤如下。
① 打开内核的路由功能。要实现NAT功能，首先要将文件/proc/sys/net/ipv4/ip_forward设置为1（默认是0），才能打开内核的路由功能。具体的命令如下。
echo "1">/proc/sys/net/ipv4/ip_forward
② 实现IP伪装。在nat表中的POSTROUTING链加入一条规则，这条规则的内容是所有由ppp0接口送出的包会被伪装（MASQUERADE），这样就能使用iptables实现NAT命令了。具体的命令如下。。
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(五).NAT客户端的配置
1．Linux中NAT客户端的配置
（1）设置默认网关的IP地址
编辑文件/etc/sysconfig/network，然后使用GATEWAY选项来指定默认网关的IP地址。
② 设置DNS服务器的IP地址
在Linux中配置DNS客户端的方法很简单，可直接编辑文件/etc/resolv.conf，然后使用nameserver选项来指定DNS服务器的IP地址。
2．Windows 2000／XP／2003中NAT客户端的配置
(六).启动时自动拨号和配置NAT服务器
为了能让Linux服务器在启动后自动拨号和配置NAT服务器，可添加以下命令到/etc/rc.d/rc.local文件的末尾（后面介绍iptables的技巧实例，也可以添加到这个文件中）。
/sbin/adsl-start
echo "1">/proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
七.iptables技巧实例
(一).禁止客户机访问不健康网站
【例1】添加iptables规则禁止用户访问域名为www.playboy.com的网站，然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -d www.playboy.com -j DROP
iptables -t filter -L FORWARD
【例2】添加iptables规则禁止用户访问IP地址为202.17.61.4的网站，然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -d 202.17.61.4 -j DROP
iptables -t filter -L FORWARD
(二).禁止某些客户机上网
【例1】添加iptables规则禁止IP地址为192.168.1.200的客户机上网，然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.200 -j DROP
iptables -t filter -L FORWARD
【例2】添加iptables规则禁止192.168.2.0子网里所有的客户机上网，然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.2.0/24 -j DROP
iptables -t filter -L FORWARD
(三).禁止客户机访问某些服务
【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载（即封闭TCP协议的21端口），然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP
iptables -t filter -L FORWARD
【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机（即封闭TCP协议的23端口），然后查看filter表的FORWARD链规则列表。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP
iptables -t filter -L FORWARD
(四).强制访问指定的站点
【例】强制所有的客户机访问210.21.118.68这台Web服务器，然后查看nat表的PREROUTING链规则列表。
iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 210.21.118.68:80
iptables -t nat -L PREROUTING
(五).禁止客户机使用QQ
iptables -I FORWARD -p tcp --dport 8000 -j DROP
iptables -I FORWARD -p udp --dport 8000 -j DROP
iptables -I FORWARD -d tcpconn.tencent.com -j DROP
rpm -ivh /mnt/Server/rp-pppoe-3.5-32.1.i386.rpm
2．设置ADSL连接参数
(三).rp-pppoe的控制脚本
1．ADSL拨号
adsl-start
2．查看当前连接的状态如果要查看当前ADSL连接的状态，执行命令“adsl-status”即可。
3．断开连接
如果要断开ADSL连接，执行命令“adsl-stop”即可。
(四).使用iptables实现NAT
使用iptables实现NAT的具体步骤如下。
① 打开内核的路由功能。要实现NAT功能，首先要将文件/proc/sys/net/ipv4/ip_forward设置为1（默认是0），才能打开内核的路由功能。具体的命令如下。
echo "1">/proc/sys/net/ipv4/ip_forward
② 实现IP伪装。在nat表中的POSTROUTING链加入一条规则，这条规则的内容是所有由ppp0接口送出的包会被伪装（MASQUERADE），这样就能使用iptables实现NAT命令了。具体的命令如下。。
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

linux防火墙iptables详细教程



点评：2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->  mangle     |     mangle     ^ mangle    nat       | &2.1 框架图
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle     |     mangle     ^ mangle
   nat       |     filter     | nat
           |               |
           |               |
           v               |
         INPUT           OUTPUT
           | mangle         ^ mangle
           | filter         | nat
           v ------>local------->| filter
2.2 链和表

表
     filter：   顾名思义，用于过滤的时候
     nat：     顾名思义，用于做 NAT 的时候
           NAT：Network Address Translator
链
     INPUT：     位于 filter 表，匹配目的 IP 是本机的数据包
     FORWARD：   位于 filter 表，匹配穿过本机的数据包，
     PREROUTING： 位于 nat 表，用于修改目的地址（DNAT）
     POSTROUTING：位于 nat 表，用于修改源地址 （SNAT）
3.1 iptables 语法概述
iptables [-t 要操作的表]
     <操作命令>
     [要操作的链]
     [规则号码]
     [匹配条件]
     [-j 匹配到以后的动作]
3.2 命令概述
操作命令（-A、-I、-D、-R、-P、-F）
查看命令（-[vnx]L）
3.2.1 -A
-A <链名>
APPEND，追加一条规则（放到最后）
例如：
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 链里追加一条规则（作为最后一条规则）
匹配所有访问本机 IP 的数据包，匹配到的丢弃
3.2.2 -I
-I <链名> [规则号码]
INSERT，插入一条规则
例如：
iptables -I INPUT -j DROP
在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条）
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 链里插入一条规则（插入成第 3 条）
注意： 1、-t filter 可不写，不写则自动默认是 filter 表
   2、-I 链名 [规则号码]，如果不写规则号码，则默认是 1
   3、确保规则号码 ≤ （已有规则数 + 1），否则报错
3.2.3 -D
-D <链名> <规则号码 | 具体规则内容>
DELETE，删除一条规则
例如：
iptables -D INPUT 3（按号码匹配）
删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么）
iptables -D INPUT -s 192.168.0.1 -j DROP（按内容匹配）
删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则
（不管其位置在哪里）
注意：
1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条
2、按号码匹配删除时，确保规则号码 ≤ 已有规则数，否则报错
3、按内容匹配删除时，确保规则存在，否则报错
3.2.3 -R
-R <链名> <规则号码> <具体规则内容>
REPLACE，替换一条规则
例如：
iptables -R INPUT 3 -j ACCEPT
将原来编号为 3 的规则内容替换为“-j ACCEPT”
注意：
确保规则号码 ≤ 已有规则数，否则报错
3.2.4 -P
-P <链名> <动作>
POLICY，设置某个链的默认规则
例如：
iptables -P INPUT DROP
设置 filter 表 INPUT 链的默认规则是 DROP
注意：
当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理
3.2.5 -F
-F [链名]
FLUSH，清空规则
例如：
iptables -F INPUT
清空 filter 表 INPUT 链中的所有规则
iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 链中的所有规则
注意：
1、-F 仅仅是清空链中规则，并不影响 -P 设置的默认规则
2、-P 设置了 DROP 后，使用 -F 一定要小心！！！
3、如果不写链名，默认清空某表里所有链里的所有规则
3.2.6 -[vxn]L
-L [链名]
LIST，列出规则
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M）
n：只显示 IP 地址和端口号码，不显示域名和服务名称
例如：
iptables -L
粗略列出 filter 表所有链及所有规则
iptables -t nat -vnL
用详细方式列出 nat 表所有链的所有规则，只显示 IP 地址和端口号
iptables -t nat -vxnL PREROUTING
用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字，不反解
3.3 匹配条件
流入、流出接口（-i、-o）
来源、目的地址（-s、-d）
协议类型     （-p）
来源、目的端口（--sport、--dport）
3.3.1 按网络接口匹配
-i <匹配数据**的网络接口>
例如：
-i eth0
匹配是否从网络接口 eth0 进来
-i ppp0
匹配是否从网络接口 ppp0 进来
-o 匹配数据流出的网络接口
例如：
-o eth0
-o ppp0
3.3.2 按来源目的地址匹配
-s <匹配来源地址>
可以是 IP、NET、DOMAIN，也可空（任何地址）
例如：
-s 192.168.0.1   匹配来自 192.168.0.1 的数据包
-s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包
-s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包
-d <匹配目的地址>
可以是 IP、NET、DOMAIN，也可以空
例如：
-d 202.106.0.20   匹配去往 202.106.0.20 的数据包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包
-d www.abc.com   匹配去往域名 www.abc.com 的数据包
3.3.3 按协议类型匹配
-p <匹配协议类型>
可以是 TCP、UDP、ICMP 等，也可为空
例如：
-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8     pong: type 0
3.3.4 按来源目的端口匹配
--sport <匹配源端口>
可以是个别端口，可以是端口范围
例如：
--sport 1000     匹配源端口是 1000 的数据包
--sport 1000:3000 匹配源端口是 1000-3000 的数据包（含1000、3000）
--sport :3000     匹配源端口是 3000 以下的数据包（含 3000）
--sport 1000:     匹配源端口是 1000 以上的数据包（含 1000）
--dport <匹配目的端口>
可以是个别端口，可以是端口范围
例如：
--dport 80       匹配源端口是 80 的数据包
--dport 6000:8000 匹配源端口是 6000-8000 的数据包（含6000、8000）
--dport :3000     匹配源端口是 3000 以下的数据包（含 3000）
--dport 1000:     匹配源端口是 1000 以上的数据包（含 1000）
注意：--sport 和 --dport 必须配合 -p 参数使用
3.3.5 匹配应用举例
1、端口匹配
-p udp --dport 53
匹配网络中目的地址是 53 的 UDP 协议数据包
2、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包
3、端口和地址联合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配来自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 协议数据包

注意：
1、--sport、--dport 必须联合 -p 使用，必须指明协议类型是什么
2、条件写的越多，匹配越细致，匹配范围越小
3.4 动作（处理方式）
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
3.4.1 -j ACCEPT
-j ACCEPT
通过，允许数据包通过本链而不拦截它
类似 Cisco 中 ACL 里面的 permit
例如：
iptables -A INPUT -j ACCEPT
允许所有访问本机 IP 的数据包通过
3.4.2 -j DROP
-j DROP
丢弃，阻止数据包通过本链而丢弃它
类似 Cisco 中 ACL 里的 deny
例如：
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止来源地址为 192.168.80.39 的数据包通过本机
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 链）
源地址转换，SNAT 支持转换为单 IP，也支持转换到 IP 地址池
（一组连续的 IP 地址）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
将内网 192.168.0.0/24 的原地址修改为 1.1.1.1，用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上，只不过修改成一个地址池里的 IP
3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口]（nat 表的 PREROUTING 链）
目的地址转换，DNAT 支持转换为单 IP，也支持转换到 IP 地址池
（一组连续的 IP 地址）
例如：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10
3.4.5 -j MASQUERADE
-j MASQUERADE
动态源地址转换（动态 IP 的情况下使用）
例如：
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
将源地址是 192.168.0.0/24 的数据包进行地址伪装
3.5 附加模块
按包状态匹配   （state）
按来源 MAC 匹配（mac）
按包速率匹配   （limit）
多端口匹配   （multiport）
3.5.1 state
-m state --state 状态
状态：NEW、RELATED、ESTABLISHED、INVALID
   NEW：有别于 tcp 的 syn
   ESTABLISHED：连接态
   RELATED：衍生态，与 conntrack 关联（FTP）
   INVALID：不能被识别属于哪个连接或没有任何状态
例如：
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
     -j ACCEPT
3.5.2 mac
-m mac --mac-source MAC
匹配某个 MAC 地址
例如：
iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \
   -j DROP
阻断来自某 MAC 地址的数据包，通过本机
注意：
MAC 地址不过路由，不要试图去匹配路由后面的某个 MAC 地址
3.5.3 limit
-m limit --limit 匹配速率 [--burst 缓冲数量]
用一定速率去匹配数据包
例如：
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
   -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意：
limit 仅仅是用一定的速率去匹配数据包，并非 “限制”
3.5.4 multiport
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多个端口，可以区分源端口，目的端口或不指定端口
例如：
iptables -A INPUT -p tcp -m multiports --ports \
   21,22,25,80,110 -j ACCEPT
注意：
必须与 -p 参数一起使用   
4. 实例分析
单服务器的防护
如何做网关
如何限制内网用户
内网如何做对外服务器
连接追踪模块
4.1 单服务器的防护
弄清对外服务对象
书写规则
网络接口 lo 的处理
状态监测的处理
协议 + 端口的处理
实例：一个普通的 web 服务器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意：确保规则循序正确，弄清逻辑关系，学会时刻使用 -vnL
4.2 如何做网关
弄清网络拓扑
本机上网
设置 nat
启用路由转发
地址伪装 SNAT/MASQUERADE
实例：ADSL 拨号上网的拓扑
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE
4.3 如何限制内网用户
过滤位置 filer 表 FORWARD 链
匹配条件 -s -d -p --s/dport
处理动作 ACCEPT DROP
实例：
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 内网如何做对外服务器
服务协议（TCP/UDP）
对外服务端口
内部服务器私网 IP
内部真正服务端口
实例：
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80
4.5 连接追踪模块
为什么要使用连接追踪模块
FTP 协议的传输原理
传统防火墙的做法
如何使用
4.5.1 FTP 协议传输原理
使用端口
command port
data port
传输模式
主动模式（ACTIVE）
被动模式（PASSIVE）
4.5.1 FTP 协议传输原理
主动模式
       client         server
     xxxx |---|----------|-->| 21
     yyyy |<--|----------|---| 20
           FW1     FW2
被动模式
       client         server
     xxxx |---|----------|--->| 21
     yyyy |---|----------|--->| zzzz
           FW1     FW2
4.5.2 传统防火墙的做法
只使用主动模式，打开 TCP/20
防火墙打开高范围端口
配置 FTP 服务，减小被动模式端口范围
4.5.3 如何使用连接追踪模块
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 网管策略
怕什么
能做什么
让什么 vs 不让什么
三大“纪律”五项“注意”
其他注意事项
5.1 必加项
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可选方案
堵：
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通：
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \
-j ACCEPT
iptables -P FORWARD DROP
5.3 三大“纪律”五项“注意”
三大“纪律”——专表专用
filter
nat
mangle
五项“注意”——注意数据包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
5.4 其他注意事项
养成好的习惯
iptables -vnL
iptables -t nat -vnL
iptables-save
注意逻辑顺序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT
学会写简单的脚本
6. FAQ.1
Q：我设置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
为何内网用户还是可以访问那个地址？
A：filter 表的 OUTPUT 链是本机访问外面的必经之路，内网数据不经过该链
Q：我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
为何内网用户还是可以访问那个地址？
A：检查整个规则是否存在逻辑错误，看是否在 DROP 前有 ACCEPT
Q：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
这条语句为何报错？
A：POSTROUTING 链不支持“流入接口” -i 参数
同理，PREROUTING 链不支持“流出接口” -o 参数
6. FAQ.2
Q：我应该怎么查看某个模块具体该如何使用？
A：ipitables -m 模块名 -h
Q：执行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目录中，
缺少与 xxx 模块有关的文件，或缺少与 yyy 动作有关的文件
名字为 ipt_xxx.o（2.4内核） 或 ipt_yyy.ko（2.6内核）
Q：脚本写好了，内网上网没问题，FTP 访问不正常，无法列出目录，为什么？
A：缺少 ip_nat_ftp 这个模块，modprobe ip_nat_ftp
6. FAQ.3
详细出处参考：http://www.jb51.net/os/RedHat/1335.html