一、iptables 基础概念
1.1 iptables 四表五链
四表:
- filter表:过滤数据包(默认表)
- nat表:网络地址转换
- mangle表:修改数据包
- raw表:连接跟踪
五链:
- INPUT:进入本机的数据包
- OUTPUT:从本机出去的数据包
- FORWARD:经过本机转发的数据包
- PREROUTING:路由前(用于DNAT)
- POSTROUTING:路由后(用于SNAT)
二、实战案例讲解
案例1:Web服务器防护
# 1. 清空所有规则iptables -F iptables -X iptables -Z# 2. 设置默认策略(拒绝所有,按需开放)iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT# 3. 允许本地回环接口iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT# 4. 允许已建立的连接和相关的连接iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 5. 开放SSH服务(限制源IP)iptables -A INPUT -p tcp --dport22-s192.168.1.0/24 -j ACCEPT# 6. 开放Web服务(HTTP/HTTPS)iptables -A INPUT -p tcp --dport80-j ACCEPT iptables -A INPUT -p tcp --dport443-j ACCEPT# 7. 允许ping(ICMP)iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT# 8. 记录被拒绝的数据包(最后一条规则)iptables -A INPUT -j LOG --log-prefix"IPTABLES-DROP: "案例2:NAT网关服务器
# 1. 开启IP转发echo1>/proc/sys/net/ipv4/ip_forward# 2. 设置SNAT(内网访问外网)# eth0: 公网接口,eth1: 内网接口iptables -t nat -A POSTROUTING -o eth0 -s192.168.1.0/24 -j MASQUERADE# 或使用固定公网IPiptables -t nat -A POSTROUTING -o eth0 -s192.168.1.0/24 -j SNAT --to-source 公网IP# 3. 设置DNAT(外网访问内网服务器)# 将公网IP的80端口映射到内网Web服务器iptables -t nat -A PREROUTING -i eth0 -p tcp --dport80-j DNAT --to-destination192.168.1.100:80# 4. 允许转发流量iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s192.168.1.0/24 -j ACCEPT案例3:DDoS防护
# 1. 限制同一IP的连接数# 防止CC攻击,限制每个IP最多10个HTTP连接iptables -A INPUT -p tcp --dport80-m connlimit --connlimit-above10-j DROP# 2. 限制连接速率# 限制每个IP每秒最多10个新连接iptables -A INPUT -p tcp --dport80-m limit --limit10/second --limit-burst20-j ACCEPT iptables -A INPUT -p tcp --dport80-j DROP# 3. 阻止异常数据包iptables -A INPUT -p tcp!--syn -m state --state NEW -j DROP# 阻止无效的SYN包iptables -A INPUT -f -j DROP# 阻止分片包iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP# 阻止Xmas扫描iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP# 阻止Null扫描# 4. 屏蔽恶意IPiptables -A INPUT -s 恶意IP -j DROP# 或使用ipset管理黑名单ipset create blacklist hash:ip ipsetaddblacklist 恶意IP iptables -A INPUT -mset--match-set blacklist src -j DROP案例4:端口转发和负载均衡
# 1. 本地端口转发# 将访问本机8080端口的数据转发到本机80端口iptables -t nat -A PREROUTING -p tcp --dport8080-j REDIRECT --to-port80# 2. 简单负载均衡(轮询)# 将80端口的请求分配到3台后端服务器iptables -t nat -A PREROUTING -p tcp --dport80-m statistic --mode nth --every3--packet0\-j DNAT --to-destination192.168.1.101:80 iptables -t nat -A PREROUTING -p tcp --dport80-m statistic --mode nth --every2--packet0\-j DNAT --to-destination192.168.1.102:80 iptables -t nat -A PREROUTING -p tcp --dport80\-j DNAT --to-destination192.168.1.103:80案例5:高级应用 - VPN服务器
# OpenVPN服务器配置iptables -t nat -A POSTROUTING -s10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p udp --dport1194-j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT三、实用脚本示例
3.1 防火墙初始化脚本
#!/bin/bash# firewall_init.sh# 定义变量SSH_PORT=22ALLOWED_NETWORKS="192.168.1.0/24 10.0.0.0/8"PUBLIC_INTERFACE="eth0"# 清空规则iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X# 设置默认策略iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT# 基本规则iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT# 开放服务端口fornetworkin$ALLOWED_NETWORKS;doiptables -A INPUT -p tcp --dport$SSH_PORT-s$network-j ACCEPTdoneiptables -A INPUT -p tcp --dport80-j ACCEPT iptables -A INPUT -p tcp --dport443-j ACCEPT# 防止端口扫描iptables -N PORTSCAN iptables -A PORTSCAN -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit1/s -j RETURN iptables -A PORTSCAN -j DROP# 保存规则(根据系统选择)# CentOS/RHEL: service iptables save# Debian/Ubuntu: iptables-save > /etc/iptables/rules.v43.2 动态阻止暴力破解
#!/bin/bash# block_ssh_bruteforce.sh# 分析日志,自动屏蔽尝试失败的IPLOG_FILE="/var/log/auth.log"ATTEMPTS=5# 尝试次数BLOCK_TIME=3600# 封锁时间(秒)# 提取失败IP并加入黑名单grep"Failed password"$LOG_FILE|awk'{print $(NF-3)}'|\sort|uniq-c|awk-vlimit=$ATTEMPTS'$1 > limit {print $2}'|\whilereadip;doif!iptables -L INPUT -n|grep-q$ip;theniptables -A INPUT -s$ip-j DROPecho"$(date): Blocked$ipfor$ATTEMPTSfailed attempts">>/var/log/iptables.log# 一小时后自动解封(sleep$BLOCK_TIME&&iptables -D INPUT -s$ip-j DROP)&fidone四、调试和监控
4.1 查看规则
# 查看所有规则iptables -L -n -v# 查看NAT规则iptables -t nat -L -n -v# 查看规则编号iptables -L --line-numbers# 实时监控iptables日志tail-f /var/log/kern.log|grepiptables4.2 规则管理
# 插入规则(第2条位置)iptables -I INPUT2-p tcp --dport3306-j ACCEPT# 删除规则(按编号)iptables -D INPUT2# 删除规则(按内容)iptables -D INPUT -p tcp --dport3306-j ACCEPT# 清空计数器iptables -Z五、最佳实践建议
- 先放行后拒绝:规则顺序很重要
- 最小权限原则:只开放必要的端口
- 使用状态检测:
-m state --state ESTABLISHED,RELATED - 记录重要事件:使用LOG链记录异常
- 定期备份规则:
iptables-save > iptables.backup - 测试规则:在应用前先测试,避免被锁
- 使用ipset管理大量IP:提高性能
- 结合fail2ban:动态防护暴力破解
六、常见问题排查
# 1. 检查规则是否生效iptables -L -n -v# 2. 检查连接跟踪cat/proc/net/nf_conntrack# 3. 检查内核参数sysctl -a|grepnet.ipv4# 4. 测试端口telnet IP PORTnc-zv IP PORT# 5. 查看被拒绝的包dmesg|grepiptables
)
