iptables使用详解

iptables使用详解

@(linux)[iptables]

前言

最近买了一个VPS,并在上面搭了DOCKER,然后再DOCKER中安装Mysql。但只要将网络端口映射到宿主机上,那么外部网络就可以直接访问该数据。属实吓人。为此,我们需要使用防火墙。

说到防火墙,CentOS有FirewallD,Ubuntu有ufw 。它们的用法和语法不尽相同,但有一点却是一致的,那就是他们底层都使用了iptables。 所以为了在不同发行版的linux下都能安全管理我们的服务器,教练,我想学这个iptables

由于FirewallD和ufw本质都是基于iptables的,那么它们都会在iptables中添加一些规则,甚至定义一些链,为了不跟往后我们自己定义的规则相冲突,第一件事,便是停止并卸掉FirewallD和ufw对应的服务。

停掉FirewallD

sudo systemctl stop firewalld //停止FirewallD
sudo systemctl disable firewalld //让FirewallD 不要随系统启动而启动

停掉ufw

sudo ufw disable //停止并在系统启动时不启动ufw

iptables是啥

iptables是一个linux下的防火墙工具,它能帮助我们基于规则进行网络流量控制。它可以做到,但不限于以下功能:

  • 允许/拒绝某种协议的链接建立,比如TCP,UDP
  • 允许/拒绝 来自某个ip的访问
  • 允许/拒绝某个端口被访问

表、链、规则

规则(rule)

来自192.168.2.31的访问,就要将其拒绝,这即是一条规则

链(chain)

往往我们的安全策略不只一条规则,除了
来自192.168.2.31的访问,就要将其拒绝 这条规则之外,我们还有其它规则,比如:
来自192.168.43.22的访问,也要将其拒绝

甚至,我们可能还有多个互斥的规则,这多个规则,哪个规则先执行? 这就涉及到链这个概念。简单来讲,链就是将多个规则从上大小串起来的一个集合单位。规则按从上倒下依次进行匹配。

表(table)

链条可以有多个。将多个链条再规整在一起的集合,叫做表。

总览

在iptables中,有四张表:

  • filter:这里面的链条,规则,可以决定一个数据包是否可以到达目标进程端口
  • mangle: 这里面的链条,规则,可以修改数据包的内容,比如ttl
  • nat:这里面的链条,规则,可以修改源和目标的ip地址,从而进行包路由。
  • raw:这里面的链条,规则,能基于数据包的状态进行规则设定

上述四张表中,会内置一些链,且每个链,都有默认包处理策略,默认策略一般在链中的所有规则都没匹配时生效。
filter表中的链有:

- INPUT:对路由策略分派过来的包到达目标进程端口之前进行匹配并处理,后续会讲到细节
- FORWARD:对路由策略分派过来的包进行路由转发,后续会讲到细节
- OUTPUT:判断,从本地的目标进程端口处理好的包如何返回/要不要返回给请求方

mangle表中的链有:

PREROUTING:包在到达网口时,进行规则匹配
INPUT:含义同filter
FORWARD: 含义同filter
OUTPUT: 含义同filter
POSTROUTING: 包离开网口的时候匹配

nat表中的链有:

PREROUTING:含义同mangle
OUTPUT:含义同filter
POSTROUTING:含义同mangle

raw表中的链有:
PREROUTING:含义同mangle
OUTPUT:含义同filter

注意,虽然不同的表中有同名的链,但他们并不是同一个链,并且一个链只能引用同一个表中的链,不能跨表引用。,平时我们的防火墙策略配置,即是在上述各个表的各个链中配置具体的规则

规则生效顺序

虽然一个链中的规则是从上到下依次匹配,但多个表中的多个链,甚至同名链的之间的匹配优先顺序是啥?这就要看下图了

PREROUTING 链

PREROUTING 链是最先生效的,当数据包到达网口时,即开始工作。同时由于其在raw, mangle, nat表中都存在,其执行的优先顺序是:raw(PREROUTING) —-> mangle(PREROUTING)—-> mangle(nat)

PREROUTING 一般用作对包进行目标地址修改。比如将该包的目标地址,修改为非本机的另外的网络ip,一般通过DNAT规则进行修改。

路由决策(Routing Decision)

决定一个包该走哪个链。如果上述PREROUTING 链对包进行了目标网络ip更改。那么决策会觉得这个是一个需要转发的数据包,于是会将该包转发给 FORWARD 链。

否则, 该包会走INPUT链

FORWARD 链

FORWARD在各表中生效的优先顺序是:mangle(FORWARD) —-> filter(FORWARD)
处理路由决策派发发过来的包,到这里的包一般目标网络地址在PREROUTING链被修改过

INPUT 链

其生效顺序是: mangle(INPUT) —-> filter(INPUT)
处理路由决策派发发过来的包,到这里的包一般目标网络地址在PREROUTING链没有被修改过。

OUTPUT 链

在目标进程端口接收到输入数据包后,输出的数据包,将在这里进行规则应用。OUTPUT链在各表中生效的先后顺序是:
raw(OUTPUT) —-> mangle(OUTPUT) —-> nat(OUTPUT) —-> filter(OUTPUT)

规则详解

前面铺垫了那么多,主要讲解了链的复杂生效时机,毕竟如果包最终都到不了这个链,那其中的规则配置也就没有意义。接下来,我们需要讲解,链中具体规则的设置和使用。

一个规则一般分为两大部分:

  • 匹配: 即哪些数据包会命中这个规则,比如一个指定的ip,即是一个匹配规则
  • 动作: 匹配到规则之后,需要做什么动作,是放行,还是拒绝。

动作分为以下几种:

  • ACCEPT: 直接接受该数据包,不会再走其他链条和规则。比如filter中的input表中的某个规则命中后,动作是ACCEPT,那么该数据包将被直接送达目标进程端口。
  • DROP: 直接抛弃该数据包,并且没有任何返回。且不会再走其他链和规则
  • REJECT: 跟DROP类似,但好歹还是会跟请求方返回一些拒绝信息,比如我们拒绝掉ICMP协议后,ping该主机,会返回“destination host unreachable”
  • RETURN: 当前规则不做任何处理,返回。让给下一个规则处理
  • LOG : 同RETURN类似,但只是会将请求信息记录到系统日志中,记录路径为:/var/log/syslog or /var/log/messages

如何看某个表中有哪些链和规则

iptables -t nat -nvL --line-numbers

-t 表示想要查看那个表,这里查看的是nat表。iptables的所有命令,如果不指定-t,如果不写默认是filter表
-L 表示列出该表所有链和所有规则
-v 详细显示,会将规则匹配的进出网口也列出来
--line-numbers 表示给规则进行编号处理。编号能方便我们后续对规则进行修改、删除等操作

如图所示,表头有以下信息:

  • num 表示当前规则编号,从1开始
  • in 表示该规则会匹配那些的输入网口,如果包是由该网口输入,则会被匹配
  • out 表示该规则会匹配的目标网口,如果包的目标网口是该网口,则会被匹配
  • source 表示该规则匹配的具体源ip范围
  • destination 表示该规则匹配的具体目标ip范围

总结来看,其实一个数据包本身就有源、目标的一些信息,而规则就是基于数据包本身属性的特点进行规则设定。

在已知链末尾添加规则(举例,拒绝某个ip的访问)

iptables -t filter -A INPUT -s 59.45.175.62 -j REJECT

-A 表示Append,其后紧跟的是链的名称,表示该条规则要被添加到哪个链中。
-s 表示包的来源ip即source。除了指定固定的ip外,我们还可以指定ip范围,比如59.45.175.0/24
-j 表示jump 也即是我们最终的动作,这里的动作是拒绝

在已知链链首插入规则

链尾的规则匹配优先级最低,如果前面有规则被匹配后,并将数据包进行了终态处理(比如:ACCEPT, DROP, REJECT),那么链尾的规则将永远不会被使用。

如果我们想要该规则优先匹配,可以选择将其放入链首,使用-I参数,表示insert。举例:

iptables -t filter -I INPUT -s 59.45.175.62 -j REJECT

删除规则

想要删除已配置的规则,可以使用-D参数,参数

iptables -t filter -D INPUT -s 59.45.175.62 -j REJECT

这种删法,要我们明确知道当初添加进去的规则是怎么写的。如果忘了,我们可以通过规则编号进行删除。在查看规则时使用参数--line-numbers(例如:iptables -nvL --line-numbers),可以对规则进行编号,然后基于编号进行删除

iptables -t filter -D FOWARD 1 //表示删除filter表中的FORWARD链的第一条规则

拒绝掉对某个ip的回应

iptables -A OUTPUT -d 31.13.78.35 -j DROP

-d 表示destination,即所有返回给ip 31.13.78.35的数据包都直接丢掉,不回应。

清空某个链中的所有规则

iptables -t filter -F INPUT

所有TCP协议的数据包,都丢弃

iptables -A INPUT -p tcp -j DROP

-p表示protocol

丢弃掉某个ip对端口22的访问

iptables -A INPUT -p tcp -m tcp --dport 22 -s 59.45.175.0/24 -j DROP

由于要对端口进行精准匹配,所以先-m tcp 进行tcp module加载。

如何对多个端口进行匹配

iptables -A INPUT -p tcp -m multiport --dports 22,5901 -s 59.45.175.0/24 -j DROP

匹配指定链接状态的数据包

链接状态有以下几种:

  • NEW:新创建的连接
  • ESTABLISHED 已经建立的连接
  • RELATED:跟已经创建的连接相关的连接
  • INVALID:非正常状态
  • DNAT:如果一个连接其目标地址被nat表PREROUTING链中的规则修改了,即是这个状态
  • SNAT:如果一个连接其源地址被nat表中的规则修改了,即是这个状态
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

即只对已经建立的连接和由此产生的相关连接进行放行

有些版本的linux,对应的module不是conntrack,而是state。 对应指定状态的参数不是ctstate 而是--state。所以,上述写法在有些linux版本中需要替换成

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

一般来讲,这些规则不可能单独出现,如果都不允许任何NEW状态连接建立,那哪来的已建立连接和相关连接?所以正确的做法一般是:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //这条规则允许已经建立的连接和相关连接
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT //新建链接如果是访问22号端口,则允许访问

改变某个链的默认规则

一般每个链都有默认规则,即该链没有任何规则或者没有任何一条规则被匹配的情况下,对数据的放行策略是怎么样的。

Chain INPUT (policy ACCEPT)
...
Chain FORWARD (policy ACCEPT)
...
Chain OUTPUT (policy ACCEPT)
..

以filter表的三个链为例,默认是ACCEPT。 但是我们可以改变这个模型规则,比如默认规则就是DROP

iptables -t filter -P INPUT DROP

回环地址的访问始终允许

iptables -t filter -A INPUT -i lo -j ACCEPT //在本地网络通信的所有包,都放行

-i 表示input 输入网口。lo表示本地的网络接口。这里没有指定-s-d地址 ,表示在回环网络上通信的所有端口,都放行,这样我们本机的web service,访问本机的mysql数据库才不会有问题。当然一般INPUT的默认规则是ACCEPT,你不用配置上述的规则,只要没有其它规则去限制,那么本机回环地址之间的端口通信也是放行的,除非你对INPUT链默认开启了拒绝策略

在使用某个网络时,不响应请求

iptables -A OUTPUT -o wlan0 -d 121.18.238.0/29 -j DROP 

上述配置含义:所有发给目标网口是wlan0 且 目标ip是121.18.238.0/29 地址的包,都会被丢弃。
-o 表示 数据包的目标网口。

在linux命令行中,使用ifconfig,就能看见当前已连接的所有网络接口

规则的取反配置

上述规则配置,一般都是满足某某条件,做什么动作。除此之外,我们还可以配置,如果不满足某某条件,则做某个动作。

iptables -A INPUT -p tcp -m multiport ! --dports 22,80,443 -j DROP

这个不满足则的取动作,是通过感叹号来实现的。
上述命令的含义是:非22,80,443的端口,我们直接丢弃。

当然这条命令之前,应该要配置一条规则:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

因为通过22或80建立的连接,可能会衍生出一些RELATED的连接,他们的端口可能不是22或80,那样也就被拒掉了。会导致通信出问题。

如何将规则持久化

上述命令对iptable的操作,并不是永久生效的,机器重启后,对应配置会丢失。如果需要持久化,则需要以下命令进行保存

centos

  1. 第一步,在修改iptables配置后,将其导出到某个文件,比如: /etc/iptables.conf 。命令为:iptables-save > /etc/iptables.conf 这一步,每次修改后都要做
  2. 第二步,在/etc/rc.local中添加命令iptables-restore < /etc/iptables.conf。从此之后,每次重启,系统会自动从/etc/iptables.conf恢复对应的iptables配置。这一步只需要做一次

ubuntu

安装iptables-persistent,它会在系统启动时,从/etc/iptables/rules.v4/etc/iptables/rules.v6分别加载ipv4 和ipv6的iptables 规则

sudo apt install iptables-persistent

所以,每次我们对iptables进行了任何改动,使用下面的命令,将当前生效的iptables配置,导出到/etc/iptables/rules.v4/etc/iptables/rules.v6即可

sudo iptables-save > /etc/iptables/rules.v4 //如果添加了ipv4 规则,执行这步
sudo ip6tables-save > /etc/iptables/rules.v6 //如果添加了ipv6规则,执行这步

自定义链

除了在现有的链中添加规则,我们也可以自定义链,自定义链可以帮助我们将一组规则收纳在一起,方便我们管理。比如:

  1. 我们可以定义一个名为ssh-rules的链来管理ssh登录的一些规则
iptables -t filter -N ssh-rules
  1. 在这个链中添加具体的规则
iptables -t filter -A ssh-rules -s 18.130.0.0/16 -j ACCEPT
iptables -t filter -A ssh-rules -s 18.11.0.0/16 -j ACCEPT
iptables -t filter -A ssh-rules -j DROP
  1. 然后将该链作为一个规则出口,挂在到iptable内置的链上。
iptables -A INPUT -p tcp -m tcp --dport 22 -j ssh-rules

以上含义就是在Input链中添加一个规则,所有22号端口的访问,都会导向ssh-rules
再次强调: 只要不指定具体使用的表,默认都是filter表

删除自定义链

当我们想要删除自定义链时,使用命令:iptables -X ssh-rules

如何屏蔽docker 暴露的端口

一般我们会在filter中的input链中,配置对某个端口的限制。但是在装有docker的linux服务器上,docker暴露的任何端口,我们却无法通过在filter表中的input链的规则进行限制,这是为什么呢? 我们通过上文的对整个iptables的工作机制,来拆解下原因。

访问docker服务时,iptables的工作机制

比如,我们在docker 中启动一个mysql,暴露端口是3306。 docker宿主机所在ip: 192.168.31.102。docker 服务启动的虚拟网段:172.17.0.1/16 , 启动的mysql在该虚拟网络的ip是: 172.17.0.2

该机器真正的网口是enp0s3。 docker 启动的虚拟网口是docker0

docker服务本身会在iptables中插入很多规则,甚至定义许多自定义化的链

当我们我们在192.68.31.23 这台机器上访问192.168.31.102的3306端口时。

首先数据包被nat表中PREROUTING链命中

该链中的规则会被命中,同时将数据包导向nat表的DOCKER 链

nat中的DOCKER链修改目标地址

  • 第一条规则的输入网口是docker0,显然从192.168.31.102外部访问该机器不可能走这个网口进入,因为docker建立了虚拟网络,不可能被外部访问,所以第一条规则不会命中
  • 第二条规则的输入网口是!docker0,表示非docker网络,该规则能被匹配。由于mysql 实际安装在docker内,如果最终要实现访问,就要对请求包的目标地址进行修改,于是该条规则在匹配后的动作是:tcp dpt:3306 to:172.17.0.2:3306,即将目标网络端口改成docker网段下的172.17.0.2:3306
路由决策到filter中的forward链

由于prerouting对包进行了目标地址的修改,于是路由决策会将该包路由到foward链。所有表中的input 链将直接忽略。

  • forward链中的第一条规则,会应用于DOCKER-USER链。该链的规则是直接返回包。

    相当于第一条规则没启作用。直接会进入第二条规则进行匹配计算

  • 第二条链会包导入DOCKER-ISOLATION-STAGE-1链进行规则计算

    • 一路链下去,最终只有图中的规则能命中,而该规则对包的处理方式,是RETURN,也即交给下个规则处理

  • 第三条规则
    是对目标网口是docker0的包进行匹配,按理说我们的包会匹配这条规则, 但是这条规则被匹配还有一个条件,就是包链接的状态要是已建立的连接才行,我们第一次从外部对数据库进行访问显然不符合这个要求,于是该规则不会命中。进入第四条规则匹配

  • 第四条规则命中后,进入DOCKER 链

    从截图可以看到,包到了这里,被完美匹配。该包首先是一个非docker网络到docker网络的访问,其次,其目标ip是172.17.0.2 的3306端口,匹配后,处理动作是ACCEPT。也即最终该访问被响应,我们从外部网络访问到数据库了。

docker服务无法被iptables限制问题总结及解决办法

说白了,由于数据包被更改了目标地址,于是路由策略将该包导向了FORWARD链。所以我们在INPUT链中再怎么定义规则,都无法限制外网对docker服务的访问。

那解决办法很简单,既然包导向了FORWARD链,那么在FORWARD链中添加拦路虎,不就得了嘛。DOCKER官方给的建议便是如此,比如,针对本文中的例子,我们可以添加如下规则,即可实现所有外部网络都无法访问docker中的服务:

 iptables -I DOCKER-USER -i enp0s3 -j DROP

规则含义是:所有从外部网络进入的数据包,直接被丢弃。
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。
外部访问的数据包,其输入网口,肯定是enp0s3,因为在本例中,它是对外通信的网口。
当然我们也可以在此,插入只允许某个网络访问,或某个网络不能访问的规则,不再赘述。

参考资料

//www.zsythink.net/archives/1199
//www.booleanworld.com/depth-guide-iptables-linux-firewall/
//linuxconfig.org/how-to-make-iptables-rules-persistent-after-reboot-on-linux
//askubuntu.com/questions/579231/whats-the-difference-between-prerouting-and-forward-in-iptables
//docs.docker.com/network/iptables/

欢迎关注我的个人公众号”西北偏北UP”,记录代码人生,行业思考,科技评论