iptables 是一款控制系統(tǒng)進(jìn)出流量的強(qiáng)大配置工具。

現(xiàn)代 Linux 內(nèi)核帶有一個(gè)叫 Netfilter 的數(shù)據(jù)包過濾框架。Netfilter 提供了允許、丟棄以及修改等操作來控制進(jìn)出系統(tǒng)的流量數(shù)據(jù)包?；?Netfilter 框架的用戶層命令行工具 iptables 提供了強(qiáng)大的防火墻配置功能，允許你添加規(guī)則來構(gòu)建防火墻策略。iptables 豐富復(fù)雜的功能以及其巴洛克式命令語法可能讓人難以駕馭。我們就來探討一下其中的一些功能，提供一些系統(tǒng)管理員解決某些問題需要的使用技巧。

避免封鎖自己

應(yīng)用場景：假設(shè)你將對公司服務(wù)器上的防火墻規(guī)則進(jìn)行修改，你需要避免封鎖你自己以及其他同事的情況（這將會(huì)帶來一定時(shí)間和金錢的損失，也許一旦發(fā)生馬上就有部門打電話找你了）

技巧 #1: 開始之前先備份一下 iptables 配置文件。

用如下命令備份配置文件：

1. /sbin/iptables-save >/root/iptables-works

技巧 #2: 更妥當(dāng)?shù)淖龇?，給文件加上時(shí)間戳。

用如下命令加時(shí)間戳：

1. /sbin/iptables-save >/root/iptables-works-`date +%F`

然后你就可以生成如下名字的文件：

1. /root/iptables-works-2018-09-11

這樣萬一使得系統(tǒng)不工作了，你也可以很快的利用備份文件恢復(fù)原狀：

1. /sbin/iptables-restore </root/iptables-works-2018-09-11

技巧 #3: 每次創(chuàng)建 iptables 配置文件副本時(shí)，都創(chuàng)建一個(gè)指向最新的文件的鏈接。

1. ln–s /root/iptables-works-`date +%F`/root/iptables-works-latest

技巧 #4: 將特定規(guī)則放在策略頂部，底部放置通用規(guī)則。

避免在策略頂部使用如下的一些通用規(guī)則：

1. iptables -A INPUT -p tcp --dport 22-j DROP

你在規(guī)則中指定的條件越多，封鎖自己的可能性就越小。不要使用上面非常通用的規(guī)則，而是使用如下的規(guī)則：

1. iptables -A INPUT -p tcp --dport 22–s 10.0.0.0/8–d 192.168.100.101-j DROP

此規(guī)則表示在 INPUT 鏈尾追加一條新規(guī)則，將源地址為 10.0.0.0/8、 目的地址是 192.168.100.101、目的端口號是 22 （--dport 22 ） 的 TCP（-p tcp ）數(shù)據(jù)包通通丟棄掉。

還有很多方法可以設(shè)置更具體的規(guī)則。例如，使用 -i eth0 將會(huì)限制這條規(guī)則作用于 eth0 網(wǎng)卡，對 eth1 網(wǎng)卡則不生效。

技巧 #5: 在策略規(guī)則頂部將你的 IP 列入白名單。

這是一個(gè)有效地避免封鎖自己的設(shè)置：

1. iptables -I INPUT -s <your IP>-j ACCEPT

你需要將該規(guī)則添加到策略首位置。-I 表示則策略首部插入規(guī)則，-A 表示在策略尾部追加規(guī)則。

技巧 #6: 理解現(xiàn)有策略中的所有規(guī)則。

不犯錯(cuò)就已經(jīng)成功了一半。如果你了解 iptables 策略背后的工作原理，使用起來更為得心應(yīng)手。如果有必要，可以繪制流程圖來理清數(shù)據(jù)包的走向。還要記住：策略的預(yù)期效果和實(shí)際效果可能完全是兩回事。

設(shè)置防火墻策略

應(yīng)用場景：你希望給工作站配置具有限制性策略的防火墻。

技巧 #1: 設(shè)置默認(rèn)規(guī)則為丟棄

1. #Set a default policy of DROP
2. *filter
3. :INPUT DROP [0:0]
4. :FORWARD DROP [0:0]
5. :OUTPUT DROP [0:0]

技巧 #2: 將用戶完成工作所需的最少量服務(wù)設(shè)置為允許

該策略需要允許工作站能通過 DHCP（-p udp --dport 67:68 -sport 67:68）來獲取 IP 地址、子網(wǎng)掩碼以及其他一些信息。對于遠(yuǎn)程操作，需要允許 SSH 服務(wù)（-dport 22），郵件服務(wù)（--dport 25），DNS 服務(wù)（--dport 53），ping 功能（-p icmp），NTP 服務(wù)（--dport 123 --sport 123）以及 HTTP 服務(wù)（-dport 80）和 HTTPS 服務(wù)（--dport 443）。

1. #Set a default policy of DROP
2. *filter
3. :INPUT DROP [0:0]
4. :FORWARD DROP [0:0]
5. :OUTPUT DROP [0:0]
6. #Accept any related or established connections
7. -I INPUT  1-m state --state RELATED,ESTABLISHED -j ACCEPT
8. -I OUTPUT 1-m state --state RELATED,ESTABLISHED -j ACCEPT
9. #Allow all traffic on the loopback interface
10. -A INPUT -i lo -j ACCEPT
11. -A OUTPUT -o lo -j ACCEPT
12. #Allow outbound DHCP request
13. -A OUTPUT –o eth0 -p udp --dport 67:68--sport 67:68-j ACCEPT
14. #Allow inbound SSH
15. -A INPUT -i eth0 -p tcp -m tcp --dport 22-m state --state NEW  -j ACCEPT
16. #Allow outbound email
17. -A OUTPUT -i eth0 -p tcp -m tcp --dport 25-m state --state NEW  -j ACCEPT
18. #Outbound DNS lookups
19. -A OUTPUT -o eth0 -p udp -m udp --dport 53-j ACCEPT
20. #Outbound PING requests
21. -A OUTPUT –o eth0 -p icmp -j ACCEPT
22. #OutboundNetworkTimeProtocol(NTP) requests
23. -A OUTPUT –o eth0 -p udp --dport 123--sport 123-j ACCEPT
24. #Outbound HTTP
25. -A OUTPUT -o eth0 -p tcp -m tcp --dport 80-m state --state NEW -j ACCEPT
26. -A OUTPUT -o eth0 -p tcp -m tcp --dport 443-m state --state NEW -j ACCEPT
27. COMMIT

限制 IP 地址范圍

應(yīng)用場景：貴公司的 CEO 認(rèn)為員工在 Facebook 上花費(fèi)過多的時(shí)間，需要采取一些限制措施。CEO 命令下達(dá)給 CIO，CIO 命令 CISO，最終任務(wù)由你來執(zhí)行。你決定阻止一切到 Facebook 的訪問連接。首先你使用 host 或者 whois 命令來獲取 Facebook 的 IP 地址。

1. host -t a www.facebook.com
2. www.facebook.com is an aliasfor star.c10r.facebook.com.
3. star.c10r.facebook.com has address 31.13.65.17
4. whois 31.13.65.17|grep inetnum
5. inetnum:        31.13.64.0-31.13.127.255

然后使用 CIDR 到 IPv4 轉(zhuǎn)換 頁面來將其轉(zhuǎn)換為 CIDR 表示法。然后你得到 31.13.64.0/18 的地址。輸入以下命令來阻止對 Facebook 的訪問：

1. iptables -A OUTPUT -p tcp -i eth0 –o eth1 –d 31.13.64.0/18-j DROP

按時(shí)間規(guī)定做限制 – 場景1

應(yīng)用場景：公司員工強(qiáng)烈反對限制一切對 Facebook 的訪問，這導(dǎo)致了 CEO 放寬了要求（考慮到員工的反對以及他的助理提醒說她負(fù)責(zé)更新他的 Facebook 頁面）。然后 CEO 決定允許在午餐時(shí)間訪問 Facebook（中午 12 點(diǎn)到下午 1 點(diǎn)之間）。假設(shè)默認(rèn)規(guī)則是丟棄，使用 iptables 的時(shí)間功能便可以實(shí)現(xiàn)。

1. iptables –A OUTPUT -p tcp -m multiport --dport http,https -i eth0 -o eth1 -m time--timestart 12:00–timestop 13:00–d 31.13.64.0/18-j ACCEPT

該命令中指定在中午12點(diǎn)（--timestart 12:00）到下午 1 點(diǎn)（--timestop 13:00）之間允許（-j ACCEPT）到 Facebook.com （-d [31.13.64.0/18][5]）的 http 以及 https （-m multiport --dport http,https）的訪問。

按時(shí)間規(guī)定做限制 – 場景2

應(yīng)用場景：在計(jì)劃系統(tǒng)維護(hù)期間，你需要設(shè)置凌晨 2 點(diǎn)到 3 點(diǎn)之間拒絕所有的 TCP 和 UDP 訪問，這樣維護(hù)任務(wù)就不會(huì)受到干擾。使用兩個(gè) iptables 規(guī)則可實(shí)現(xiàn)：

1. iptables -A INPUT -p tcp -m time--timestart 02:00--timestop 03:00-j DROP
2. iptables -A INPUT -p udp -m time--timestart 02:00--timestop 03:00-j DROP

該規(guī)則禁止（-j DROP）在凌晨2點(diǎn)（--timestart 02:00）到凌晨3點(diǎn)（--timestop 03:00）之間的 TCP 和 UDP （-p tcp and -p udp）的數(shù)據(jù)進(jìn)入（-A INPUT）訪問。

限制連接數(shù)量

應(yīng)用場景：你的 web 服務(wù)器有可能受到來自世界各地的 DoS 攻擊，為了避免這些攻擊，你可以限制單個(gè) IP 地址到你的 web 服務(wù)器創(chuàng)建連接的數(shù)量：

1. iptables –A INPUT –p tcp –syn -m multiport -–dport http,https –m connlimit -–connlimit-above 20–j REJECT -–reject-with-tcp-reset

分析一下上面的命令。如果單個(gè)主機(jī)在一分鐘之內(nèi)新建立（-p tcp -syn）超過 20 個(gè)（-connlimit-above 20）到你的 web 服務(wù)器（--dport http,https）的連接，服務(wù)器將拒絕（-j REJECT）建立新的連接，然后通知對方新建連接被拒絕（--reject-with-tcp-reset）。

監(jiān)控 iptables 規(guī)則

應(yīng)用場景：由于數(shù)據(jù)包會(huì)遍歷鏈中的規(guī)則，iptables 遵循 “首次匹配獲勝” 的原則，因此經(jīng)常匹配的規(guī)則應(yīng)該靠近策略的頂部，而不太頻繁匹配的規(guī)則應(yīng)該接近底部。 你怎么知道哪些規(guī)則使用最多或最少，可以在頂部或底部附近監(jiān)控？

技巧 #1: 查看規(guī)則被訪問了多少次

使用命令：

1. iptables -L -v -n –line-numbers

用 -L 選項(xiàng)列出鏈中的所有規(guī)則。因?yàn)闆]有指定具體哪條鏈，所有鏈規(guī)則都會(huì)被輸出，使用 -v 選項(xiàng)顯示詳細(xì)信息，-n 選項(xiàng)則顯示數(shù)字格式的數(shù)據(jù)包和字節(jié)計(jì)數(shù)器，每個(gè)規(guī)則開頭的數(shù)值表示該規(guī)則在鏈中的位置。

根據(jù)數(shù)據(jù)包和字節(jié)計(jì)數(shù)的結(jié)果，你可以將訪問頻率最高的規(guī)則放到頂部，將訪問頻率最低的規(guī)則放到底部。

技巧 #2: 刪除不必要的規(guī)則

哪條規(guī)則從來沒有被訪問過？這些可以被清除掉。用如下命令查看：

1. iptables -nvL |grep-v "0     0"

注意：兩個(gè)數(shù)字 0 之間不是 Tab 鍵，而是 5 個(gè)空格。

技巧 #3: 監(jiān)控正在發(fā)生什么

可能你也想像使用 top 命令一樣來實(shí)時(shí)監(jiān)控 iptables 的情況。使用如下命令來動(dòng)態(tài)監(jiān)視 iptables 中的活動(dòng)，并僅顯示正在遍歷的規(guī)則：

1. watch--interval=5'iptables -nvL | grep -v "0     0"'

watch 命令通過參數(shù) iptables -nvL | grep -v “0 0“ 每隔 5 秒輸出 iptables 的動(dòng)態(tài)。這條命令允許你查看數(shù)據(jù)包和字節(jié)計(jì)數(shù)的變化。

輸出日志

應(yīng)用場景：經(jīng)理覺得你這個(gè)防火墻員工的工作質(zhì)量杠杠的，但如果能有網(wǎng)絡(luò)流量活動(dòng)日志最好了。有時(shí)候這比寫一份有關(guān)工作的報(bào)告更有效。

使用工具 FWLogwatch 基于 iptables 防火墻記錄來生成日志報(bào)告。FWLogwatch 工具支持很多形式的報(bào)告并且也提供了很多分析功能。它生成的日志以及月報(bào)告使得管理員可以節(jié)省大量時(shí)間并且還更好地管理網(wǎng)絡(luò)，甚至減少未被注意的潛在攻擊。

這里是一個(gè) FWLogwatch 生成的報(bào)告示例：

不要滿足于允許和丟棄規(guī)則

本文中已經(jīng)涵蓋了 iptables 的很多方面，從避免封鎖自己、配置 iptables 防火墻以及監(jiān)控 iptables 中的活動(dòng)等等方面介紹了 iptables。你可以從這里開始探索 iptables 甚至獲取更多的使用技巧。

via: https://opensource.com/article/18/10/iptables-tips-and-tricks

作者：Gary Smith 選題：lujun9972 譯者：jrg 校對：wxy

本文由 LCTT 原創(chuàng)編譯，Linux中國 榮譽(yù)推出