iptables提供強大的功能來控制進出系統的流量。

現代Linux內核附帶了一個名為Netfilter的包過濾框架。Netfilter可以允許，刪除和修改進出系統的流量。iptables用戶空間命令行工具以此功能為基礎，提供強大的防火墻，可以通過添加規則來配置防火墻以形成防火墻策略。iptables因其豐富的功能和巴洛克式命令語法而非常令人生畏。讓我們探討其中的一些為系統管理員可能遇到許多情況的一套iptables技巧和竅門。

避免鎖定自己

場景：你將對公司主服務器上的iptables策略規則進行更改。你想避免鎖定自己 ，可能還有其他所有人。(這會花費時間和金錢，導致半夜手機響起。)

[[245654]]

提示#1：在開始處理iptables配置之前先備份它。

使用以下命令備份配置：

/sbin/iptables-save > /root/iptables-works 

提示#2：更好的方法是，在文件名中包含一個時間戳。

使用以下命令添加時間戳：

/sbin/iptables-save > /root/iptables-works-`date +%F` 

你得到一個名稱如下的文件：

/root/iptables-works-2018-09-11 

如果你做了阻止系統工作的事情，你可以快速恢復它：

提示#3：每次創建iptables策略的備份副本時，都要在名稱中創建一個指向“latest”的文件的鏈接。

ln –s /root/iptables-works-`date +%F` /root/iptables-works-latest 

提示#4：將特定規則放在底部的策略和通用規則的頂部。

避免在策略規則的頂部使用這樣的通用規則：

iptables -A INPUT -p tcp --dport 22 -j DROP 

在規則中指定的條件越多，鎖定自己的機會就越少。而不是上面的非常通用的規則，使用這樣的內容：

iptables -A INPUT -p tcp --dport 22 –s 10.0.0.0/8 –d 192.168.100.101 -j DROP 

此規則將(-A)附加到INPUT鏈中，規則將DROP任何源自TCP(-p tcp)端口22( - 端口22)上的CIDR塊10.0.0.0/8的數據包發往IP地址192.168.100.101 (-d 192.168.100.101)。

有很多方法可以更具體。例如，使用-i eth0會將處理限制為服務器中的單個NIC。這樣，過濾操作將不會將規則應用于eth1。

提示#5：在策略規則頂部將你的IP地址列入白名單。

這是一種不會鎖定自己的非常有效的方法。

iptables -I INPUT -s -j ACCEPT 

需要將此作為其正常工作的第一條規則。 記住，-I將其作為第一條規則插入; -A將其附加到列表的末尾。

提示#6：了解并理解當前的所有規則。

首先不犯錯誤就是成功的一半。如果了解iptables策略背后的內部工作原理，它將使你的生活更輕松。如果必須，繪制流程圖。 還要記住：策略的作用和應該做的事情可能是兩件不同的事情。

設置工作站防火墻策略

場景：你希望設置具有限制性防火墻策略的工作站。

提示#1：將默認策略設置為DROP。

# Set a default policy of DROP 
*filter 
:INPUT DROP [0:0] 
:FORWARD DROP [0:0] 
:OUTPUT DROP [0:0] 

提示#2：允許用戶完成工作所需的最少量服務。

iptables規則需要允許工作站通過DHCP獲取IP地址，網絡掩碼和其他重要信息(-p udp --dport 67:68 --sport 67:68)。對于遠程管理，規則需要允許入站SSH(--dport 22)，出站郵件(--dport 25)，DNS( - export 53)，出站ping(-p icmp)，網絡時間協議(--dport 123 --sport 123)，以及出站HTTP(--dport 80)和HTTPS(--dport 443)。

# Set a default policy of DROP 
*filter 
:INPUT DROP [0:0] 
:FORWARD DROP [0:0] 
:OUTPUT DROP [0:0] 
 
# Accept any related or established connections 
-I INPUT  1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
 
# Allow all traffic on the loopback interface 
-A INPUT -i lo -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
 
# Allow outbound DHCP request 
-A OUTPUT –o eth0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT 
 
# Allow inbound SSH 
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW  -j ACCEPT 
 
# Allow outbound email 
-A OUTPUT -i eth0 -p tcp -m tcp --dport 25 -m state --state NEW  -j ACCEPT 
 
# Outbound DNS lookups 
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT 
 
# Outbound PING requests 
-A OUTPUT –o eth0 -p icmp -j ACCEPT 
 
# Outbound Network Time Protocol (NTP) requests 
-A OUTPUT –o eth0 -p udp --dport 123 --sport 123 -j ACCEPT 
 
# Outbound HTTP 
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT 
-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT 

COMMIT

限制IP地址范圍

場景：貴公司的首席執行官認為員工在Facebook上花費了太多時間而沒有完成任何工作。 首席執行官告訴CIO要對員工在Facebook上浪費時間做些什么。 首席信息官告訴CISO要對員工在Facebook上浪費時間做些什么。 最后，你被告知員工在Facebook上浪費了太多時間，你必須對此做些什么。 你決定阻止對Facebook的所有訪問。首先，使用host和whois命令查找Facebook的IP地址。

host -t a www.facebook.com 
www.facebook.com is an alias for star.c10r.facebook.com. 
star.c10r.facebook.com has address 31.13.65.17 
whois 31.13.65.17 | grep inetnum 
inetnum:        31.13.64.0 - 31.13.127.255 

然后使用CIDR到IPv4轉換頁面將該范圍轉換為CIDR表示法。 你得到31.13.64.0/18。 要阻止對www.facebook.com的傳出訪問，請輸入：

iptables -A OUTPUT -p tcp -i eth0 –o eth1 –d 31.13.64.0/18 -j DROP 

按時間設置規則

場景：拒絕公司員工訪問Facebook的強烈反對導致首席執行官放松一點(這和他的行政助理提醒他，她讓HIS Facebook頁面保持最新狀態)。首席執行官決定僅在午餐時間(中午12點至下午1點)允許訪問Facebook.com。 假設默認策略是DROP，請使用iptables的時間功能打開訪問權限。

iptables –A OUTPUT -p tcp -m multiport --dport http,https -i eth0 -o eth1 -m time --timestart 12:00 --timestart 12:00 –timestop 13:00 –d  
31.13.64.0/18  -j ACCEPT 

此命令將策略設置為允許(-j ACCEPT)http和https(-m multiport --dport http，https)在中午(--timestart 12:00)和13PM(--timestop 13:00)之間到Facebook.com (-d 31.13.64.0/18)。

按時間調整-Take 2

場景：在計劃的系統維護停機期間，需要在凌晨2點到凌晨3點之間拒絕所有TCP和UDP流量，這樣維護任務就不會受到傳入流量的干擾。 這將采取兩個iptables規則：

iptables -A INPUT -p tcp -m time --timestart 02:00 --timestop 03:00 -j DROP  
iptables -A INPUT -p udp -m time --timestart 02:00 --timestop 03:00 -j DROP 

根據這些規則，TCP和UDP流量(-p tcp和-p udp)在輸入的2AM(--timestart 02:00)和3AM(--timestop 03:00)之間被拒絕(-j DROP)( - IUPUT)。

限制與iptables的連接

場景：你的互聯網連接的Web服務器受到來自世界各地的不良攻擊，他們試圖使用DoS(拒絕服務)。要減輕這些攻擊，你可以限制單個IP地址與Web服務器之間的連接數：

iptables –A INPUT –p tcp –syn -m multiport -–dport http,https –m connlimit -–connlimit-above 20 –j REJECT -–reject-with-tcp-reset 

讓我們來看看這條規則的作用。如果主機在一分鐘內向Web服務器(-dport http，https)發出超過20個(--connlimit-大于20)個新連接(-p tcp -syn)，則拒絕新連接(-j REJECT)，并告訴連接主機你拒絕連接(--reject-with-tcp-reset)。

監控iptables規則

場景：由于iptables在鏈條中遍歷規則，因此iptables在“首次匹配獲勝”的基礎上運行，因此經常匹配的規則應該接近策略的頂部，而不太頻繁匹配的規則應該接近底部。 你怎么知道哪些規則最多或最少，所以可以在頂部或底部附近訂購?

提示#1：查看每個規則被擊中的次數。

使用此命令：

iptables -L -v -n –line-numbers 

該命令將列出鏈中的所有規則(-L)。由于沒有指定鏈，所有鏈都將列出詳細輸出(-v)，顯示數字格式的數據包和字節計數器(-n)，每個規則開頭的行號對應于該規則在鏈中的位置。

使用數據包和字節計數，您可以將最常訪問的規則排序到頂部，將最不頻繁遍歷的規則排在最后。

提示#2：刪除不必要的規則。

哪些規則根本沒有獲得任何匹配? 這些將是從政策中刪除的良好候選人。你可以用這個命令找到它：

iptables -nvL | grep -v "0 0" 

注意：這不是零之間的標簽; 零之間有五個空格。

提示#3：監控正在發生的事情。

不想要實時監控iptables的情況，例如top。 使用此命令動態監視iptables活動的活動，并僅顯示正在遍歷的規則：

watch --interval=5 'iptables -nvL | grep -v "0 0"' 

看跑'iptables -nvL | grep -v“0 0”'每五秒鐘顯示一次輸出的第一個屏幕。 這使可以觀察數據包和字節數隨時間的變化。

關于iptables的報告

場景：你的經理認為這個iptables防火墻的東西很棒，但每日活動報告會更好。有時寫報告比做工作更重要。

使用數據包過濾器/防火墻/ IDS日志分析器FWLogwatch根據iptables防火墻日志創建報告。 FWLogwatch支持許多日志格式并提供許多分析選項。 它生成日志文件的每日和每月摘要，使安全管理員可以節省大量時間，更好地控制網絡安全，并減少未被注意的攻擊。

以下是FWLogwatch的示例輸出：

不僅僅是ACCEPT和DROP

我們已經涵蓋了iptables的許多方面，從確保在使用iptables監視iptables以可視化iptables防火墻的活動時確保你沒有鎖定自己。這些將讓你開始實現更多的iptables提示和技巧。