production环境中iptables常用参数配置

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　作者：尹正杰

版权声明：原创作品，谢绝转载！否则将追究法律责任。

　　　我相信在实际生产环境中有很多运维的兄弟跟我一样，很少用到iptables的这个命令。因为大家的服务器的防火墙都是关闭的，但是如果你的

服务器是有公网IP的话就会面临各种安全的问题呢，所以我建议大家还是开启防火墙，这个命令其实挺有意思的，就是配置起来比较繁琐，但是原理还

是很容易理解的，关于其原理百度上面一大堆，我这就不再废话啦~

一.在配置之前，我们需要扫盲一下知识点：

1.iptables简介：

注意，大家子啊man iptables的时候会发现里面的解释有4个表，即raw表。我们几乎用不上他，可以忽略它。如果有遇到的这个表的精密用法的小姐姐可以发我一下啊，万分感谢！

看了上图，你如果对每个表的功能不够清楚，那么就一起来缕一缕吧：

二.四标五链的作用，

四表：

1.filter表：

　　　　　　1>.实现过滤数据包 ;

　　　　　　2>.内核模块：iptables_filter

　　　　　　3>.三个链：INPUT、FORWARD、OUTPUT;

2.nat表：

　　　　　　1>.实现地址转换（IP、端口）;

　　　　　　2>.内核模块：iptable_nat;

　　　　　　3>.三个链：PREROUTING、POSTROUTING、OUTPUT；

3.mangle表：

　　　　　　1>.数据包管理（修改包头信息，例如ttl等信息;修改数据包的服务类型;并且可以配置路由实现QOS[流量控制]）；

　　　　　　2>.内核模块：iptable_mangle；

　　　　　　3>.五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD；

4.raw表：

　　　　　　1>.数据包跟踪，决定数据包是否被状态跟踪机制处理 ；

　　　　　　2>.内核模块：iptable_raw

　　　　　　3>.两个链：OUTPUT、PREROUTING

五链：

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后，目的地不为本机

OUTPUT:由本机产生，向外转发

POSTROUTIONG:发送到网卡接口之前。

其实从上面的那个iptables的工作流程图可以看出来规则表之间的顺序：（raw——）mangle——nat——filter，一般我们很少对raw做配置，我生产环境中几乎没有用到呢，

规则链之间的优先顺序：

第一种情况：入站数据流向

从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比

如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进

行响应。

第二冲情况：转发数据流向

    来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问QQ站点的数据包），则

内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

第三种情况：出站数据流向
     防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据

包的地址等）进行处理。

三.iptables参数详解

Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则

指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。

TARGETS 
防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过],

DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规

则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。

常见的管理选项

防火墙规则的条件：

更加相信的参数请参考：http://www.cnblogs.com/yinzhengjie/p/6256727.html

四.最小化想对来说安全的防火墙部署策略

五.利用iptables处理DOSS攻击

根据TCP/IP协议的握手原理，最常见的非法组和为SYN/FIN包，由于SYN包是用来初始化连接的，因此当它和FIN以及RST一起出现的时候就是恶意攻击。以下是相关配置

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,RST -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP

[root@yinzhengjie ~]# iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

[root@yinzhengjie ~]#

 

 

 

六.iptables命令使用技巧:

　　　　　　1>. 可以不指定表，默认为filter表;

　　　　　　2>. 可以不指定链，默认为对应表的所有链;

　　　　　　3>. 除非设置默认策略，否则必须指定匹配条件;

　　　　　　4>. 选项/链名/目标操作用大写字母，其余都小写;