因软件世界之复杂和个人能力之限#xff0c;难免疏漏和错误#xff0c;欢迎指正。

文章目…文档形成时期2009-2024年

和iptables打交道有15年了经过无数实践后形成一个简易应用文档。

文章目录

iptables简要说明iptables和firewalld的关系如何选择防火墙禁用firewalld启用iptables保存经验通过自定义链并写入开机启动的解决案例

加载内核模块基本操作常用模块和参数iprangeicmpsport和dportmultiportstatemacline-numberslimitcomment-j

动作SNAT示例DNAT示例

应用案例通过iptables实现跨地域转发端口LOG示例调节MTU简单限速通过状态模块实现FTP策略防攻击示例初始化和默认策略示例

常规简易配置综合脚本范例

rhel7以下系列使用iptables从rhel7开始使用firewalld但iptables也存在正因为共同存在所以常给初用者造成诸多困扰。

在RHEL7里有几种防火墙共存firewalld、iptables、ebtables默认是使用firewalld来管理netfilter子系统不过底层调用的命令仍然是iptables等。

如何选择防火墙

rhel8或以上可以采用firewalld使用iptables也是可以的但两者选其一即可。

如果有docker、k8s等紧密依赖iptables的环境建议采用iptables禁用firewalld请把这个配置写入新系统初始配置中。

禁用firewalld

#安装了iptables套件后才有效默认保存位置/etc/sysconfig/iptablesiptables套件配置文件是/etc/sysconfig/iptables-config方式二

iptables-save

/etc/sysconfig/iptables_${datetime}

iptables-restore

/etc/sysconfig/iptables_${datetime}在多人管理的工作环境中采用同一脚本去管理iptables是非常推荐的做法但如果确实混乱不堪维护好/etc/sysconfig/iptables是最好的选择。

参考常规简易配置综合脚本范例

在iptables和firewalld共存的系统比如rhel7系列但又没有安装iptables套件或采用了firewalld和iptables共同管理防火墙造成了iptables策略混乱这时候可用iptables-save命令保存策略不过这时可能更应该考虑采用firewalld去管理iptables

2024年实践中发现k8s的网络插件calico管理的iptables策略可能造成iptables-save命令也无法完整保存策略这需要根据生产场景来制定应对方案以避免重启后策略丢失。

#!/bin/bash

###################################

function

/root/sh/log/iptables_for_tmp.log

/etc/rc.local;

k8s的calico导致防火墙iptables服务无法恢复运行改用脚本

###################################export

LANGC

PATH/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin#

22端口处理

/root/sh/log/iptables_for_tmp.log

/etc/rc.local;

在早期版本的Linux内核iptables的NAT一般不能使用FTP的20端口可以使用下面命令加载模块

insmod

/lib/modules/2.6.18-164.el5/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko

insmod

/lib/modules/2.6.18-164.el5/kernel/net/ipv4/netfilter/ip_nat_ftp.ko

或使用modprobe命令加载推荐modprobe因为insmod不解决依赖关系

modprobe

done基于近些年Linux内核版本的系统比如rhel6还未仔细分析过是否默认支持上述模块没有的话可以根据业务场景选择是否加载。

基本操作

iptables规则执行顺序是从上到下前面的匹配后就不再看后面的。

基本语法

列表时同时显示策略号方便更新局部策略而不需要重新配置所有策略。

常用模块和参数

port[,port[,port:port...]]Match

***

port[,port[,port:port...]]Match

***

port[,port[,port:port...]]Match

ei***r

状态NEW、RELATED、ESTABLISHED、INVALID

NEW有别于tcp

英语上看是限制的意思但实际上只是按一定速率去匹配而已要想限制的话后面要再跟一条DROP但使用下面这条就不必了。

--limit-burst

numberMaximum

规则然后进入了子链EXAMPLE_CHAIN。

在子链中又匹配了某条规则恰巧target

RETURN那包就返回INPUT

iptables端口代理做到像nginxhaproxy一样转发TCP请求但是它不能关心应用层的东西比机主机头没有超时时间限制除非网络不稳定

开启系统路由

/proc/sys/net/ipv4/ip_forward或者修改/etc/sysctl.conf

net.ipv4.ip_forward

添加nat策略到转发服务器iptables主脚本假设通过脚本管理iptables且有一个主脚本在转发服务器添加示例如下

iptables

这句意思是限定每秒只转发86个到达192.168.0.2的数据包约每秒128KB

FORWARD

#这句作用是超过限制的到达192.168.0.2的数据包不通过

对于FTP如果有允许状态RELATED,ESTABLISHED的规则并加载了ip_conntrack_ftp模块

就不必再单独允许20和被动端口如

处理IP碎片数量,防止攻击,允许每秒100个-f就是指定碎片包

[roottp

iptables也有缓存cc或ddos攻击的能力但现如果很多cc和ddos都不是iptables能解决的这里就略了。

初始化和默认策略示例

一个非常简易通用适用于大部分场景的基础脚本基于此广泛应用于rhel5-rhel9系列和ubuntu系列的数千台系统有充分的实践过程可靠且易于维护。

在有docker或k8s的环境中建议基于此改用自定义链维护自定义策略在本文通过自定义链并写入开机启动的解决案例中有采用自定义链的方式可参考。

#!/bin/bash

###################################

function

############################################

ENV

PATH/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin######

filter

%Y%m%d-%H%M%S)该脚本可以反复执行不会产生冗余策略。