iptables

# iptables
## 说明
- iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.
  - prerouting:进入netfilter后的数据包在进入路由判断前执行的规则。改变包。
  - Input：当经过路由判断后，要进入本机的数据包执行的规则。
  - output:由本机产生，需向外发的数据包执行的规则。
  - forward:经过路由判断后，目的地不是本机的数据包执行的规则。与nat 和 mangle表相关联很高，与本机没有关联。
  - postrouting:经过路由判断后，发送到网卡接口前。即数据包准备离开netfilter时执行的规则。

- 4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter
  - filter：一般的过滤功能
  - nat:用于nat功能（端口映射，地址映射等）
  - mangle:用于对特定数据包的修改
  - raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能

- 表与链之间的关系

| 表      | 链                                               |
	| :-----: | :---------------------------------------------: |
	| filter  |  FORWARD、INPUT、 OUTPUT                         |
	|  nat    |  PREROUTING、POSTROUTING、OUTPUT                 |
	|  mangle |  PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD |
	|  raw    |  PREROUTING、OUTPUT                              |

![](/media/202108/2021-08-19_181142.png)

## 转发内网oracle到外网
- 内网oracle：
    - 内网IP：2.2.2.2
- 转发服务器：
    - 内网IP：2.2.2.1
    - 外网IP：1.1.1.1

1. 检查系统是否允许转发ipv4数据包
输出`net.ipv4.ip_forward = 1`即为允许
```
[root@ecard-web1-smartcardweb ~]# sysctl -p |grep "ipv4.ip_forward"
net.ipv4.ip_forward = 1
```

2. 检查FORWARD规则
如果IPTABLES未允许FORWARD转发链的话，即使配置了dnat和snat也无法访问转发的端口的,下面的输出意味着允许任何转发规则。
```
[root@ecard-web1-smartcardweb ~]# iptables -L FORWARD|grep -v ^Chain  |grep ^ACCEPT
ACCEPT     all  --  anywhere             anywhere
```
如果没有允许，则执行
```
iptables -I FORWARD -j ACCEPT
```

3. 配置转发
在转发服务器上面操作
```
iptables -t nat -A PREROUTING -p tcp --dport 11521 -j DNAT --to-destination 2.2.2.2:1521
iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 1521 -j SNAT --to-source 2.2.2.1
iptables -t nat -A POSTROUTING -j MASQUERADE
```

## INPUT规则
- 允许单个源IP访问本机全部端口
```
iptables -I INPUT -s 1.1.1.1/32 -j ACCEPT
```

- 允许源IP段访问本机全部端口
```
iptables -I INPUT -s 1.1.1.0/24 -j ACCEPT
```

- 允许范围源IP访问本机全部端口
```
iptables -I INPUT -m iprange --src-range 1.1.1.1-1.1.1.3 -j ACCEPT
```

- 允许全部源访问某个端口
```
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
# 或
iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT
```

- 允许全部源访问端口范围
```
iptables -I INPUT -p tcp --dport 10000:20000 -j ACCEPT
# 或
iptables -I INPUT -s 0.0.0.0/0 -p tcp --dport 10000:20000 -j ACCEPT
```