教你设置疯狗都咬不烂的防火墙

1 安全技术和防火墙

1.1 安全技术

入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署（默默的看着你）方式。
入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）
防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.

1.2 防火墙的分类

按保护范围划分：

主机防火墙：服务范围为当前一台主机网络防火墙：服务范围为防火墙一次的局域网

按实现方式划分：硬件防火墙：在专用硬件级别实现部分功能的防火墙软件防火墙：运行于通用硬件平台之上的防火墙应用软件Windows防火墙

按网络协议划分：网络层防火墙：OSI模型下四层，又称为包过滤防火墙应用层防火墙/代理服务器：proxy代理网关、OSI模型七层

1.3 Netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作

Netfilter官网文档：https://netfilter.org/documentation/

2 防火墙工具

2.1 iptables

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告

诉内核如何去处理信息包

2.2 firewalld

从CentOS 7 版开始引入了新的前端管理工具

软件包：

firewalld

firewalld-config

管理工具：

firewall-cmd 命令行工具

firewall-config 图形工作

2.3 nftables

此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表，然后由长期的

netfilter核心团队成员和项目负责人Patrick McHardy于2009年3月发布。它在2013年末合并到Linux内

核中，自2014年以来已在内核3.13中可用。

它重用了netfilter框架的许多部分，例如连接跟踪和NAT功能。它还保留了命名法和基本iptables设计的

几个部分，例如表，链和规则。就像iptables一样，表充当链的容器，并且链包含单独的规则，这些规

则可以执行操作，例如丢弃数据包，移至下一个规则或跳至新链。

从用户的角度来看，nftables添加了一个名为nft的新工具，该工具替代了iptables，arptables和

ebtables中的所有其他工具。从体系结构的角度来看，它还替换了内核中处理数据包过滤规则集运行时

评估的那些部分。

2.4 netfilter中的四表五链

三种报文流向

流入本机：PREROUTING --> INPUT-->用户空间进程(访问我的服务)

流出本机：用户空间进程 -->OUTPUT--> POSTROUTING（穿过我）

转发：PREROUTING --> FORWARD --> POSTROUTING（分摊流量）

五链：

pre-rouing：路由选择前

post-routing：路由选择后

input：处理进入本机的数据包

output 处理从本机出去的数据包

forward：处理转发数据包

四表：

raw表：确定是否对该数据包进行状态跟踪 mangle表：为数据包设置标记（标记优先级） nat表：修改数据包重的源、目标IP地址或端口（地址转换） filter表：确定是否放行该数据包（过滤）

流量：发给你的需要你转发的

选择合理的链做规则

链决定了在什么地方控制流量

表的作用是存放链

表中有链链中有规则

表的划分：如何控制流量

3 iptables

3.1 iptables的组成概述

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，也因此获得广泛的应用。

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

-netfilter/iptables关系： netfilter：

属于“内核态”又称内核空间（kernel space）的防火墙功能体系。linux 好多东西都是内核态用户态，那我们运维人员关注的是用户态，内核我们关注不是很多，内核基本是我们开发人员关心的事情是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables :

属于“用户态”(User Space，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

3.2 基本格式

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

基本格式：

iptables -t 指定表子命令指定链规则

数据包常见控制类型:

ACCEPT：允许数据包通过。
DROP：直接丢弃数据包，不给出任何回应信息。
REJECT：拒绝数据包通过，必要时会给数据发送端一个响应信息。
LOG：在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助动作，并没有真正处理数据包。

3.3 实际操作实验

不允许任何主机ping本主机

允许主机ssh端口通过我的

允许任何主机tcp

允许任何主机udp

查看防火墙规则表

删除清空规则

设置默认策略(-般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单.需要注意的是，当使用管理选项“-F”清空链时，默认策略不受影响。因此若要修改默认策略，必须通过管理选项“-P”重新进行设置。另外，默认策略并不参与链内规则的顺序编排，因此在其他规则之前或之后设置并无区别。)

加入拒绝，形成白名单(需要在这条命令之前加入可以通过的主机不然无法连接任何)

4 隐含扩展

iptables 在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配: --sport 源端口、--dport 目的端口

可以是个别端口、端口范围

4.1 拒绝tcp连接端口号1w-3w的数据包

4.2 ICMP

icmp 协议的扩展选项

[!] --icmp-type {type[/code]|typename} type/code 0/0 echo-reply icmp应答 8/0 echo-request icmp请求

小实验：服务机能ping通 PC1 PC1 不能ping通服务机

服务机：

1.禁止其它主机ping本机

2.允许本机ping其他主机

3.当本机ping不通其它主机时提示目标不可达

客户机：

5 显示扩展模块

显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块

[-m matchname [per-match-options]]

5.1 multiport扩展

以离散方式定义多端口匹配,最多指定15个端口，原公式不支持离散的端口号

5.2 iprange扩展

指明连续的（但一般不是整个网络）ip地址范围

--src-range from[-to] 源IP地址范围

--dst-range from[-to] 目标IP地址范围

5.3 mac扩展

mac 模块可以指明源MAC地址,，适用于：PREROUTING, FORWARD，INPUT chains

5.4 string扩展

对报文中的应用层数据做字符串模式匹配检测

<span style="background-color:#f8f8f8"><span style="color:#333333">[root@localhost ~]#iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "bilibili" -j REJECT 
#注意  请求的包不带字符，回复的包带字符  所以要 output</span></span>

5.5 time模块

根据将报文到达的时间与指定的时间范围进行匹配

<span style="background-color:#f8f8f8"><span style="color:#333333">[root@localhost ~]#date
#中国标准时间
2022年 08月 14日 星期日 22:26:07 CST
[root@localhost ~]#date -u
#美国标准时间
2022年 08月 14日 星期日 14:26:09 UTC

[root@localhost ~]#iptables -A INPUT  -m time --timestart 14:00 --time 16:00 -j REJECT 
iptables v1.4.21: unknown option "--time"
Try `iptables -h' or 'iptables --help' for more information.
[root@localhost ~]#rpm -ql iptables|grep time
/usr/lib64/xtables/libxt_time.so</span></span>