一、iptables防火墙概述

1.简介

Linux系统的防火墙: IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。

主要工作在网络层，针对IP数据包。针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）

2.netfilter/iptables关系

netfilter：属于“内核态” (Kernel Space， 又称为内核空间)的防火墙功能体系。 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态” (User Space，又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序，它使插入，修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

netfilter/iptables后期简称为iptables。
iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。
表中所有规则配置后，立即生效，不需要重启服务。

3.iptables的四表五链

（1）四表

raw表：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。

mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。

filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

在iptables的四个规则表中，filter表是防火墙默认表，mangle表和raw表的应用相对较少。

（2）五链

INPUT：处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT：处理出站数据包，一般不在此链上做配置。

FORWARD：处理转发数据包，匹配流经本机的数据包。

PREROUTING链：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。

POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

数据包到达防火墙时，规则表之间的优先顺序
raw > mangle > nat > filter

4.数据包过滤的匹配流程

（1）入站

入站数据包从A网络发到B网络，首先发到防火墙，先后顺序经过有PREROUTING链的三个表（raw、mangle、nat），如果都是放通状态的会经过路由选择，然后根据目的地址一层一层往上送，经过有INPUT的两个表（mangle、filter），一直送到应用程序。

（2）转发

目的地不是本机，数据包先从A网络过滤，经过PREROUTING链，看是否是自己的目的地址，如果是外网到内网需要用nat转换成内网IP，找到内网用户，经过FORWARD链进行过滤，允许放通的到达POSTROUING链，再把内网地址转换成公网，这样数据包才能回去；如果是内网往外网发顺序就是反过来。

从本机的应用程序发出来， 经过路由选择，让路由知道从哪里发，先后顺序经过有OUTPUT链的四个表（raw、mangle、nat、filter），都放通后到达POSTROUING链的两个表（mangle、nat），如果没有什么转换地址，就出站。

总结
当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后， 任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后发送出去。
如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

二、iptables防火墙配置

1.下载相关服务

Centos 7默认使用firewalld防火墙，没有安装iptables， 若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

systemctl stop firewalld. service //关闭firewalld防火墙
systemctl disable firewalld. service //取消firewalld防火墙开机自启动
yum -y install iptables iptables-services //安装iptables和iptables-services
systemctl start iptables.service //启动iptables-services

2.iptables命令

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

常用管理选项

常用控制类型

匹配条件

注意事项

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件控制类型使用大写字母，其余均为小写

3.实操

（1）添加新的规则

//1.-A 在filter表的INPUT链末行添加拒绝icmp的规则
[root@localhost1 ~]#iptables -t filter -A INPUT -p icmp -j REJECT
 
//2.-I 不指定行，是在指定链首行插入规则（允许tcp 22端口）
[root@localhost1 ~]#iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
 
//3.-I 指定行，是在指定链的指定行上插入规则
[root@localhost1 ~]#iptables -t filter -I INPUT 2 -p tcp --dport 22 -j ACCEPT

（2）查看规则

//1.查看指定表的规则（不加链名显示所有链的所有规则）
[root@localhost1 ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
REJECT     icmp --  anywhere             anywhere             reject-with icmp-port                                                                                                         -unreachable
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
//2.-nL 以数字形式显示
[root@localhost1 ~]#iptables -t filter -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port                                                                                                         -unreachable
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
//3.-nvL 以数字形式显示，并显示详细信息
[root@localhost1 ~]#iptables -t filter -nvL
Chain INPUT (policy ACCEPT 3 packets, 381 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                             
  408 29984 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     tcp dpt:22
    5   420 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                             
Chain OUTPUT (policy ACCEPT 66 packets, 5784 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                
//4. --line-numbers 显示规则序号（指定链名，就显示指定链的规则）
[root@localhost1 ~]#iptables -t filter -nvL INPUT --line-numbers
Chain INPUT (policy ACCEPT 3 packets, 381 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      902 64816 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3        5   420 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

（3） 删除规则

注意
若规则列表中期多条相同的规则时，按内容匹配只删除的序号最小的一条
按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
按内容匹配删数时，确保规则存在，否则报错

//1.根据规则序号删
[root@localhost1 ~]#iptables -D INPUT 3
 
//2.根据规则内容删（相当于操作一遍创建指定规则的步骤加上-D选项删除）
[root@localhost1 ~]#iptables -D INPUT -p icmp -j REJECT
 
//3.有相同的规则会删除第一个
[root@localhost1 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-p 
[root@localhost1 ~]#iptables -D INPUT -p tcp --dport 22 -j ACCEPT

（4）清空规则

注意
-F仅仅是清空链中的规则，并不影响-Р设置的默认规则，默认规则需要手动进行修改

-P设置了默认规则为DROP后，使用-F一定要小心，因为iptables的修改是立刻生效的!
防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决

如果不写表

名和链名，默认清空filter表中所有链里的所有规则

//1.清空指定链中所有规则
[root@localhost1 ~]#iptables -F OUTPUT
 
//2.不指定链名默认清空所有规则
[root@localhost1 ~]#iptables -F

（5）修改规则

//1.-R 修改已有的规则
[root@localhost1 ~]#iptables -t filter -R INPUT 1 -p icmp -j ACCEPT
 
//2.-P 修改默认策略（修改为丢弃转发数据包）
[root@localhost1 ~]#iptables -P FORWARD DROP

三、规则的匹配

1.通用匹配

可直接使用，不依赖其他条件或扩展包括网络协议、IP地址、网络接口等条件。

//1.（使用！取反）不是icmp协议的其他数据包全部接受
//注：虽然不是icmp包都接受，但是没有指定icmp包的规则，所以icmp包默认还是接受的
[root@localhost1 ~]#iptables -A INPUT ! -p icmp -j ACCEPT
 
//2.将指定主机192.168.116.20的数据包丢弃
[root@localhost1 ~]#iptables -A INPUT -s 192.168.116.20 -j DROP
 
//3.拒绝指定网段的数据包从ens33网卡进入
[root@localhost1 ~]#iptables -I INPUT -i ens33 -s 192.168.110.0/24 -j REJECT

2.隐含匹配

某些条件，如端口、TCP标记、ICMP类型，隐含要求以特定的协议匹配作为前提。

（1）协议端口匹配

–sport 和 --dsport 必须配合 -p 指定协议使用

详细用法

//1.允许tcp的20和21端口通过（即允许ftp数据包）
[root@localhost1 ~]#iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT
 
//2.丢弃192.168.11.0网段转发的tcp 24000到24500 端口的数据包
[root@localhost1 ~]#iptables -I FORWARD -d 192.168.11.0/24 -p tcp --dport 24000:24500 -j DROP

（2） tcp标记匹配

–tcp-flags 配合 -p tcp 使用，指定tcp标记（SYN、ACK、RST、URG、PSH、FIN）

//1.丢弃SYN请求包，允许其他指定的数据包
[root@localhost1 ~]#iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
 
SYN,RST,ACK SYN  前面指定包范围，空格后再指定
表明前面指定的里面，除了这空格后面的SYN，其他都放行
 
//2.tcp三次握手第一次接受SYN，拒绝其他，第二次发送SYN和ACK
[root@localhost1 ~]#iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN -j REJECT
[root@localhost1 ~]#iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

（3）ICMP类型匹配

–icmp-type 配合 -p icmp 使用，指定icmp类型（字符串或数字代码）
注：icmp类型可用iptables -p icmp -h 查看帮助信息

//1.丢弃icmp请求包（使别人不能ping通本机，但本机默认情况可以ping通别人）
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP
 
//2.丢弃icmp回显包（本机发送ping请求，但是别人回显的包被本机丢弃，默认情况下本机不能ping通别人）
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 0 -j DROP
 
//3.当ping不通时，允许显示目标不可达
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

3.显式匹配

要求以 -m （扩展模块）的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

（1）多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

//1.允许tcp的20,21,22,53端口
[root@localhost1 ~]#iptables -A INPUT -p tcp -m multiport --dport 20,21,22,53 -j ACCEPT
 
//2.允许udp的53,67,68端口
[root@localhost1 ~]#iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT

（2）ip范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

//1.禁止转发源ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost1 ~]#iptables -A FORWARD -p udp -m iprange --src-range 192.168.10.100-192.168.10.200 -j DROP
 
//2.禁止发送目的ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost1 ~]#iptables -A INPUT -p udp -m iprange --dst-range 192.168.10.100-192.168.10.200 -j DROP
 

（3）mac地址匹配

-m mac --mac-source 源MAC地址

（4）状态匹配

-m state --state 连接状态

常见的连接状态

//第一个包我只看22端口的包（-p tcp是隐含匹配，可以省略-m tcp）
[root@localhost1 ~]#iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 
//允许放通tcp和udp的这些端口号
[root@localhost1 ~]#iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
[root@localhost1 ~]#iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
 
//使已建立连接的包以及该链接相关的包允许通过
[root@localhost1 ~]#iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
 
//默认策略设为drop，以上所有配置就成了一个tcp相关包的白名单，通过第一步的检测后允许相关包通过
[root@localhost1 ~]#iptables -P INPUT DROP