文章目录
- 一、iptables防火墙
- 1.iptables防火墙概述
- 2.netfilter和iptables
- 二、iptables的表、链结构
- 1.iptables的四表五链结构介绍
- 2.四表五链的作用
- 3.数据包控制的匹配流程
- 规则链之间的匹配顺序
- 规则链内的匹配顺序
- 三、iptables用法
- 1.基本语法
- 命令格式
- 常用的控制类型
- 2.添加、查看、删除规则
- 常用的管理选项
- 添加新的规则
- 查看规则列表
- 删除、清空规则
- 设置默认策略
- 3.规则的匹配条件
- 通用匹配
- 隐含匹配
- 显式匹配
- 常用管理选项汇总
- 四:总结
引言:在工作时我们必不可少的需要接触到防火墙,通过本章内容的学习,我们熟悉防火墙的四表五链以及它们的作用,熟悉入站、转发、出站的数据流向,确保数据的正确性和安全性熟悉。
一、iptables防火墙
1.iptables防火墙概述
Linux 系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和 iptables组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
2.netfilter和iptables
netfilter/iptables:IP信息包过滤系统,实际上由俩个组件netfilter和iptables组成,主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
netfilter和iptables的关系
netfilter:属于"内核态”(Kernel space,又称为内核空间)的防火墙功能体系。
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables:属于"用户态”(User space,又称为用户空间)的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于 /sbin/iptables文件下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
二、iptables的表、链结构
1.iptables的四表五链结构介绍
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则; iptables采用了表和链的分层结构。
所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机
其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
2.四表五链的作用
四表
| 规则表名 | 作用 | 规则链 |
|---|---|---|
| raw表 | 确定是否对该数据包进行状态跟踪。 | 包含两个规则链:OUTPUT、PREROUTING。 |
| mangle表 | 修改数据包内容,用来做流量整形的,给数据包设置标记。 | 包含五个规则链:INPUT、OUVTPOT、FORWMARD、``PREROUTING、POSTROUTNG`。 |
| nat表 | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。 | 包含三个规则链:OUTPUT、PREROUTING、POSTROUTING。 |
| filter表 | filter表:负责过滤数据包,确定是否放行该数据包(过滤)。 | 包含三个规则链:INPUT、FORWARD、OUTPUT。 |
在iptables 的四个规则表中,mangle表和 raw表的应用相对较少。
五链
| 规则链名 | 作用 |
|---|---|
INPUT | 处理入站数据包,匹配目标IP为本机的数据包。 |
OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
FORWARD | 处理转发数据包,匹配流经本机的数据包。 |
PREROUTNG | 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 |
POSTROUTTNG | 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网 |
3.数据包控制的匹配流程
默认表、链结构示意图
优先顺序:
规则表应用顺序:raw——mangle——nat——filter
规则链之间的匹配顺序
主机型防火墙
入站数据(来自外界的数据包,且目标地址是防火墙本机): PREROUTING—>INPUT—>本机的应用程序。
出站数据(从防火墙本机向外部地址发送的数据包)∶本机的应用程序—>OUTPUT —> POSTROUTING。
网络型防火墙
转发数据(需要经过防火墙转发的数据包):PREROUTING—>FORWARD —> POSTROUTING。
规则链内的匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)。
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)。
三、iptables用法
Centos 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙,必须先关闭firewalld防火墙,再安装 iptables。
###关闭firewalld防火墙
systemctl stop firewalld
systemctl disable firewalld
###安装iptables防火墙
yum install iptables iptables-services.x86_64
##启动iptables
systemctl start iptables.service
###设置iptables开机自启
systemctl enable iptables.service
1.基本语法
命令格式
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
表名、链名用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表。
管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等。
匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理。
控制类型:指的是数据包的处理方式,如允许、拒绝、丢弃等。
注意事项:
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 控制类型和链名使用大写宁母,其余均为小写
常用的控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables防火墙体系中,最常用的几种控制类型如下。
| 控制类型 | 含义 |
|---|---|
ACCEP | 允许数据包通过。 |
DROP | 直接丢弃数据包,不给出任何回应信息。 |
REJECT | 拒绝数据包通过,会给数据发送端一个响应信息。 |
SNAT | 修改数据包的源地址。 |
DNAT | 修改数据包的目的地址。 |
MASQUERADE | 伪装成一个非固定公网工P地址。 |
LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包。 |
防火墙规则的"匹配即停止"对于LOG操作来说是一个特例,因为LOG只是一种辅助动作,并没有真正处理数据包。注:控制类型需要大写。
2.添加、查看、删除规则
常用的管理选项
| 管理选项 | 含义 |
|---|---|
-A | 在指定链的末尾追加( --append)一条新的规则 |
-I | 在指定链的开头插入(–insert)一条新的规则,未指定序号时默认作为第一条规则 |
-R | 修改、替换(–replace)指定链中的某一条规则,可指定规则序号或具体内容 |
-P | 设置指定链的默认策略( --policy) |
-D | 删除( --delete)指定链中的某一条规则,可指定规则序号或具体内容 |
-F | 清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链 |
-L | 列出( --list)指定链中所有的规则,若未指定链名,则列出表中的所有链 |
-n | 使用数字形式(–numeric)显示输出结果,如显示IP地址而不是主机名 |
-v | 显示详细信息,包括每条规则的匹配包数量和匹配字节数 |
--line-numbers | 查看规则时,显示规则的序号 |
添加新的规则
添加新的防火墙规则时,使用管理选项-A、-I,前者用来追加规则,后者用来插入规则。
结尾追加新规则操作如下:
###在指定链末尾追加一条处理入站数据包的icmp协议规则,拒绝数据包通过
[root@localhost ~]# iptables -t filter -A INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
3 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
在某条指定规则之上插入新规则操作如下:
[root@localhost ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
查看规则列表
查看已有的防火墙规则时,使用管理选项-L,结合--line-numbers选项还可显示各条规则在链内的顺序号。例如,若要查看filter 表 INPUT链中的所有规则,并显示规则序号,可以执行以下操作 :
iptables [-t表名] -n -L [链名] [--line-numbers]
或
iptables -[vn]L
iptables -n -L --line-numbers
iptables -nL INPUT
注意:不可以合写为 -Ln,n必须要在L前面。
列出表中的所有链操作如下:
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere
REJECT icmp -- anywhere anywhere reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
列出表中的所有链,并且所有ip地址以数字形式显示,操作如下:
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
列出表中的所有链,所有ip地址以数字形式显示,并且显示规则序号,操作如下:
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
删除、清空规则
删除一条防火墙规则时,使用管理选项-D。
###删除处理入站数据包的第五个
iptables -D INPUT 5
###查看规则列表
iptables -L INPUT --line-numbers
###指定删除
iptables -t filter -D INPUT -p icmp -j REJECT
若要删除filter表INPUT链中的第二条规则,可以执行以下操作:
[root@localhost ~]# iptables -D INPUT 2
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
若要删除filter表INPUT链中的指定协议的数据包,可以执行以下操作:
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
3 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
4 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@localhost ~]# iptables -t filter -D INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
3 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
清空指定链或表中的所有防火墙规则,使用管理选项-F。
###清空所有规则
[root@localhost ~]# iptables -F
###清空INPUT链中所有规则
[root@localhost ~]# iptables -F INPUT
注意:
- 若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
- 按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
- 按内容匹配删数时,确保规则存在,否则报错
设置默认策略
iptables的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略。默认策略的控制类型为 ACCBPT(允许)、DROP(丢弃)两种。
命令格式
iptables [-t表名] -P <链名> <控制类型>
将 filter表中INPUT链的默认策略设为丢弃。
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
将 filter表中FORWARD链的默认策略设为丢弃。
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@localhost ~]# iptables -PFORWARD DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy DROP)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单。
需要注意的是,当使用管理选项-F清空链时,默认策略不受影响。因此若要修改默认策略,必须通过管理选项-F重新进行设置。另外,默认策略并不参与链内规则的顺序编排因此在其他规则之前或之后设置并无区别。如果现在设置策略的方式是临时设置,关机重启虚拟机即可恢复。
3.规则的匹配条件
在编写防火墙规则时,匹配条件的设置起着决定性的作用。只有清晰、准确地设置好匹配条件,防火墙才知道要对符合什么条件的数据包进行处理,避免"误杀""。对于同一条防火墙规则,可以指定多个匹配条件,表示这些条件必须都满足规则才会生效。根据数据包的各种特征,结合iptables的模块结构,匹配条件的设置包括三大类:通用匹配、隐含匹配、显式匹配。
通用匹配
通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。常见的通用匹配包括协议匹配、地址匹配、网络接口匹配。
协议匹配: -p 协议名
地址匹配: -s 源地址、-d 目的地址 #可以是IP、网段、域名、空(任何地址)
接口匹配: -i 入站网卡、-o 出站网卡
如果想要设置转发的数据包除了icmp协议都被丢弃,具体操作如下:
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 ACCEPT !icmp -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
如果想要设置入站数据包是从192.168.145.30地址来的数据包都被丢弃,具体操作如下:
[root@localhost ~]# iptables -A INPUT -s 192.168.145.30 -j DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.145.30 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 ACCEPT !icmp -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
如果想要在之前规则之前插入新的入站数据包规则,规定是192.168.145.0/24网段的ip地址都会呗丢弃,具体操作如下:
[root@localhost ~]# iptables -I INPUT -i ens33 -s 192.168.145.0/24 -j DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.145.0/24 0.0.0.0/0
2 DROP all -- 192.168.145.30 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 ACCEPT !icmp -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
端口匹配
--sport 源端口、--dport 目的端口
端口可以是个别端口,也可以是范围端口。其中规格范围格式如下:
--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配源端口是3000及以下的数据包
--sport 1000: 匹配源端口是1000及以上的数据包
注意:--sport 和 --dport 必须配合 -p <协议类型> 使用。
如果想要设置INPUT链禁止20~21号端口的tcp服务的数据访问,具体操作如下:
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.145.0/24 0.0.0.0/0
2 DROP all -- 192.168.145.30 0.0.0.0/0
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
2 ACCEPT !icmp -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
如果想要在FORWARD链中插入一个规则,规定192.168.145.0/24网段的且是tcp协议、端口号是24500~2460 的ip地址都会被丢弃,具体操作如下:
[root@localhost ~]# iptables -I FORWARD -d 192.168.145.0/24 -p tcp --dport 24500:24600 -j DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.145.0/24 0.0.0.0/0
2 DROP all -- 192.168.145.30 0.0.0.0/0
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 192.168.145.0/24 tcp dpts:24500:24600
2 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
3 ACCEPT !icmp -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
TCP标志位匹配
--tcp-flags TCP标志位
三次握手的数据包发送设置如下:
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x3F/0x10 reject-with icmp-port-unreachable
2 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x3F/0x02 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x3F/0x12 reject-with icmp-port-unreachable
tcp三次握手时的第一次握手放行 SYN 为 1 数据报文,拒绝其他包;第二次握手放行 SYN,ACK 为 1 数据报文,拒绝其他包。
ICMP类型匹配
--icmp-type ICMP类型
ICMP类型匹配可以是字符串,也可以是数字代码。
“Echo-Request”(代码为 8)表示 请求
“Echo-Reply”(代码为 0)表示 回显
“Destination-Unreachable”(代码为 3)表示 目标不可达
关于其它可用的 ICMP 协议类型,可以执行iptables -p icmp -h命令,查看帮助信息
###禁止其它主机ping 本机
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
###允许本机ping 其它主机
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
###当本机ping 不通其它主机时提示目标不可达
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
###此时其它主机需要配置关于icmp协议的控制类型为 REJECT
iptables -A INPUT -p icmp -j REJECT
显式匹配
要求以-m 扩展模块的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配
-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
例如:
###在INPUT链末尾添加规则,规定目的端口为80,22,21,20,53端口号的TCP协议的数据包会被丢弃
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,22,21,20,53
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
###在INPUT链末尾添加规则,规定目的端口为53,67,68端口号的UDP协议的数据包会被丢弃
[root@localhost ~]# iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,22,21,20,53
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53,67,68
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
IP范围匹配
-m iprange --src-range IP范围
例如
###禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
[root@localhost ~]# iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
[root@localhost ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP udp -- 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.80.100-192.168.80.200
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
MAC地址匹配
-m mac --mac-source MAC地址
例如
###禁止来自某MAC 地址的数据包通过本机转发
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
状态匹配
-m state --state 连接状态
常见的连接状态:
| 状态 | 作用 |
|---|---|
NEW | 主机连接目标主机,在目标主机上看到的第一个想要连接的包 |
ESTABLISHED | 主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态 |
RELATED | 主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用 |
INVALID | 无效的封包,例如数据破损的封包状态 |
例如
iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
常用管理选项汇总
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hKzVjghL-1684315758730)(C:\Users\86138\AppData\Roaming\Typora\typora-user-images\image-20230517165705991.png)]](https://img-blog.csdnimg.cn/117cfc8510b745eb8def0718944a061d.png#pic_center)
四:总结
在生产环境中,我们经常使用到防火墙,我们需要知道防火墙中的四表(raw、mangle、nat、filter)五链(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)的功能以及入站数据的流向、转发数据的流向和出站数据的流向。我们要熟悉iptables的语法格式以及它的常用选项还有它的规则匹配条件:通用匹配、隐含匹配、显式匹配。这样在工作的时候才能确保数据的流向正确性以及安全性。
