iptables防火墙
- 一、iptables概述
- 1、netfilter 与 iptables 的关系
- 1.netfilter
- 2.iptables
- 2、四表五链
- 1.四表
- 2.五链
- 3.表的匹配优先级
- 4.规则链之间的匹配顺序
- 5.规则链内的匹配顺序
- 二、iptables防火墙的安装及配置方法
- 1、iptables防火墙安装
- 2、iptables防火墙的配置方法
- 1.iptables命令行配置方法
- 2.常用的控制类型
- 3.常用的管理选项
- 4.规则的增删改查
- 5.规则的匹配
一、iptables概述
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
1、netfilter 与 iptables 的关系
1.netfilter
netfilter 属于"内核态"(Kernel Space,又称为内核空间)的防火墙功能体系。
netfilter是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
2.iptables
iptables 属于"用户态"(User Space,又称为用户空间)的防火墙管理体系。
iptables 是一种用来管理Linux防火墙的命令程序,它使插入、修改、和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables 文件下。
2、四表五链
netfilter/iptables 后期简称为iptables,iptables 是基于内核的防火墙,其中内置了raw、mangle、nat 和 filter。
1.四表
- raw:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。
- mangle:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
- nat:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
- filter:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。
2.五链
- INPUT :处理入站数据,匹配目标IP为本机的数据包。
- OUTPUT:处理出站数据,一般不在此链上做配置。
- FORWARD:处理转发数据,匹配流经本机的数据包。
- POSTROUTING:修改源IP。在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
- PREROUTING:修改目的IP,在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
3.表的匹配优先级
raw表 → mangle表 → nat表 → filter表
4.规则链之间的匹配顺序
-
入站数据 :PREROUTING → INPUT → 本机的应用程序 ######## 过滤数据包filter(INPUT)
-
出站数据 :本机的应用程序 → OUTPUT→ PREROUTING ######## 过滤数据包filter(OUTPUT)
-
转发数据 :PREROUTING → FORWARD → POSTROUTING ######## 过滤数据包filter(FORWARD)
外网到内网修改目的IP nat(PREROUTING)
内网到外网修改源IP nat(POSTROUTING)
5.规则链内的匹配顺序
- 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
- 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
二、iptables防火墙的安装及配置方法
1、iptables防火墙安装
Centos7默认使用 firewalld 防火墙,没有安装 iptables,若想使用 iptables 防火墙。必须先关闭 firewalld 防火墙,在安装iptables。
systemctl stop firewalld.services ##关闭防火墙
systemctl disable firewalld.service ##关闭防火墙的开机自启
yum install -y iptables iptables-service ##下载iptables防火墙及服务
systemctl start iptables.service ##开启iptables防火墙
2、iptables防火墙的配置方法
- 使用 iptables 命令行
- 使用system-config-firewall (Centos6可以使用)
1.iptables命令行配置方法
命令格式:
iptables 【-t 表名】 管理选项 【链名】 【匹配条件】 【-j 控制类型】
注意事项:
不指定表名时,默认指 filter 表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
控制类型的链名使用大小写字母,其余均为小写
2.常用的控制类型
- ACCEPT:允许数据包通过。
- DROP:直接丢弃数据包,不给出任何回应消息。
- REJECT:拒绝数据包通过,会给数据发送端一个响应消息。
- SNAT:修改数据包的源地址。
- DNAT:修改数据包的目的地址。
- MASQUERADW:伪装成一个非固定公网IP地址。
- LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包
3.常用的管理选项
- -A:在指定链的末尾追加(–append)一条新的规则。
- -I:在指定链的开头插入(–insert)一条新的规则,未指定序号时默认作为第一条规则,也可以在链名后指定添加在第几行规则的上边。
- -R:修改、替换(–replace)指定链中的某一条规则,可指定规则序号或具体内容。
- -P:这是指定链的默认策略(–policy)
- -D:删除(–delete)指定链中的某一条规则,可指定规则序号或具体内容。
- -F:清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链。
- -L:列出(–list)指定链中的所有的规则,若未指定链名,则列出表中的所有链。
- -n:使用数字形式(–numeric)显示输出结果,如显示IP地址而不是主机名。
- -v:显示详细信息,包括每条规则的匹配包数量和匹配字节数。
- --line-numbers:查看规则时,显示规则的序号。
4.规则的增删改查
查
iptables 【-t 表名】 -n -L 【链名】【–line-numbers】
增
-A在指定链的末尾增加新的规则
iptables 【-t 表名】 -A 【链名】【匹配条件】 【-j 控制类型】
-I在指定链的末尾增加新的规则
iptables 【-t 表名】 -I【链名】【匹配条件】【-j 控制类型】
删
iptables 【-t 表名】 -D【链名】 【指定规则或编号】##-D删除指定链名内的指定规则
iptables 【-t 表名】 -F【链名】 ##-F删除指定链名内的所有规则
改
iptables 【-t 表名】 -R <链名> <规则编号> <修改内容>
修改链的默认策略
iptables 【-t 表名】 -P <链名> <控制类型>
5.规则的匹配
1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d 目的地址 #可以是IP、网段、域名、空(任何地址)
- 接口匹配:-i 入站网卡、-o 出站网卡
2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
端口匹配:–sport 源端口、–dport 目的端口
#可以是个别端口、端口范围
- –sport 1000 ##匹配源端口是1000的数据包
- –sport 1000:3000 ##匹配源端口是1000-3000的数据包
- –sport :3000 ##匹配源端口是3000及以下的数据包
- –sport 1000: ##匹配源端口是1000及以上的数据包
== 注意==:–sport 和 --dport 必须配合 -p <协议类型> 使用
3.ICMP类型匹配
ICMP类型匹配:- -icmp-type ICMP类型(可以是字符串、数字代码)。
- “Echo-Request”(代码为8)表示 请求
- “Echo-Reply”(代码为0)表示 回显
- “Destination-Unreachable”(代码为3)表示 目标不可达
关于其他可用的ICMP协议类型,可以执行“iptables -p icmp -h”命令,查看帮助信息
4.TCP标志位匹配:- -tacp-flags TCP标志位
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT
5.显示匹配
要求以“-m 扩展模块” 的形式明确指除类型,包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配:
-m multiport - -sport 源端口列表
-m multiport - -dport 目的端口列表
IP范围匹配:
-m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
MAC地址匹配:
-m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
状态匹配:
-m state --state 连接状态
常见的连接状态:
- NEW :主机连接目标主机,在目标主机上看到的第一个想要连接的包
- ESTABLISHED :主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
- RELATED :主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用
- INVALID :无效的封包,例如数据破损的封包状态