一、linux的防火墙组成
linux的防火墙由netfilter和iptables组成。用户空间的iptables制定防火墙规则,内核空间的netfilter实现防火墙功能。
netfilter(内核空间)位于Linux内核中的包过滤防火墙功能体系,称为Linux防火墙的“内核态”。
iptables(用户空间)位于/sbin/iptables,是用来管理防火墙的命令的工具,为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包,称为Linux防火墙的“用户态”。
Linux系统的防火墙功能是由内核实现的,包过滤防火墙工作在TCP/IP的网络层。用户空间的iptables制定相应的规则策略控制内核空间的netfilter处理相应的数据访问控制。
二、iptables 概述
iptables是Linux斜体自带的防火墙工具,支持数据包过滤、数据包转发、地址转换、基于MAC地址的过滤、基于状态的过滤、包速率限制等安全功能。iptables可以用于构建Linux主机防火墙,也可以用于搭建网络防火墙。
三、iptables 结构
iptables的四表tables与五链chains
四表:filter、nat、mangle、raw
五链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。
表与链关系图
四、iptables 的四表五链功能
四表功能
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:有先级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能。
表的处理优先级:raw>mangle>nat>filter。
当数据包抵达防火墙时,将依次应用raw、mangle、nat和filter表中对应链内的规则(如果有)如下图所示。
五链功能
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。
注:INPUT、OUTPUT链更多的应用在“主机防火墙”
中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”
中,特别是防火墙服务器作为网关使用时的情况。
1、filter表和input链、forward链、output链关系
Filter表 和主机自身相关、负责防火墙(过滤本机流入、流出数据包)。 是iptables默认使用的表。这个表定具有三个链(chains):
INPUT:负责过滤所有目标地址是主机(防火墙)地址的数据包、通俗的讲、就是过滤进入主机的数据包。
FORWARD:负责转发流经主机但不进入本机的数据包、起转发作用、和NAT表关系很大、后面会详细介绍
OUTPUT:处理所有原地址是本机地址的数据包、通俗的讲就是处理从主机发出去的数据包。
2、nat表和output链、prerouting链、postrouting链关系
NAT表 是网络地址转换的意思。即负责来源与目的IP地址和port的转换、和主机本身无关。一般用于局域网多人共享上网或者内网IP映射外网IP及不同端口转换服务等功能。Nat表的功能很重要、这个表具有三个链(chains) :
OUTPUT:主机发出去的数据包有关、在数据包路由之前改变主机产生的数据包的目的地址等。
PREROUTING:在数据包刚到达防火墙时、进行路由判断之前执行的规则、改变包的目的地址(DNAT功能)、端口等(通俗比喻,就是收信时、根据规则重写收件人的地址、这看上去不地道啊)把公司IP映射到局域网的机器上、此链多用于把外部IP地址端口的服务、映射为内部IP地址及端口
POSTROUTING:在数据包离开防火墙时进行路由判断之后执行的规则、改变包的源地址(SNAT)、端口等(通俗比喻、就是寄信时写好发件人的地址、要让人家回信是能够有地址可回)刺链多用于局域网共享上网,把所有局域网的地址、转换为公网地址
3、mangle表和input链、forward链、output链、prerouting链、postrouting链的关系
Mangle 主要负责修改数据包中特殊的路由标记,如TTL、TOS、MARK等、这个表定义了5个链(chains)
INPUT:同filter表的INPUT
FORWARD:同filter表的FORWARD
OUTPUT:同fileter表的OUTPUT
PREROUTING:同nat表的PREROUTING
POSTOUTING:同nat表的POSTOUTING
4. Raw表和output链、prerouting链关系
RAW表只使用在PREROUTING链和OUTPUT链上、因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表、在某个链上、RAW表处理完后、将跳过NAT表和
ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了。RAW表可以应用在那些不需要做nat的情况下,以提高性能。如大量访问的web服务器,可以让80端口不再让iptables做数据包的链接跟踪处理,以提高用户的访问速度。
五、iptables 的工作原理
匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停止 (LOG策略例外,表示记录相关日志)
若在该链内找不到相匹配的规则,则按该链的默认策略处理 (未修改的状况下,默认策略为允许)
六、iptables 处理动作
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
DNAT:目标地址转换。
REDIRECT:在本机做端口映射。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。
七、iptables 命令中常用的参数
-t 指定要操纵的表,如果不指定-t参数,默认就会自动匹配filter
-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空规则链,并不影响 -P 设置的默认规则,默认规则需要手动进行修改
-L 查看规则链
-A 在规则链的末尾加入新规则,该规则增加在原规则的后面,例如原来有3条规则使用-A选择就可以添加第4条规则;
-I num 向规则链中插入一条规则,如果没有指定此规则的顺序,默认是插入变成第一条规则;如果要添加为第3条规则,就在-I后面的规则链后面添加3这数字,例如在INPUT链中添加第3条规则:iptables -I INPUT 3 后面添加相应的参数
-D num 删除某一条规则
-R 替换规则链中的一条规则
-Z 清空规则链中的数据包计算器和字节计数器,它是计算同一数据包出现次数
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 限制目标的端口号码,端口号码也可以是连续的,例如:2000:3000代表端口2000到3000
--sport num 限制来源的端口号码,端口号码也可以是连续的,例如:2000:3000代表端口2000到3000
-X 删除用户自定义的链
-N 创建新的用户自定义规则链;
-n 地址和端口以数字的形式输出:
-v 显示规则链中更多的信息,比如网络接口等
-j 后面接操作策略,主要的策略有 接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)、日志记录(LOG)
-m 显式扩展
iptables命令选项输入顺序:
1、iptables [A/I/D/R 规则链名] [-i/o 网络接口] [-p 协议名] [-s 源IP/源子网] [-d 目标IP/目标子网] [--sport 源端口] [--dport 目标端口] [-j 策略]。
2、上面的命令如果不指定[-i/o 网络接口]则对主机的所有接口生效,不指定[-s 源IP/源子网] [-d 目标IP/目标子网]则对代任何网络(0.0.0.0)生效。
3、使用[--sport 源端口] [--dport 目标端口]需要加上-p tcp或-p udp才会生效。
八、查看Linux防火墙的设置
root@debian:~# iptables -L -vn
Chain INPUT (policy ACCEPT 15 packets, 2135 bytes)
pkts bytes target prot opt in out source destination
439 45100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 89 packets, 16596 bytes)
pkts bytes target prot opt in out source destination
root@debian:~#
上面的输出中每一个Chain就是一个链,上面有三个链INPUT,FORWARD,OUTPUT每个链括号中的policy就是默认的策略,每一个iptables 规则都伴随着一组记量器, 当封包符合 iptables 內的某一个规则时, 便会将包大小与数量累加到该规则所属的計量器。
下面的pkts、bytes、target、prot、opt、in、out、source、destination代表的分别是
pkts: packets, 被本规则所匹配到的报文的个数;
bytes: 被本规则所匹配到的所有报文的大小之和,会执行单位换算;
target:代表进行的操作,ACCEPT是放行,DROP是丢弃,REJECT是拒绝
prot:代表使用的数据包协议,主要有tcp、udp、icmp三种数据包协议
opt:额外的选项说明
in: 数据包的流入接口
out: 数据包的流出接口
source:规则中针对那个来源IP进行限制
destination:规则中针对那个目的IP进行限制
九、iptables 常用实例
1、清除所有iptables规则
iptables -F
iptables -X
iptables -Z
2、自定义默认策略
iptables -P INPUT DROP
进入主机的数据包默认全部丢弃,需要放行的数据包通过策略再进行放行,这样主机比较安全
iptables -P OUTPUT ACCEPT
从主机出去的数据包默认当热要放行了,但是如果主机当作代理服务之类的要考虑是否所以数据包允许通过
iptables -P FORWARD DROP
禁止主机进行NAT,如果主机当作NAT要进行相应的策略配置
3、开放指定的端口,当默认INPUT链为DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
允许ssh服务的22端口通过
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
如果把OUTPUT默认规则设置成DROP的就要写上这一条
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
插入第3条规则允许ssh服务的22端口通过
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
允许FTP服务的20端口通过
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
允许FTP服务的21端口通过
iptables -A INPUT -j DROP
禁止其他未允许的规则访问
iptables -A FORWARD -j DROP
禁止其他未允许的规则访问
iptables -A OUTPUT -j ACCEPT
允许所有本机向外的访问
iptables -A INPUT -p tcp --sport 2222 -j ACCEPT
这个比较特殊,是允许访问的主机应用通过2222端口发起的就允许通过,一般INPUT配合--sport很少用,
主要是INPUT配合--dport使用,OUTPUT配合--sport使用。
4、开放指定IP或网段,当默认INPUT链为DROP
iptables -I INPUT -s 127.0.0.1 -j ACCEPT
允许本地回环接口(即运行本机访问本机)
iptables -I INPUT -s 192.168.2.100 -j ACCEPT
允许单个IP通过的命令
iptables -I INPUT -s 10.0.0.0/8 -j ACCEPT
允许整个网段即从10.0.0.1到10.255.255.254通过的命令
iptables -I INPUT -s 192.168.2.0/24 -j ACCEPT
允许整个网段即从192.168.2.1到192.168.2.254通过的命令
iptables -I OUTPUT -d 192.168.2.0/24 -j ACCEPT
如果把OUTPUT默认规则设置成DROP就要加上这一条才能允许整个网段通过
iptables -I INPUT -d 192.168.2.100 -j ACCEPT
如果被访问的服务器地址是192.168.2.100则这条命令会允许所有访问,一般INPUT 配合-d很少有,主要是INPUT配合-s使用,OUTPUT配合-d使用。
5、开放指定网络接口,当默认INPUT链为DROP,多用于有多个网卡的时候
iptables -A INPUT -i lo -j ACCEPT
允许本地回环接口(即运行本机访问本机),只是这个是通过接口来实现
iptables -A OUTPUT -o lo -j ACCEPT
如果把OUTPUT默认规则设置成DROP的就要写上这一条
iptables -A INPUT -i enp0s3 -j ACCEPT
允许从网卡enp0s3口进入的数据包通过
iptables -A OUTPUT -o enp0s3 -j ACCEPT
允许从网卡enp0s3口出去的数据包通过
6、允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -j ACCEPT
(INPUT设置成DROP的话)
iptables -A OUTPUT -p icmp -j ACCEPT
(OUTPUT设置成DROP的话)
7、允许从网卡enp0s3口进入的192.168.0.106地址的主机访问ssh
iptables -I INPUT -i enp0s3 -s 192.168.0.106 -p tcp --dport 22 -j ACCEPT
8、从规则链中删除一条规则
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
删除ssh服务的22端口通过
iptables -D INPUT n
按规则序号删除,n代表INPUT链中从上让下数的第n条规则,也可用到OUTPUT和FORWARD链中
9、阻止指定IP地址
iptables -A INPUT -s "1.0.98.1" -j DROP
丢弃来自1.0.98.1的包
iptables -A INPUT -i eth0 -p tcp -s "1.0.98.1" -j DROP
阻止来自eth0网卡的tcp的包
10、允许所有SSH的链接请求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
允许所有来自外部的SSH连接请求,即只允许进入eth0接口,并且目标端口为22的数据包
iptables -t filter -A INPUT -j DROP —dport 90
在filter表中的中插入拒绝由90端口的机器向本机发送tcp报文
11、删除规则
iptables -D INPUT -s "1.0.98.1" -j DROP
iptables -D INPUT -i eth0 -p tcp -s "1.0.98.1" -j DROP
iptables -D INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -D OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -D INPUT -j DROP —dport 90
删除上面的规则
12、显式匹配
要求以"-m 扩展模块"的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配∶
-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -i ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
IP范围匹配∶
-m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
MAC地址匹配∶
-m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac -source xx:xx:xx:xx:xX:xx -j DROP
禁止来自某MAC 地址的数据包通过本机转发
状态匹配∶
-m state_–state 连接状态
常见的连接状态∶
NEW ∶与任何连接无关的,还没开始连接
ESTABLISHED ∶响应请求或者已建立连接的,连接态
RELATED ∶ 与已有连接有相关性的(如FTP 主被动模式的数据连接),衍生态,一般与ESTABLISHED 配合使用
INVALID ∶ 不能被识别属于哪个连接或没有任何状态
iptables -A FORWARD -m state --state NEW -p tcp !--syn -j DROP
禁止转发与正常 TCP 连接无关的非–syn 请求数据包(如伪造的网络攻击数据包)
iptables -I INPUT -p tcp -m multiport --dport 80, 22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED, RELATED -j ACCEPT
13、端口转发(端口转发不修改IP地址)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 18080 -j REDIRECT --to-port 80
14、目的地址转换(DNAT,修改IP地址)
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 10.1.201.2 --dport 18080 -j DNAT --to-destination 192.168.201.2:80
15、源目的地址转换(SNAT)
iptables -t nat -A POSTROUTING -s 192.168.201.2 -j SNAT --to-source 10.1.201.2
#网络地址伪装
iptables -t nat -A POSTROUTING -s 192.168.201.0/24 -j MASQUERADE
十、iptables扩展模块state
当我们为了安全把防火墙的INPUT链的默认规则设置成DROP,这样任何数据包都不能进入我们的主机,这样就会有问题,当我们访问网页时会无法显示页面的,因为访问网页是双向的,你发出去的请求数据会返回相应的应答数据包,但是防火墙拒绝了任何数据包,所以网页无法显示。你可以开放相应的端口,但是这只是其中的一个应用,如果要访问的应用很多你就会疯掉,需要开发多少个端口,应用对应的端口又是什么,头都大了,怎么办呢?
可以用扩展模块state来实现,从字面上理解,state可以翻译为状态,但是我们可以用另外一个词来形容 <连接追踪>,那么连接的是什么,你可能下意识的想到tcp链接,对于state模块而言的连接并不能与tcp的连接等同,在TCP/IP协议中,UDP和ICMP是没有所谓的连接的,但是对于state模块来说,tcp、udp、icmp报文,都是有连接状态的,我们可以这样认为,对于state模块而言,
只要两台机器在你来我往的通信,就算建立起了连接,而数据包在这个所谓的链接中是什么状态呢
在state中封包的4种链接状态分别为:
NEW
ESTABLISHED
RELATED
INVALID
NEW:当你在使用UDP、TCP、ICMP等协议时,发出的第一个包的状态就是“NEW”
ESTABLISHED:我们可以把NEW状态包后面的包的状态理解为ESTABLISHED,表示连接以建立。如下图:
RELATED:这里我大致讲一下,当你执行Linux下执行traceroute(Windows下对应的命令为tracert)命令时,这个traceroute会发出一个封包,该封包的TTL(生存时间,Time To Live)位1,当这个包遇到路由器的时候它的TTL会减少1,这时TTL = 0,然后这个包会被丢弃,丢弃这个包的路由器会返回一个ICMP Type 11的封包给你,并告诉你那个发出的数据包已尽死。而这个ICMP Type 11的链接状态就是“RELATED”。
INVALID:状态为INVALID的包就是状态不明的包,也就是不属于前面3中状态的包,这类包一般会被视为恶意包而被丢弃。
通过下面的命令允许ESTABLISHED和RELATED状态的数据包通过:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
通过上面的命令就可以正常的访问浏览器了。
十一、iptables-save命令
选项
-c:指定要保存的iptables表时,保存当权的数据包计算器和字节计数器的值。
-t:指定要保存的表的名称。
实例:保持当前主机iptables的规则到文件/etc/local/iptables/rules.v4.1.save(这个文件的路径和名字可以自定义)
iptables-save > /etc/local/iptables/rules.v4.1.save
十二、iptables-restore命令
iptables-restore命令用来还原iptables-save命令所备份的iptables配置。
选项
-c:指定在还原iptables表时候,还原当前的数据包计数器和字节计数器的值。
-t:指定要还原表的名称。
实例
iptables-restore < /etc/local/iptables/rules.v4.1.save
/etc/local/iptables/rules.v4.1.save是iptables-save命令所备份的文件。