当前位置：首页 > article >正文

Linux网络服务只iptables防火墙工具

article 2024/9/26 5:14:19

一、防火墙简介

1.iptables概述

2.netfilter 及 iptables关系

二、四表五链

1.四表

2.五链

三、iptables 工作原理

1.原理

2.三种报文流向

四、配置ipables

1. 下载并查看ipables

2. 基本格式

3. 常用选项

3.1 常用的控制类型：

3.2常用的管理选项：

四、规则的匹配

1.通用规则

2. 隐含匹配

3. 显示匹配

3.1多端口匹配

3.2 IP范围匹配

3.3 MAC地址匹配

3.4 状态匹配

五、 SNAT和DNAT

1.SNAT

2.DNAT

一、防火墙简介

1.iptables概述

Linux 系统的防火墙：IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

2.netfilter 及 iptables关系

netfilter：属于“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下。

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了 raw、mangle、nat 和 filter 四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

二、四表五链

规则表的作用：容纳各种规则链
规则链的作用：容纳各种防火墙规则
总结：表里有链，链里有规则

1.四表

raw表：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。
mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

规则表	说明
filter表	过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表
nat表	地址转换规则表
mangle表	给数据包设置标记
raw表	关闭启用的连接跟踪机制，加快封包穿越防火墙速度

规则表的顺序： raw——>mangle——>nat——>filter

规则表的作用：容纳各种规则链

2.五链

INPUT：处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT：处理出站数据包，匹配从本机发出的数据包。
FORWARD：处理转发数据包，匹配流经本机的数据包。
PREROUTING链：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

规则链	说明
INPUT	处理入站数据包
OUTPUT	处理出站数据包
FORWARD	处理转发数据包
PEROUTING	在进行路由选择前处理数据包
POSTROUTING	在进行路由选择后处理数据包

规则链的作用：容纳各种防火墙规则，对数据包进行过滤或处理

链的分类依据：处理数据包的不同时机

三、iptables 工作原理

1.原理

由软件包iptables提供的命令行工具。工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包。

2.三种报文流向

流入本机：PREROUTING --> INPUT–>用户空间进程
流出本机：用户空间进程 -->OUTPUT–> POSTROUTING
转发：PREROUTING --> FORWARD --> POSTROUTING

四、配置ipables

1. 下载并查看ipables

systemctl stop firewalld.service
systemctl disable firewalld.service         #关闭防火墙

yum -y install iptables iptables-services
systemctl start iptables.service

ipables --version                           #查看ipables版本

2. 基本格式

iptables [-t 规则表] 管理选项 [规则链] [匹配条件] [-j 处理动作]

例：iptables -t filter -A INPUT -s 192.168.0.1 - DROP

注意事项：

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型和链名使用大写字母，其余均为小写

3. 常用选项

3.1 常用的控制类型：

选项	说明
ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给出任何回应消息
REJECT	拒绝数据包通过，会给数据发送端一个相应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
REDIRECT	重定向改变端口，将接受的包转发至本机的不同端口
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包。

3.2常用的管理选项：

选项	说明
-A	在指定链的末尾追加（--append）一条新的规则
-I	在指定链的开头插入（--insert）一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换（--replace）指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略（--policy）
-D	删除（--delete）指定链中的某一条规则，可指定规则序号或具体内容
-F	清空（--flush）指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出（--list）指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式（--numeric）显示输出结果，如显示 IP 地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

注意：

若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
按内容匹配删除时，确保规则存在，否则报错
-F 仅仅是清空链中的规则，并不影响 -P 设置的默认规则，默认规则需要手动进行修改
-P 设置了DROP后，使用 -F 一定要小心！
#防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决
如果不写表名和链名，默认清空filter表中所有链里的所有规则

#允许来自192.168.1.0/24子网的数据包进入INPUT链
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
#-j 选项用于指定数据包匹配规则后的跳转目标（jump target）意味着如果数据包匹配了这条规则
（即，数据包的源 IP 地址在 192.168.1.0/24 范围内），那么它将被允许通过（接受）。


#删除允许来自192.168.1.0/24子网的数据包进入INPUT链的规则
iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT

#在INPUT链的第2条规则之前插入一条允许来自192.168.1.0/24子网的数据包进入的规则
iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT

#将INPUT链中的第2条规则替换为拒绝来自192.168.1.0/24子网的数据包的规则
iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP）

#列出INPUT链中的所有规则
iptables -L INPUT

#清空INPUT链中的所有规则
iptables -F INPUT

#清空INPUT链的数据包和字节数统计
iptables -Z INPUT

#将INPUT链的默认策略设置为DROP，即拒绝所有数据包
iptables -P INPUT DROP

#将FORWARD链重命名为NFORWARD
iptables -E FORWARD NFORWARD

#创建一个名为MYCHAIN的新规则链
iptables -N MYCHAIN

#删除名为MYCHAIN的自定义规则链
iptables -X MYCHAIN

四、规则的匹配

1.通用规则

可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配：-p 协议名
地址匹配：-s 源地址、-d 目的地址 #可以是IP、网段、域名、空（任何地址）
接口匹配：-i 入站网卡、-o 出站网卡

2. 隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配：--sport 源端口、--dport 目的端口 #可以是个别端口、端口范围
--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配源端口是3000及以下的数据包
--sport 1000: 匹配源端口是1000及以上的数据包

TCP标志位匹配：--tcp-flags TCP标志位
例如：
iptables -I INPUT -p tcp --dport22  --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACT,URG,PSH SYK,FIN,RSN,ACK -j REJECT
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT

#tcp三次握手时的第一次握手放行 SYN 为 1 数据报文，拒绝其他包；第二次握手放行 SYN,ACK 为 1 数据报文，拒绝其他包

TCP标志	功能
SYN（同步）	用于建立连接。
ACK（确认）	用于确认收到的数据。
FIN（结束）	用于关闭连接。
RST（复位）	用于重置连接。
URG（紧急）	用于指示数据中有紧急数据部分。
PSH（推送）	用于强制接收方立即处理数据。

ICMP类型匹配：--icmp-type ICMP类型    #可以是字符串、数字代码
“Echo-Request”（代码为 8）表示 请求
“Echo-Reply”（代码为 0）表示 回显
“Destination-Unreachable”（代码为 3）表示 目标不可达
关于其它可用的 ICMP 协议类型，可以执行“iptables -p icmp -h”命令，查看帮助信息

 举个例子
 
 #丢弃icmp的包，别人ping不通本机，本机也ping不通别人
 iptables -A INPUT -p icmp -j DROP
 
#禁止其他主机ping本机
 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
 
 #当本机ping不通其它主机时提示目标不可达，此时其它主机需要配置关于icmp协议的控制类型为REJECT
 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

3. 显示匹配

要求以“-m 扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

3.1多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

3.2 IP范围匹配

-m iprange --src-range 源IP范围 --dst-range 目标地址范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP			
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包

3.3 MAC地址匹配

-m mac --mac-source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC 地址的数据包通过本机转发

3.4 状态匹配

-m state --state 连接状态

常见的连接状态：	说明
NEW	主机连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED	主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态
RELATED	主机已与目标主机进行通信，目标主机发起新的链接方式，一般与ESTABLISHED 配合使用
INVALID	无效的封包，例如数据破损的封包状态