Linux - iptables防火墙

目录

一、iptables概述

二、规则表与规则链结构（四表五链）

1.简述

2.四表（规则表）

3.五链（规则链）

三、数据链过滤的匹配流程

四、iptables命令行配置方法

1.命令格式

2.基本匹配条件

3.隐含匹配

3.1.端口匹配

3.2 TCP标志位匹配

3.2 ICMP类型匹配

3.3 显示匹配

3.3.1 多端口匹配：

3.3.2 IP范围匹配：

3.3.3 mac地址匹配

3.3.4 状态匹配

五、SNAT与DNAT

1.SNAT

2.DNAT

一、iptables概述

iptables防火墙是Linux系统防火墙的一种，实际上由两个组件netfilter和iptables组成。

netfilters与iptables的关系：

netfilter：属于“内核态”的防火墙功能体系。是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下。

netfilter/iptables后期简称为iptables。iptables是基于内核的防护墙，其中内置了raw、mangle、nat、filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

二、规则表与规则链结构（四表五链）

1.简述

规则表（四表）的作用：容纳各种规则链。

规则链（五链）的作用：容纳各种防火墙规则。

总结：表中有链，链中有规则。

2.四表（规则表）

raw表：确定是否对该数据包进行状态跟踪。包含两个规则链 - OUTPUT、PREROUTING。

mangle表：修改数据包内容，用于流量整形，给数据包设置标记。包含五个规则链 - INPUT、OUTPUT、FORWARD、PREROUING、POSTROUTING。

nat表：负责网络地址转换，用来的修改数据包中的源、目标IP地址或端口。包含三个规则链 - OUTPUT、PREROUTING、POSTROUTING。

filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

数据包到达防火墙时，数据表之间的优先顺序：
raw -> mangle -> nat -> filter

3.五链（规则链）

INPUT：处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT：处理出战数据包，匹配从本机发出的数据包。

FORWARD：处理转发数据包，匹配流经本机的数据包。

PREROUTING：在进行路由选择前处理数据包，用来修改目的地址，用来做DNET。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTIING：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

三、数据链过滤的匹配流程

入站数据：PREROUTING -> INPUT -> 本机的应用程序

出站数据：本机的应用程序 -> OUTPUT -> POSTROUTING

转发数据：PREROUTING -> FORWARD -> POSTROUTING

四、iptables命令行配置方法

1.命令格式

iptables -t "表名" "管理选项" "链名" "匹配条件" -j "控制类型"

• 不指定表名时，默认指filter表
• 不指定链名时，默认值表内所有链

2.基本匹配条件

3.隐含匹配

需以特定的协议匹配作为前提。

3.1.端口匹配

例：

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

ps：--sport 和 --dport 必须配合-p "协议类型"使用

3.2 TCP标志位匹配

例：

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

拒绝来自22端口的SYN之外的tcp包（只接收SYN包）

3.2 ICMP类型匹配

例:

iptables -A INPUT -p icmp --icmp-type 8 -j -DROP

#禁止其他主机ping本机

3.3 显示匹配

要求以“-m 扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

3.3.1 多端口匹配：

-m multiport --sport 源端口列表

-m multiport --dport 目的端口列表

例：

iptables -A INPUT -p tcp -m multiport --dport 80,22,21 -j ACCEPT

3.3.2 IP范围匹配：

-m iprange --src-range 源ip范围

-m iprange --dst-range 目的ip范围

例：

iptables -A  FORWARD -p udp -m iprange --src-range 192.168.80.100-19.2169.80.200

3.3.3 mac地址匹配

-m mace --mace-source "mac地址"

3.3.4 状态匹配

-m state --state "连接状态"

例：

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

五、SNAT与DNAT

均需网关开启IP路由转发：

临时打开 echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forward=1

永久打开：

vim /etc/sysctl.conf

....
net.ipv4.ip_forward=1    #将此行写入配置文件


sysctl -p    #载入配置

1.SNAT

SNAT用于在网络中修改数据包的源地址。

SNAT转换前提条件：

• 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
• Linux网关开启IP路由转发

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10

2.DNAT

DNAT用于在网络中修改数据包的目的地址，通常是为了保护内网服务器的安全。

DNAT转换前提条件：

• 局域网的服务器能够访问Internet
• 网关的外网地址有正确的DNS解析记录
• Linux网关开启IP路由转发

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11