当前位置：首页 > article >正文

Linux中级（防火墙iptables）

article 2024/11/7 14:55:37

一。什么是防火墙？

1.定义：防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出

2.分类：

硬件防火墙：由厂商设计好的主要硬件，其操作系统主要是提供数据包数据的过滤机制为主，并去掉不必要的功能

软件防火墙：保护系统网络安全的一套软件，如Netfilter（数据包过滤）

二。Netilter（数据包过滤）

1.定义：

netfilter 是一个工作在Linux内核的网络数据包处理框架，用于分析进入主机的网络数据包，将数据包的头部数据(硬件地址，软件地址，TCP、UDP、ICMP等)提取出来进行分析，以决定该连接为放行或拒绝的机制，主要用于分析OSI七层协议的2(数据链路)、3(网络)、4(传输)层。
2.Netfilter分析内容:
拒绝让Internet的数据包进入主机的某些端口·拒绝某些来源IP的数据包进入
拒绝让带有某些特殊标志(flag)的数据包进入，如:带有SYN的主动连接标志·分析MAC地址决定是否连接
3.防火墙无法完成的任务
防火墙并不能杀毒或清除木马程序(假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的)
防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络无用或滥用的情况)

三。iptables的执行原则：

1.原则：防火墙会从上至下的顺序来读取配置文件的策略规则，在找到匹配项后就会立即结束匹配工作并去执行匹配项中定义的行为（即放行或者阻止），如果在读取完所有的匹配规则后没有匹配项，就去执行默认的策略、

2.防火墙规则：通(放行，允许) 堵(阻止，拒绝)

注释：当默认策略为拒绝的时候，就要设置允许规则，否则数据包都进不来，若默认为允许的啥时候，就要设置拒绝规则，否则数据包都能进来，防火墙也就失去了作用

3.规则链分类：

注释iptables流量处理动作：

accept：允许流量通过

reject：拒绝流量通过，拒绝后回复拒绝信息

log：记录日志信息

drop：拒绝流量通过，流量丢弃不响应

四。iptable表

规则链容纳了各种流量匹配规则，规则表则存储了不同功能对应的规则链，总之表里有链，链里有规则（表，链，规则）
四种规则表
1.filter表:用于对数据包过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、 REJECT、LOG),包含三个规则链,INPUT、FORWARD、 OUTPUT,所谓的防火墙其实基本上是指这张表上的过滤规则，常用
2.nat表: network address translation，网络地址转换功能，主要用于修改数据包的源、目标 IP地址、端口，包含三个规则链，OUTPUT、PREROUTING、POSTROUTING
3·mangle表:拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type Of
Service,服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，由于需要相应的路由设备支持，因此应用并不广泛，包含全部五个规则链
4·raw表:是自1.2.9以后版本的iptables新增的表，用于是否对该数据包进行状态跟踪，在匹配数据包时，raw表的规则要优先于其他表，包含两个规则链，OUTPUT、PREROUTING.

五。iptables基本操作：

管理命令：

1.yum install iptables-services（下载iptables）

2.systemctl stop firewalld

3.systemctl disable firewalld

4.systemctl start iptables

5.systemctl enable iptables

6.service iptables save（保存iptables设置）

规则链存储文件：

1.vim /etc/sysconfig/iptables