目录
一:Linux 防火墙基础
Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。
在许多安全技术资料中,netfilter 和 iptables 都用来指 Linux 防火墙,往往使读者产生迷惑netfilter 和iptables 的主要区别如下。
- Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。
- 在许多安全技术资料中,netfilter 和 iptables 都用来指 Linux 防火墙,往往使读者产生迷惑netfilter 和iptables 的主要区别如下。
1. iptables 的表、链结构
iptables 的作用是为包过滤机制的实现提供规则(或称为策略),通过各种不同的规则,告诉netfi1lter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则,iptables 采用了“表”和“链”的分层结构,如下图所示。
其中,每个规则“表”相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表;在每个“表”容器内包括不同的规则“链”,根据处理数据包的不同时机划分为五种链;而决定是否过滤或处理数据包的各种规则,则是按先后顺序存放在各规则链中。
(1)规则表
| 规则表 | 内核模块 | 包含的链 | 主要功能 |
|---|---|---|---|
| filter | iptable_filter | INPUT、FORWARD、OUTPUT | 对数据包进行过滤,决定是否允许通过、拒绝或丢弃。 |
| nat | iptable_nat | PREROUTING、POSTROUTING、OUTPUT | 修改数据包的 IP 地址、端口号(如 SNAT、DNAT),实现网络地址转换。 |
| mangle | iptable_mangle | PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD | 修改数据包的高级字段(如 TOS、TTL、Mark),用于流量整形或策略路由。 |
| raw | iptable_raw | PREROUTING、OUTPUT | 决定是否对数据包进行连接跟踪(如禁用跟踪)。 |
常用表:
filter和nat表最常用,分别用于包过滤和地址转换。mangle和raw表多用于高级网络配置(如 QoS、连接跟踪优化)。
链的执行顺序:
- 流入数据包:
PREROUTING→INPUT - 转发数据包:
PREROUTING→FORWARD→POSTROUTING - 流出数据包:
OUTPUT→POSTROUTING
(2)规则链
| 规则链 | 介入时机 | 主要用途 | 适用防火墙类型 |
|---|---|---|---|
| INPUT | 当收到访问防火墙本机地址的数据包(入站)时。 | 过滤或处理目标为本机的数据包(如 SSH、HTTP 请求)。 | 主机型防火墙(保护本机) |
| OUTPUT | 当防火墙本机向外发送数据包(出站)时。 | 控制本机发出的数据包(如限制访问外部服务)。 | 主机型防火墙 |
| FORWARD | 当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时。 | 转发流量过滤(如网关服务器、NAT 转发)。 | 网络型防火墙(网关/路由) |
| PREROUTING | 在对数据包做路由选择之前(数据包刚进入网络接口时)。 | 修改目标地址(DNAT)、端口或连接跟踪(raw/mangle 表)。 | 网络型防火墙 |
| POSTROUTING | 在对数据包做路由选择之后(数据包即将离开网络接口时)。 | 修改源地址(SNAT/MASQUERADE)、端口或数据包标记(mangle 表)。 | 网络型防火墙 |
2. 数据包过滤的匹配流程
(1)规则表之间的顺序
当数据包抵达防火墙时,将依次应用raw 表、mangle 表、nat 表和 filter 表中对应链内的规则(如果存在),应用顺序为raw→mangle→nat→filter。
(2)规则链之间的顺序
- 入站数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理(是否修改数据包地址等),然后进行路由选择(判断该数据包应发往何处):如果数据包的目标地址是防火墙本机(如Internet 用户访问网关的 web 服务端口),那么内核将其传递给 INPUT 链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序如 httpd 服务器)进行响应。
- 转发数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理,然后再进行路由选择;如果数据包的目标地址是其他外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给FORWARD 链进行处理(允许转发或拦截、丢弃),最后交给 POSTROUTING 链(是否修改数据包的地址等)进行处理。
- 出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网 DNS服务时),首先进行路由选择,确定了输出路径后,再经由 OUTPUT 链处理,最后再交给 POSTROUTING 链(是否修改数据包的地址等)进行处理。
(3)规则链内部各条防火墙规则之间的顺序
当数据包经过每条规则链时,依次按第一条规则、第二条规则.…的顺序进行匹配和处理。链内的过滤遵循“匹配即停止”的原则,一旦找到一条相匹配的规则(使用 LOG 日志操作的规则除外,2.2.3 节会介绍),则不再检查本链内后续的其他规则。如果比对完整个链,也找不到与数据包相匹配的规则,就按照该规则链的默认策略进行处理。
二:编写防火墙规则
在使用 iptables 防火墙之前,需要将 firewalld 防火墙先关闭掉,以避免产生影响。
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~# systemctl disable firewalld.service1. iptables 的安装
open Euler 24.83 的操作系统默认已经安装过 iptables 防火墙,如果未安装,可以使用如下方法进行安装。
[root@localhost ~]# m -y install iptables iptables-services启动 iptables 防火墙并设置开机启动。
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]# systemctl enable iptables.service
Created symlink from /etc/systemd/system/basic,target.wants/iptables.service to/usr/lib/systemd/system/iptables.service.2. 基本语法、数据包控制类型
使用 iptables 命令管理、编写防火墙规则时,基本的命令格式如下所示。
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
其中,表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表;管理选项表示 iptables 规则的操作方式,如插入、增加、删除、査看等;匹配条件用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;控制类型指的是数据包的处理方式,如允许、拒绝、丢弃等。
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等在 iptables 防火墙体系中,最常用的几种控制类型如下。
- ACCEPT:允许数据包通过
- DROP:直接丢弃数据包,不给出任何回应信息。
- REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息。
- L0G:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。
防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助动作,并没有真正处理数据包。
下面介绍一个防火墙规则操作示例:在 filter 表(-t filter)的 INPUT 链中插入(-I)一条规则,拒绝(-j REJECT)发给本机的使用ICMP 协议的数据包(-p icmp)。
[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT上述操作产生的直接效果是其他主机无法 ping 通本机。
3. 添加、查看、删除规则等基本操作
| 类别 | 选项 | 用途 |
|---|---|---|
| 增加 | -A | 在链的末尾追加一条规则(Append) |
-I [序号] | 在链的开头或指定位置插入一条规则(Insert) | |
| 查看 | -L | 列出链中所有规则(List) |
-n | 以数字形式显示IP和端口(不解析域名) | |
-v | 显示详细信息(包括流量计数) | |
--line(--line-numbers) | 显示规则的行号 | |
| 删除 | -D [序号|规则] | 删除指定行号或匹配的规则(Delete) |
-F | 清空链中的所有规则(Flush) | |
| 修改 | -R [序号] | 替换指定行号的规则(Replace) |
| 默认 | -P | 设置链的默认策略(Policy),如ACCEPT/DROP |
(1)添加新的规则
添加新的防火墙规则时,使用管理选项“-A,前者用来追加规则,后者用来插入规则。例如,若要在 filter 表 INPUT 链的末尾添加一条防火墙规则,可以执行以下操作(其中“-p 协议名”作为匹配条件)。
[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT当使用管理选项“-I”时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条。例如,以下操作添加的两条规则将分别位于 filter 表的第一条、第二条(其中省略了“-tfilter”选项,默认使用 filter 表)。
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT(2)查看规则列表
[root@localhost ~]# iptables -L INPUT --line-numbers
Chain INPUT(policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- anywhere anywhere
2 ACCEPT icmp --anywhere anywhere
3 REJECT icmp --anywhere anywhere reject-with ic
mp-port-unreachable
4 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
5 ACCEPT icmp-- anywhere anywhere
6 ACCEPT all anywhere anywhere
7 ACCEPT tCp --anywhere anywhere state NEW tcp
dpt:ssh
8 REJECT all--anywhere anywhere reject-with icmp-host-prohibited
9 ACCEPT tcp --anywhere anywhere[root@localhost ~]# iptables -n -L INPUT
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp --0.0.0.0/0 0.0.0.0/0
REJECT icmp --0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0(3)删除、清空规则
删除一条防火墙规则时,使用管理选项“-D”。例如,若要删除 filter 表 INPUT 链中的第三条规
则,可以执行以下操作。
[root@localhost ~]# iptables -D INPUT 3
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT(policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp --0.0.0.0/0 0.0.0.0/0
ACCEPT tcp --0.0.0.0/0 0.0.0.0/0 清空指定链或表中的所有防火墙规则,使用管理选项“-F”。例如,若要清空 filter 表 INPUT 链
中的所有规则,可以执行以下操作。
[root@localhost ~]# iptables -F INPUT
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT(policy ACCEPT)
target prot opt source destination使用管理选项“-F”时,允许省略链名而清空指定表所有链的规则。例如,执行以下操作分别用来清空filter 表、nat 表、mangle 表。
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
root@localhost ~]# iptables -t mangle -F(4)设置默认策略
iptables 的各条链中,默认策略是规则匹配的最后一个环节-一当找不到任何一条能够匹配数据包的规则时,则执行默认策略。默认策略的控制类型为 ACCEPT(允许)、DROP(丢弃)两种。例如,执行以下操作可以将 filter 表中 FORWARD 链的默认策略设为丢弃,OUTPUT 链的默认策略设为允许。
[root@localhost ~]# iptables -t filter -P FORWARD DROP
[root@localhost ~]# iptables -P OUTPUT ACCEPT注意:当使用管理选项“-F”清空链时,默认策略不受影响。因此若要修改默认策略,必须通过管理选项“-P”重新进行设置。另外,默认策略并不参与链内规则的顺序编排,因此在其他规则之前或之后设置并无区别。
三:规则的匹配条件
| 匹配类型 | 选项 | 功能说明 | 示例 |
|---|---|---|---|
| 协议匹配 | -p <协议名> | 匹配指定协议(如 tcp、udp、icmp、all) | iptables -I INPUT -p icmp -j |
| 源/目标地址匹配 | -s <IP/网段> | 匹配源IP地址 | iptables -A FORWARD -S 192.168.1.11 -j REJECT |
-d <IP/网段> | 匹配目标IP地址 | -d 10.0.0.1 | |
| 端口匹配 | --sport <端口> | 匹配源端口(需配合 -p tcp 或 -p udp) | iptables -A FORWARD -S 192.168.4.0/24 -p udp --dport 53 -j ACCEPT |
--dport <端口> | 匹配目标端口 | --dport 80:443(范围匹配) | |
| 网卡接口匹配 | -i <网卡名> | 匹配数据包进入的网卡(仅 INPUT/FORWARD/PREROUTING 链) | iptables -A INPUT i ens33 -s 10.0.0.0/8 -j DROP |
-o <网卡名> | 匹配数据包发出的网卡(仅 OUTPUT/FORWARD/POSTROUTING 链) | -o wlan0 | |
| 状态匹配 | -m state --state <状态> | 匹配连接状态(如 NEW、ESTABLISHED、RELATED) | iptables -A FORWARD -m state --state NEW -p tcp !--syn -j DROP |
| ICMP类型匹配 | --icmp-type <类型> | 匹配ICMP报文类型(如 0=回显应答,8=回显请求) | iptables -A INPUT -p icmp --icmp-type 8 -j DROP |
| MAC地址匹配 | -m mac --mac-source <MAC> | 匹配源MAC地址(仅局域网有效) | iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP |
| 多端口匹配 | -m multiport --ports <端口列表> | 匹配多个端口(逗号分隔或范围) | iptables -A INPUT -p tcp -m multiport --dport 25,88,110,143 -j ACCEPT |
| 限速匹配 | -m limit --limit <速率> | 限制单位时间内匹配的数据包数量(如 5/second) | --limit 5/min |
总结:
本章详细介绍了 iptables 防火墙在 Linux 系统中的应用与配置。首先,阐述了 iptables 与netfilter 的关系,明确了 iptables 作为用户态管理工具的角色。随后,深入解析了 iptables 的表链结构,包括 filter、nat、mangle 和 raw 四个表及其各自包含的链,以及数据包在不同链中的处理流程。
在了解 iptables 基础结构后,本章进一步探讨了数据包过滤的匹配流程,包括规则表之间的顺序、规则链之间的顺序以及规则链内部各条规则之间的顺序。通过这一流程,读者可以清晰地理解数据包是如何在 iptables 防火墙中被处理和过滤的。
最后,本章介绍了如何编写和管理 iptables 规则,包括规则的添加、査看、删除和清空等基本操作以及匹配条件的设置。通过丰富的示例,读者可以掌握如何根据实际需求编写有效的防火墙规则,以保护Linux 系统的网络安全。
扫一扫
869
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
