iptables防火墙

iptables防火墙

一、iptables背景介绍

在我们生产环境中，防火墙主要分成2种：硬件防火墙和软件防火墙。
硬件防火墙效果好，也更贵。
软件防火墙在CentOS7之前基本上只使用iptables。
CentOS7之后推出了新的软件防火墙：firewalld。
但是由于firewalld的书写语言和架构各方面与iptables差距太大，所以现在通行使用的依旧是iptables。

二、iptables概述

1、Linux防火墙分类

netfilter

位于Linux内核中的包过滤功能体系。
称为Linux防火墙的“内核态”。

iptables

位于/sbin/iptables，用来管理防火墙规则的工具
称为Linux防火墙的“用户态”

2、iptables安装

yum -y install iptables  //一般系统自带，可以更新
yum -y install iptables-services
设置开机自启：
systemctl start iptables-services
systemctl enable iptables-services

3、iptables工作层次

主要在网络层，针对IP数据包。
体现在对包内的IP地址，端口等信息的处理上。

4、iptables的表链结构（俗称4表5链）

4.1 规则表

表的作用：容纳各种规则链。
表的划分依据：防火墙规则的作用相似。
表的分类：

1、raw表：确定是否对该数据包进行状态追踪（及是否追踪）
2、mangle表：为数据包设置标记
前两种生产基本不用
3、nat表：修改数据包的源、目的IP地址、端口。
4、filter表：确定是否放行（过滤）

4.2 规则链

规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
链的分类：

1、INPUT:处理入站数据包（入站：防火墙是终点）
2、OUTPUT:处理出站数据包（出站：防火墙是起点，访问其他源）
3、FORWARD:处理转发数据包（中间，经过）
4、POSTROUTING链:在进行路由选择后处理数据包---nat
5、PREROUTING链:在进行路由选择前处理数据包---nat

4.3 表链示意图

4.4 总结

nat表里
出去看post链
进来看pre链
日常用filter表

5、匹配流程

5.1 规则表之间的顺序

raw→→→mangle→→→nat→→→filter

5.2 规则链之间的顺序

入站：PREROUTING→INPUT
出站：OUTPUT→POSTROUTING
转发：PREROUTING→FORWARD→POSTROUTING

5.3 规则链内的匹配顺序

按顺序依次检查，匹配即停止(LOG策略例外)
若找不到相匹配的规则，则按该链的默认策略处理

三、iptables的语法

1、iptables语法构成

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

2、注意事项

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

3、数据包的常见控制类型

ACCEPT:允许通过
DROP:直接丢弃，不给出任何回应
REJECT:拒绝通过，必要时会给出提示
LOG:记录日志信息，然后传给下一条规则继续匹配
注：拒绝的区别
DROP：不给回应
REJECT：给回应
LOG：极少用，不做处理，只记录日志

4、iptables的管理选项

四、实例

1、查看

看filter里所有规则可以直接不-t


-P默认规则
-A插入规则


注：默认规则不在列表，不计算行

显示编号

以数字显示-n

显示详情-v
规则匹配的数据流量都有显示

友好显示查看详情，固定用法-vnL
以上，查看结束！！！！！！！！！！！

2、清除

-F清空所有
-X，只清除自定义链
-Z，清除计数器
正常清除，一键三连FXZ。
以上是清除！！！！！！！！！！！！！！！！

3、增加

-A，在末尾加
-I，在第一行插入

拒绝所有链接

解决：




禁止出站（TCP三次握手）
也ping不通

设置默认拒绝
设置默认规则中间不加-j
没有-t，默认filter

4、修改

-R修改，把第一条修改，要指定编号。

五、ICMP类型：

licmp类型匹配:编写icmp类型匹配规则时使用"–icmp-type ICNp类型”的形式，针对的协议是icmpicmp类型:
Echo-Request:代码为8
Echo-Reply:代码为0