Linux防火墙 iptables

Linux防火墙主要工作在网络层，针对TCP/IP数据包进行过滤和限制，属于典型的包过滤防火墙（网络层防火墙）。
一、管理工具
iptables：centos6
firewalld：centos7
二、netfiler与iptables
netfiler：在Linux内核中实现包过滤防火墙的内部结构，属于内核态
iptables：用来管理Linux防火墙的工具，通常位于/sbin/iptables下，属于用户态
三、iptalbes结构
1.四表（规则表）
filter表：默认表，对数据包做处理
nat表：网络地址转换表
mangle表：修改TOS TTL 设置mark标记，实现流量整形、策略路由
raw表：状态跟踪
2.五链（规则链）
INPUT：入站
OUTPUT：出站
FORWORD：转发
PREROUTING：路由前
POSTROUTING：路由后
四、数据包过滤的匹配流程，遵循匹配即停止原则
表顺序：raw—mangle—nat—filter
链顺序：PREROUTING—INPUT—OUTPUT—POSTROUTING或PREROUTING—FORWORD—POSTROUTING
五、编写防火墙规则
1、基本语法iptables -t 表名 管理选项 链名 匹配条件 -j 控制类型
其中，如果使用filer默认表，则 -t 表名 可省略。
2.控制类型：
ACCEPT：允许通过
DROP：丢弃数据包，不做回应
REJECT：拒绝通过，必要时给发送端发送一个响应
LOG：在/var/log/messages文件中记录日志，然后将数据包传递给下一条规则
3.管理选项
-A：在指定链的末尾添加一条新的规则
-D：删除一条链规则，可指定规则序号或具体内容
-I：在指定链插入一条新规则，未指定序号时默认作为第一条规则
-R：修改替换某一条
-L：列出指定链所有规则，未指定链名时，列出表中所有规则
-F：清空指定链所有规则，未指定链是，清空表中
-P：设置指定链的默认策略
-n：使用数字形式显示输出结果
-v：查看规则列表显示的详细信息
-h：查看帮助
–line-numbers：查看列表规则时，显示链中的顺序号
六、表对应的链规则
iptables -t表名 -nL
1.filter表：INPUT,FORWORD,OUTPUT
2.nat表：PREROUTING, INPUT, OUTPUT, POSTROUTING
3.raw表：PREROUTING，OUTPUT
4.mangle表：PREROUTING, INPUT,FORWORD,OUTPUT, POSTROUTING
七、规则的匹配条件
1.通用匹配：可独立使用，不依赖其他条件扩展模块
1）协议匹配：
-p 协议名
！ -p协议名（取反，与此协议无关的其他所有协议）
2）地址匹配：
-s 源地址
-d 目标地址
3）网络接口匹配：-i 接口名（入站网卡）
-o 接口名（出站网卡）
2.隐含匹配：要求指定协议匹配作为前提条件，相当于子条件，无法独立使用
1）端口匹配：针对TCP和UDP协议
–sport 源端口
–dport 目标端口
2）ICMP类型匹配：针对ICMP协议。ICMP类型使用字符串或数字代码表示
–icmp-type 类型
类型：
Echo-Request（8）：请求
Echo-Reply（0）：回显
Destination-Unrechable（3）：目标不可达
iptables -p -icmp -h 可查看ICMP所有支持类型
3.显示匹配：要求有额外的内核模块作为支持，必须手动以 -m 模块名称 的形式调用模块
1）多端口匹配：多个端口以逗号分隔
-m multiport --dports 端口列表（目标端口）
-m multiport --sports 端口列表（源端口）
2）IP范围匹配：IP范围用“起始地址-结束地址”形式
-m iprange --src-range IP范围（源地址）
-m iprange --dst-range IP范围（目标地址）
3）MAC地址匹配：由于MAC地址的局限性，一般适用内部网络
-m mac --mac-source MAC地址
4）状态匹配：
常见状态：
NEW（与任何连接无关的）
ESTABLISHED（响应请求或已建立连接的）
RELATED（与已建立连接有相关性的，如FTP）