iptables防火墙

前言

在 Internet 中，企业通过架设各种应用系统来为用户提供各种网络服务，如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么，如何来保护这些服务器，过滤企业不需要的访问甚至是恶意的入侵呢？
Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现， 具有非常稳定的性能和高效率，也因此获得广泛的应用。
 

1、iptables概述

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

1.1、netfilter/iptables关系

netfilter：属于“内核态”又称内核空间（kernel space）的防火墙功能体系。linux 好多东西都是内核态
用户态，那我们运维人员关注的是用户态， 内核我们关注不是很多，内核基本是我们开发人员关心的事情
是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。
 

iptables :属于“用户态”(User Space，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。
 

2、 iptables 的表、链结构

2.1 ptables的四表五链结构介绍

iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理，为了更加方便的组织和管理防火墙规则，iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链，

2.1.1、四表五链

规则表的作用:容纳各种规则链; 表的划分依据：防火墙规则的作用相似

规则链的作用:容纳各种防火墙规则;规则的作用：对数据包进行过滤或处理 ;链的分类依据：处理数据包的不同时机

总结:表里有链，链里有规则

2.1.2 、四个规则表

raw表：

主要用来决定是否对数据包进行状态跟踪 包含两个规则链，OUTPUT、PREROUTING

mangle表：

修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING

nat表：

负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。

filter表：

负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即INPUT、FORWARD、 OUTPUT

mangle 表 和raw表的应用相对较少

2.1.3 、五链

INPUT：

处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT：

处理出站数据包，一般不在此链上做配置。

FORWARD:

处理转发数据包，匹配流经本机的数据包。

PREROUTING链:

在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTING链:

在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
 

 

入站数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理（是 否修改数据包地址等），然后进行路由选择（判断该数据包应发往何处）；如果数据包的 目标地址是防火墙本机（如 Internet 用户访问网关的 Web 服务端口），那么内核将其传递给 INPUT 链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序 （如 httpd 服务器）进行响应。

转发数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理，然 后再进行路由选择；如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问 QQ 服务器），则内核将其传递给 FORWARD 链进行处理（允许转发或拦截、丢弃），最后交给 POSTROUTING 链（是否修改数据包的地址等）进行处理。

出站数据流向：防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网 DNS服务时），首先进行路由选择，确定了输出路径后，再经由 OUTPUT 链处理，最后再交 POSTROUTING 链（是否修改数据包的地址等）进行处理。
 

3、 编写防火墙规则

3.1 iptabes 安装

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

 3.2 数据包的常见控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下。

ACCEPT：允许数据包通过。 

DROP：直接丢弃数据包，不给出任何回应信息。 

REJECT：拒绝数据包通过，必要时会给数据发送端一个响应信息。 

LOG：在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。 

SNAT:修改数据包的源地址。

DNAT:修改数据包的目的地址。

MASQUERADE:伪装成一个非固定公网IP地址。