一、iptables概述
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
1,netfilter/iptables 关系
netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了 raw、mangle、nat 和 filter 四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
两者之间的关系:
IPtable和netfilter共同组成了一个防火墙系统,iptables只是Linux防火墙的管理工具——命令行工具,或者也可以说是一个客户端的代理,netfilter是安全框架,并且真正实现防火墙功能的是 netfilter,它是Linux内核中的一部分。这两部分共同组成了包过滤防火墙,并且是免费使用,可以实现完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
2,四表五链
规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
总结:表里有链,链里有规则
1)iptables中的四表
表名 | 作用 |
raw | 确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING |
mangle | 修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING |
nat | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口(通信五元素)。包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING |
filter | 负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、 FORWARD、 OUTPUT |
在iptables中 raw和mangle 表的运用相对较少
2) iptables中的五链
链名 | 作用 |
INPUT | 处理入站数据包,匹配目标IP为本机的数据包。 |
OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
FORWARD | 处理转发数据包,匹配流经本机的数据包 |
PREROUTING | 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 |
POSTROUTING | 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。 |
3,数据包到达防火墙时,规则表之间的优先顺序
规则表中的优先顺序:raw >mangle>nat>filter
4,规则链的匹配顺序
1)规则链之间的匹配顺序
主机型防火墙:
入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING --> INPUT --> 本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序 --> OUTPUT --> POSTROUTING
网络型防火墙:
转发数据(需要经过防火墙转发的数据包):PREROUTING --> FORWARD --> POSTROUTING
2) 规则链内的匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
3)内核中数据包的传输过程
1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
2.如果数据包是进入本机的,数据包就会到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后返回给发送方。
3.如果数据包是要转发出去的,且内核允许转发,数据包就会经过FORWARD链,然后到达POSTROUTING链输出。
二、iptables防火墙的配置方法
1,使用iptables 命令行
1)iptables的安装
关闭 firewalld,且设置开机不自启
Centos 7默认使用firewalld防火墙,没有安装iptables, 若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables 。
安装 iptables ,启动服务
[root@localhost ~]#systemctl start iptables
2,使用iptables命令行配置规则
命令格式:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
注意事项:
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 控制类型使用大写字母,其余均为小写
1)常用的控制类型
控制类型 | 作用 |
ACCEPT | 允许数据包通过(默认) |
DROP | 直接丢弃数据包,不给出任何回应信息 |
REJECT | 拒绝数据包通过,会给数据发送端一个响应信息 |
SNAT | 修改数据包的源地址 |
DNAT | 修改数据包的目的地址 |
MASQUERADE | 伪装成一个非固定公网IP地址 |
LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包 |
DROP 和REJECT的区别:前者是直接丢弃传输过来的数据包,并且不给予回应,使访问主机卡在访问页面没有任何提示。后者是拒绝该数据包的通过,并且给予访问主机提示,该访问被拒绝。
2)常用的管理选项
常用的管理选项 | 作用 |
-A | 在指定链的末尾追加(--append)一条新的规则 |
-I(大写i) | 在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则 |
-R | 修改、替换(--replace) 指定链中的某一条规则,可指定规则序号或具体内容 |
-P | 设置指定链的默认策略(--policy) |
-D | 删除(--delete) 指定链中的某一条规则,可指定规则序号或具体内容 |
-F | 清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链 |
-L | 列出(--list) 指定链中所有的规则,若未指定链名,则列出表中的所有链 |
-n | 使用数字形式(--numeric) 显示输出结果,如显示IP地址而不是主机名 |
-v | 显示详细信息,包括每条规则的匹配包数量和匹配字节数 |
--line-numbers | 查看规则时,显示规则的序号 |
3)匹配条件
匹配的条件 | 作用 |
-p | 指定要匹配的数据包的协议类型 |
-s | 指定要匹配的数据包的源IP地址 |
-d | 指定要匹配的数据包的目的IP地址 |
-i | 指定数据包进入本机的网络接口 |
-o | 指定数据包离开本机做使用的网络接口 |
–sport | 指定源端口号 |
–dport | 指定目的端口号 |
3, iptables命令的规则配置运用
1)查看iptables的规则
2)指定表查看(指定表中链的查看)
3)添加规则
添加规则的两个常用选项:
-A,在末尾追加规则。
-I,在指定位置前插入规则。如果不指定,则在首行插入。
末尾追加规则 (在指定的表和链中)
注意:iptables -F的清空虽然方便但是一定要在 规则表的默认策略为允许的时候使用,如果
默认为drop会导致远程连接中止,只有重启原服务器才能解决
如果仅仅只需要清空一条链的规则,还要保存其他链的规则,就要指定链来清除(-t)
测试结果:
在指定链的序号上追加规则
测试:使用icmp协议ping防火墙主机
调换规则顺序再次测试
4)删除规则
D删除 :
1.根据序号删除内容
2.精准匹配设置的规则进行删除,按照内容删除,如果有两个重复的规则,则删除序号较小的
序号删除
注意:按照序号删除时一定要保证删除的序号为已有序号,否则报错
内容匹配删除(有两个相同的则作用为去重)
5)修改规则 (不推荐使用)
-R 直接修改。
为了保险起见,我们可以先添加一条新的规则,确保新规则不会带来任何不利的影响再删除旧的规则(也能达到替换的效果)
6)修改策略
默认策略是指四表五链中链的默认策略,如图表示INPUT ,FORWARD,OUTPUT, filter三条链的默认值为ACCEPT
就像是设定黑名单一样,默认其他的协议操作都是允许的,只有指定加入的且声明权限的为(DROP 或 REJECT)是拒绝禁止的对象。
而当我们将其修改为REJECT或则DROP,就类似于白名单(只要加入且声明权限为ACCEPT)是允许操作的协议对象,其他均为禁止对象
此时的解决方案有三种:
第一种: 我的防火墙设置只是临时设置,并为保存,重启服务器即可
第二种:操作服务器,重启iptables服务
第三种: 进入机房操作该服务器(将设置恢复,重新修改规则)