Linux防火墙之iptables（上）

一、iptables概述

Linux 系统的防火墙 ：IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

1，netfilter/iptables 关系

netfilter：属于“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下。

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了 raw、mangle、nat 和 filter 四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

两者之间的关系：

IPtable和netfilter共同组成了一个防火墙系统，iptables只是Linux防火墙的管理工具——命令行工具，或者也可以说是一个客户端的代理，netfilter是安全框架，并且真正实现防火墙功能的是 netfilter，它是Linux内核中的一部分。这两部分共同组成了包过滤防火墙，并且是免费使用，可以实现完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
 

2，四表五链

规则表的作用：容纳各种规则链
规则链的作用：容纳各种防火墙规则
总结：表里有链，链里有规则

 1）iptables中的四表

  

表名	作用
raw	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle	修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口（通信五元素）。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

在iptables中 raw和mangle 表的运用相对较少

2） iptables中的五链

链名	作用
INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包
PREROUTING	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3，数据包到达防火墙时，规则表之间的优先顺序

规则表中的优先顺序：raw >mangle>nat>filter

 4，规则链的匹配顺序

1）规则链之间的匹配顺序

主机型防火墙：
入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT --> 本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序 --> OUTPUT --> POSTROUTING
网络型防火墙：
转发数据（需要经过防火墙转发的数据包）：PREROUTING --> FORWARD --> POSTROUTING
 

2） 规则链内的匹配顺序 

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

 

3）内核中数据包的传输过程

1.当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

2.如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后， 任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。

3.如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

 

二、iptables防火墙的配置方法

1，使用iptables 命令行

 1）iptables的安装

关闭 firewalld，且设置开机不自启

Centos 7默认使用firewalld防火墙，没有安装iptables， 若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables 。

 安装 iptables ，启动服务

[root@localhost ~]#systemctl start iptables

 2，使用iptables命令行配置规则 

 命令格式：
 iptables  [-t 表名]    管理选项    [链名]     [匹配条件]     [-j 控制类型]

注意事项：

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 控制类型使用大写字母，其余均为小写

 1）常用的控制类型

控制类型	作用
ACCEPT	允许数据包通过(默认)
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

DROP 和REJECT的区别：前者是直接丢弃传输过来的数据包，并且不给予回应，使访问主机卡在访问页面没有任何提示。后者是拒绝该数据包的通过，并且给予访问主机提示，该访问被拒绝。 

2）常用的管理选项

常用的管理选项	作用
-A	在指定链的末尾追加(--append)一条新的规则
-I（大写i）	在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略(--policy)
-D	删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容
-F	清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

3）匹配条件

匹配的条件	作用
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
–sport	指定源端口号
–dport	指定目的端口号

 3， iptables命令的规则配置运用

1）查看iptables的规则

 2）指定表查看（指定表中链的查看）

 3）添加规则 

添加规则的两个常用选项：

-A，在末尾追加规则。

-I，在指定位置前插入规则。如果不指定，则在首行插入。

末尾追加规则 （在指定的表和链中）

注意：iptables  -F的清空虽然方便但是一定要在 规则表的默认策略为允许的时候使用，如果

默认为drop会导致远程连接中止，只有重启原服务器才能解决

如果仅仅只需要清空一条链的规则，还要保存其他链的规则，就要指定链来清除（-t）

 测试结果：

 在指定链的序号上追加规则 

 测试：使用icmp协议ping防火墙主机

 调换规则顺序再次测试 

4）删除规则

D删除  ：

1.根据序号删除内容

2.精准匹配设置的规则进行删除，按照内容删除，如果有两个重复的规则，则删除序号较小的

序号删除

注意：按照序号删除时一定要保证删除的序号为已有序号，否则报错

 内容匹配删除（有两个相同的则作用为去重）

5）修改规则 （不推荐使用）

-R 直接修改。

为了保险起见，我们可以先添加一条新的规则，确保新规则不会带来任何不利的影响再删除旧的规则（也能达到替换的效果）

6）修改策略

默认策略是指四表五链中链的默认策略，如图表示INPUT  ，FORWARD,OUTPUT， filter三条链的默认值为ACCEPT

就像是设定黑名单一样，默认其他的协议操作都是允许的，只有指定加入的且声明权限的为（DROP 或 REJECT）是拒绝禁止的对象。 

而当我们将其修改为REJECT或则DROP，就类似于白名单（只要加入且声明权限为ACCEPT）是允许操作的协议对象，其他均为禁止对象 

此时的解决方案有三种：

第一种： 我的防火墙设置只是临时设置，并为保存，重启服务器即可

第二种：操作服务器，重启iptables服务 

第三种：  进入机房操作该服务器（将设置恢复，重新修改规则）