防火墙总结

一、什么是防火墙

 

    防火墙分为软件防火墙和硬件防火墙，他们的优缺点：

硬件防火墙：拥有经过特别设计的硬件及芯片，性能高、成本高(当然硬件防火墙也是有软件的，只不过有部分功能由硬件实现，所以硬件防火墙其实是硬件+软件的方式)；

软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能比硬件防火墙低、成本低。

二、Netfilter与iptables的关系

Netfilter是Linux操作系统核心层内部的一个数据包处理模块，它具有如下功能：

• 网络地址转换(Network Address Translate)

• 数据包内容修改

• 以及数据包过滤的防火墙功能

Netfilter平台中制定了数据包的五个挂载点(Hook Point，我们可以理解为回调函数点，数据包到达这些位置的时候会主动调用我们的函数，使我们有机会能在数据包路由的时候改变它们的方向、内容)，这5个挂载点分别是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

Netfilter所设置的规则是存放在内核空间中的，而iptables是一个应用层的应用程序，它通过Netfilter放出的接口来对存放在内核空间中的 XXtables(Netfilter的配置表)进行修改。

所以Linux中真正的防火墙是Netfilter，但由于都是通过应用层程序如iptables或firewalld进行操作，所以我们一般把iptables或firewalld叫做Linux的防火墙。

三、链的概念

ptables开启后，数据报文从进入服务器到出来会经过5道关卡，分别为Prerouting(路由前)、Input(输入)、Output(输出)、Forward(转发)、Postrouting(路由后)：

INPUT链：当接收到防火墙本机地址的数据包(入站)时，应用此链中的规则；

OUTPUT链：当防火墙本机向外发送数据包(出站)时，应用此链中的规则；

FORWARD链：当接收到需要通过防火墙发送给其他地址的数据包(转发)时，应用此链中的规则；

PREROUTING链：（互联网进入局域网）在对数据包作路由选择之前，应用此链中的规则，如DNAT；

POSTROUTING链：（局域网出互联网）在对数据包作路由选择之后，应用此链中的规则，如SNAT。

四、表的概念

虽然每一条链上有多条规则，但有些规则的作用(功能)很相似，多条具有相同功能的规则合在一起就组成了一个“表”，iptables提供了四种“表”： 

filter表：主要用于对数据包进行过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)，所谓的防火墙其实基本上是指这张表上的过滤规则，对应内核模块iptables_filter； 

nat表：network address translation，网络地址转换功能，主要用于修改数据包的IP地址、端口号等信息(网络地址转换，如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次，如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作，也就是说，余下的包不会再通过这个表。对应内核模块iptables_nat； 

mangle表：拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，以实现Qos(Quality Of Service，服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。对应内核模块iptables_mangle； 

raw表：是自1.2.9以后版本的iptables新增的表，主要用于决定数据包是否被状态跟踪机制处理，在匹配数据包时，raw表的规则要优先于其他表，对应内核模块iptables_raw。 我们最终定义的防火墙规则，都会添加到这四张表中的其中一张表中。

表链关系

 五、规则的概念

匹配条件

• S_IP：source ip，源ip

• S_PORT：source port，源端口

• D_IP: destination ip，目标ip

• D_PORT: destination port，目标端口

• TCP/UDP：第四层(传输层)协议

处理的动作

• ACCEPT：允许数据包通过；

• DROP：直接丢弃数据包，不回应任何信息，客户端只有当该链接超时后才会有反应；

• REJECT：拒绝数据包，会给客户端发送一个数据包被丢弃的响应的信息；

• SNAT：S指Source，源NAT(源地址转换)。在进入路由层面的route之后，出本地的网络栈之前，改写源地址，目标地址不变，并在本机建立NAT表项，当数据返回时，根据NAT表将目的地址数据改写为数据发送出去时候的源地址，并发送给主机。解决私网用户用同一个公网IP上网的问题；

• MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的IP上；

• DNAT：D指Destination，目的NAT，解决私网服务端，接收公网请求的问题。和SNAT相反，IP包经过route之前，重新修改目标地址，源地址不变，在本机建立NAT表项，当数据返回时，根据NAT表将源地址修改为数据发送过来时的目标地址，并发给远程主机。可以隐藏后端服务器的真实地址；

• REDIRECT：在本机做端口映射；

• LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。 除去最后一个LOG，前3条规则匹配数据包后，该数据包不会再往下继续匹配了，所以编写的规则顺序极其关键。

DROP 与 REJECT区别：

REJECT:

PING 10.37.129.9 (10.37.129.9): 56 data bytes
92 bytes from centos-linux-6.5.host-only (10.37.129.9): Destination Port Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 29a3   0 0000  40  01 3ab1 10.37.129.2  10.37.129.9

Request timeout for icmp_seq 0
92 bytes from centos-linux-6.5.host-only (10.37.129.9): Destination Port Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 999d   0 0000  40  01 cab6 10.37.129.2  10.37.129.9




DROP:

PING 10.37.129.9 (10.37.129.9): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4

六、iptables命令操作

查询规则

一般使用 iptables  -nvL  即可

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

• pkts: packets，包的数量

• bytes: 流过的数据包的字节数

• in: 入站网卡

• out: 出站网卡

•  target: 英文意思是“目标”，但该列的值通常是动作，比如ACCEPT(接受)、REJECT(拒绝)等等，但它确实可以是“目标”，比如我们创建 一条链iptables -N July_filter，然后在INPUT链上添加一条规则，让它跳转到刚刚的新链-A INPUT -p tcp -j July_filter，再用iptables -L查看，可以看到target此时已经是真正的“target(July_filter)”而不再是动作了

添加规则

iptables -t filter -I INPUT -s 192.168.239.128 -j DROP

我们可以向某条链中的某个表的最前面添加记录(我们叫“插入”，会用到-I选项，I表示Insert)，也可以向某条链中的某个表的最后面添加记录(我们叫“追加”，会用到-A选项，A表示Append)，熟悉vi/vim的童鞋会对这个“I”和“A”感觉到熟悉，因为在vi/vim的命令模式下，按I是在光标所行的行首插入，按A是在光标所在行的行尾插入，跟这个在表头跟表尾插入非常像。

• -t: 是指定插入到哪个表中，不写的话默认为“filter”表；

• -I: 指定插入到哪条链中，并且会在该链指定表(在这里是filter表)中的最前面插入(I:Input)，如果用-A则是在最后插入(A:Append)。

• -s: 匹配源ip，s: source，源。

• -j: jump，跳转的意思，后面可指定跳转的target(目标)，比如自定义的链，当然更多的是跳转到“action(动作)”中，比如ACCEPT、DROP、REJECT等等。

• 整个意思，就是向iptables中的“INPUT”链(-I INPUT)的“filter”表(-t filter)的最前面(-I)添加一条记录，这次记录会匹配源地址为“10.39.129.2”的请求(-s 10.39.129.2)，并把该请求丢弃掉(-j DROP)。

删除iptables中的记录

1、根据编号删除：

iptables -t filter -D INPUT 1   

2、根据条件删除：

iptables -t filter -D INPUT -s 192.168.239.128 -j DROP

3、清空：

-F: flush的缩写，flush是“冲洗、冲掉”的意思，在这里是清空的意思，iptables -t filter -F INPUT代表清空“INPUT”链中“filter”表中的所有规则，如果不指定链不指定表，即直接用iptables -F，则清空所有链中所有表的规则。

修改规则

iptables -t filter -R INPUT 1 -s 10.37.129.3 -j ACCEPT

其中的-R就是replace，即替换的意思，整句命令意思是从INPUT链中的filter表中替换编号为1的规则，编号1后面的-s 10.37.129.3 -j ACCEPT就是要替换成的新规则。

iptables扩展模块

tcp扩展模块

-p tcp -m tcp --sport用于匹配tcp协议报文的源端口，可以使用冒号指定一个连续的端口范围(-p protocol，-m:match,指匹配的模块，很多人可能以为是module的缩写，其实是match的缩写，--sport: source port)；-p tcp -m tcp --dport用于匹配tcp协议报文的目标端口，可以使用冒号指定一个连续的端口范围(--dport 80:88

iptables -t filter -I INPUT -s 192.168.239.128 -p tcp -m tcp --dport 80 -j REJECT 

multiport扩展模块

-p tcp -m multiport --sports用于匹配报文的源端口，可以指定离散的多个端口号,端口之间用”逗号”隔开; -p udp -m multiport --dports用于匹配报文的目标端口，可以指定离散的多个端口号，端口之间用”逗号”隔开：

iptables -t filter -I OUTPUT -s 192.168.9.1 -p udp -m multiport --dport 81 -j REJECT 

time扩展模块

我们可以通过time扩展模块，根据时间段区匹配报文，如果报文到达的时间在指定的时间范围以内，则符合匹配条件。

我想要自我约束，每天早上9点到下午7点不能看网页：

iptables -t filter -I INPUT -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 19:00:00 -j REJECT

connlimit模块

使用connlimit扩展模块，可以限制每个IP地址同时链接到server端的链接数量，注意：我们不用指定IP，其默认就是针对”每个客户端IP”，即对单IP的并发连接数限制。

如对81端口的客户端不可以超过两个

iptables -t filter -I INPUT -p tcp --dport 81 -m connlimi
t --connlimit-above 2 -j REJECT

limit扩展模块

limit模块是限速用的，用于限制“单位时间内流入的数据包的数量”。

每6位秒放行一下ping包(因为1分钟是60秒，所以1分钟10个包，就相当于每6秒1个包)：

iptables -t filter -I INPUT -p icmp -m limit --limit 10/minite -j ACCEPT

iptables -t filter -I INPUT -p icmp -m limit --limit-burst 3  -j ACCEPT 

--limit后面的单位除了minite，还可以是second、hour、day

--limit-burst： burst是爆发、迸发的意思，在这里是指最多允许一次性有几个包通过，要理解burst，先看以下的“令牌桶算法”。

令牌桶算法：

有一个木桶，木桶里面放了5块令牌，而且这个木桶最多也只能放下5块令牌，所有报文如果想要出关入关，都必须要持有木桶中的令牌才行，这个木桶有一个神奇的功能，就是每隔6秒钟会生成一块新的令牌，如果此时，木桶中的令牌不足5块，那么新生成的令牌就存放在木桶中，如果木桶中已经存在5块令牌，新生成的令牌就无处安放了，只能溢出木桶（令牌被丢弃），如果此时有5个报文想要入关，那么这5个报文就去木桶里找令牌，正好一人一个，于是他们5个手持令牌，快乐的入关了，此时木桶空了，再有报文想要入关，已经没有对应的令牌可以使用了，但是，过了6秒钟，新的令牌生成了，此刻，正好来了一个报文想要入关，于是，这个报文拿起这个令牌，就入关了，在这个报文之后，如果很长一段时间内没有新的报文想要入关，木桶中的令牌又会慢慢的积攒了起来，直到达到5个令牌，并且一直保持着5个令牌，直到有人需要使用这些令牌，这就是令牌桶算法的大致逻辑。

看完了“令牌桶算法”，其实--limit就相当于指定“多长时间生成一个新令牌”，而--limit-burst则用于指定木桶中最多存放多少块令牌。