iptables防火墙

前言

在 Internet 中，企业通过各种应用系统来为用户提供各种服务，如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等，那么，如何来保护这些服务器，过滤企业不需要的访问甚至是恶意的入侵呢，接下来，我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables，以及 CentOS 7 系统中的防火墙 firewalld

一、iptables防火墙概述

(1)概述

• Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。
• 体现在对包内的 IP 地址、端口等信息的处理上
• Linux 系统的防火墙基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用

(2)netfilter与iptables

1、netfilter

是内核的一部分，由一些数据包过滤表组成，不以程序文或文件的形式存在

这些表包含内核用来控制数据包过滤处理的规则集

属于“内核态”(Kernel Space，又称为内核空间)的防火墙功能体系

2、iptables

是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录

属于“用户态”(User. Space，又称为用户空间) 的防火墙管理体系

iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务

3、包过滤的工作层次

• 主要事网络层，针对IP数据包
• 体现在对包内的IP地址、端口等信息的处理上

4、iptables的表、链结构

iptables的作用是为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理

netfilter/iptables 后期简称为 iptables

为了更方便地组织和管理防火墙规则，iptables 采用了“表”和“链”的分层结构，且表中所有规则配置后，立即生效，不需要重启服务

①四标五链

规则表的作用: 容纳各种规则链;

表的划分依据：防火墙规则的作用相似

规则链的作用:容纳各种防火墙规则;

规则的作用：对数据包进行过滤或处理 ;

链的分类依据：处理数据包的不同时机

总结:表里有链，链里有规则

②四表

raw：主要用来决定是否对数据包进行状态跟踪 包含两个规则链，OUTPUT、PREROUTING

mangle : 修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING

nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。

filter：负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即PREROUTING、POSTROUTING、OUTPUT

注：在iptables 的四个规则表中，mangle 表 和raw表的应用相对较少

③五链

INPUT: 处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT: 处理出站数据包，一般不在此链上做配置。

FORWARD: 处理转发数据包，匹配流经本机的数据包。

PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

④数据包过滤的匹配流程

iptables 管理着四个默认表和五种链，各种防火墙规则依次存放在链中

⑤规则表之间的匹配顺序

raw → mangle → nat → filter

⑥规则链之间的顺序

根据规则链的划分原则，不同链的处理时机是比较固定的，因此规则链之间的应用顺序取决于数据包的流向

1.入站数据流向：

来自外界的数据包到达防火墙后，首先被 PEROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应该发往何处）；如果数据包的目标地址是防火墙本机，那么内核将其传递给 INPUT 链进行处理（决定是否允许通过），通过后再交给系统上层的应用程序进行相应

2.转发数据流向：

来自外界的数据包到达防火墙后，首先被 PREOUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址，则内核将其传递给 FORWARD 链进行处理（允许转发、拦截或丢弃），最后交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

3.出站数据流向：

防火墙本机向外部地址发送数据包，首先被 OUTPUT 链处理，然后进行路由选择，再交给 POSTRO