防火墙管理工具——iptables
1、防火墙管理工具
众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙,虽有软件与硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制
,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动了。
2.iptables
2.1 策略与规则链
防火墙会按照从上到下的顺序来读取配置的策略规则
,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略
。一般而言,防火墙策略规则的设置有两种:“通”(即放行) 和“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链依据数据包处理位置的不同进行分类,具体如下:
- 在进行路由选择前处理数据包(PREROUTING)
- 处理流入的数据包(INPUT)
- 处理流出的数据包(OUTPUT)
- 处理转发的数据包(FORWARD)
仅有策略规则还是仅仅不够的,还需要知道采用什么样的动作来处理这些匹配的流量,对应动作iptables服务的术语分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。
REJECT和DROP区别: DROP 是直接将流量丢弃而且不响应;REJECT则会拒绝流量后给予回复信息
2.2 基本的命令参数
根据OSI七层模型的定义,iptables属于数据链路层的服务,所以可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配;一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。防火墙策略规则的匹配顺序是从上到下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。
参数 | 作用 |
---|---|
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
-d | 匹配目的地址 |
-i 网卡名称 | 匹配从这个网卡流入的数据 |
-o 网卡名称 | 匹配从这块网卡流出的数据 |
-p | 匹配协议,如TCP、UDP、ICMP |
– dport num | 匹配目标端口号 |
–sport num | 匹配来源端口号 |
2.3 实验
-
在iptables命令后添加-L参数查看已有的防火墙规则链
-
在iptables命令后添加-F参数清空已有的防火墙规则
-
把INPUT规则链的默认策略设置为拒绝
-
向INPUT链中添加允许ICMP流量进入的策略规则
-
删除INPUT规则链中刚刚加入的那条策略(允许ICMP流量),并把默认策略设置为允许
-
将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他主机的流量
-
向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
-
向INPUT规则链中添加拒绝192.168.10.10主机访问本机80端口(Web服务)的策略规则
-
向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则
2.4 永久生效
使用iptables命令配置的防火墙规则默认会在下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令:
//RHEL8 保存 (需要8.1以上版本)
iptables-save
//RHEL 5/6/7
service iptables save