文章目录
一、iptables防火墙
1.简介
Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
2.netfilter/iptables关系
netfilter:属于“内核态” (Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables:属于“用户态” (User Space,又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
3.iptables的四表五链
(1)四表
raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。
mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。
(2)五链
INPUT:处理入站数据包,匹配目标IP为本机的数据包。
OUTPUT:处理出站数据包,一般不在此链上做配置。
FORWARD:处理转发数据包,匹配流经本机的数据包。
PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。
POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
4.数据包过滤的匹配流程
(1)入站
入站数据包从A网络发到B网络,首先发到防火墙,先后顺序经过有PREROUTING链的三个表(raw、mangle、nat),如果都是放通状态的会经过路由选择,然后根据目的地址一层一层往上送,经过有INPUT的两个表(mangle、filter),一直送到应用程序。
(2)转发
目的地不是本机,数据包先从A网络过滤,经过PREROUTING链,看是否是自己的目的地址,如果是外网到内网需要用nat转换成内网IP,找到内网用户,经过FORWARD链进行过滤,允许放通的到达POSTROUING链,再把内网地址转换成公网,这样数据包才能回去;如果是内网往外网发顺序就是反过来。
(3)出站
从本机的应用程序发出来, 经过路由选择,让路由知道从哪里发,先后顺序经过有OUTPUT链的四个表(raw、mangle、nat、filter),都放通后到达POSTROUING链的两个表(mangle、nat),如果没有什么转换地址,就出站。
二、iptables防火墙配置
1.下载相关服务
systemctl stop firewalld. service //关闭firewalld防火墙
systemctl disable firewalld. service //取消firewalld防火墙开机自启动
yum -y install iptables iptables-services //安装iptables和iptables-services
systemctl start iptables.service //启动iptables-services
2.iptables命令
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
-t 指定表名(raw、mangle、nat、filter)
-j 指定控制类型
常用管理选项
-A (–append) 在指定链的末尾追加一条新的规则
-I (–insert)
在指定链的开头插入一条新的规则;未指定序号时默认作为第一条规则
-R (–replace) 修改、替换指定链中的某一条规则,可指定规则序号或具体内容
-P (–policy)
设置指定链的默认策略
-D (–delete) 删除指定链中的某一条规则,可指定规则序号或具体内容
-F (–flush) 清空指定链中的所有规则;若未指定链名,则清空表中的所有链
-L (–list) 列出指定链中所有的规则;若未指定链名,则列出表中的所有链
-n (–numeric) (搭配-L使用)使用数字形式显示输出结果,如显示IP地址而不是主机名
-v (搭配-L使用)显示详细信息,包括每条规则的匹配包数量和匹配字节数
–line-numbers (搭配-L使用)查看规则时,显示规则的序号
常用控制类型
ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给出任何回应消息
REJECT 拒绝数据包通过,会给数据发送端一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
MASQUERADE 伪装成—个非固定公网IP地址
LOG 在/varlog/messages文件中记录日志信息,然后将数据包传递给下一条规则。(LOG只是一种辅助动作,并没有真正处理数据包)
匹配条件
-p 指定要匹配的数据包的协议类型
-s 指定要匹配的数据包的源IP地址
-d 指定要匹配的数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机做使用的网络接口
–sport 指定源端口号
–dport 指定目的端口号
3.示例
(1)添加新的规则
//1.-A 在filter表的INPUT链末行添加拒绝icmp的规则
[root@localhost1 ~]#iptables -t filter -A INPUT -p icmp -j REJECT
//2.-I 不指定行,是在指定链首行插入规则(允许tcp 22端口)
[root@localhost1 ~]#iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
//3.-I 指定行,是在指定链的指定行上插入规则
[root@localhost1 ~]#iptables -t filter -I INPUT 2 -p tcp --dport 22 -j ACCEPT
(2)查看规则
//1.查看指定表的规则(不加链名显示所有链的所有规则)
[root@localhost1 ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
REJECT icmp -- anywhere anywhere reject-with icmp-port -unreachable
Chain FORWARD (policy ACCEPT)