简单认识Linux系统防火墙iptables

最新推荐文章于 2024-01-15 16:33:47 发布

除我以外皆是我

最新推荐文章于 2024-01-15 16:33:47 发布

阅读量275

点赞数

文章标签： linux 网络服务器

本文链接：https://blog.csdn.net/qq_67633755/article/details/131168841

版权

文章目录

一、iptables防火墙
二、iptables防火墙配置
- 3.示例
三、规则的匹配

一、iptables防火墙

1.简介

    Linux系统的防火墙: IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。

    主要工作在网络层，针对IP数据包。针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）

2.netfilter/iptables关系

netfilter：属于“内核态” (Kernel Space，又称为内核空间)的防火墙功能体系。是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于“用户态” (User Space，又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入，修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

3.iptables的四表五链

（1）四表
raw表：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。

mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。

filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。
（2）五链
INPUT：处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT：处理出站数据包，一般不在此链上做配置。

FORWARD：处理转发数据包，匹配流经本机的数据包。

PREROUTING链：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。

POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

4.数据包过滤的匹配流程

（1）入站
入站数据包从A网络发到B网络，首先发到防火墙，先后顺序经过有PREROUTING链的三个表（raw、mangle、nat），如果都是放通状态的会经过路由选择，然后根据目的地址一层一层往上送，经过有INPUT的两个表（mangle、filter），一直送到应用程序。

（2）转发
目的地不是本机，数据包先从A网络过滤，经过PREROUTING链，看是否是自己的目的地址，如果是外网到内网需要用nat转换成内网IP，找到内网用户，经过FORWARD链进行过滤，允许放通的到达POSTROUING链，再把内网地址转换成公网，这样数据包才能回去；如果是内网往外网发顺序就是反过来。

（3）出站
从本机的应用程序发出来，经过路由选择，让路由知道从哪里发，先后顺序经过有OUTPUT链的四个表（raw、mangle、nat、filter），都放通后到达POSTROUING链的两个表（mangle、nat），如果没有什么转换地址，就出站。

二、iptables防火墙配置

1.下载相关服务

systemctl stop firewalld. service         //关闭firewalld防火墙
systemctl disable firewalld. service      //取消firewalld防火墙开机自启动
yum -y install iptables iptables-services //安装iptables和iptables-services
systemctl start iptables.service          //启动iptables-services

2.iptables命令

iptables  [-t 表名]  管理选项  [链名] [匹配条件] [-j 控制类型]
-t	指定表名（raw、mangle、nat、filter）
-j	指定控制类型

常用管理选项
-A (–append) 在指定链的末尾追加一条新的规则
-I (–insert)

在指定链的开头插入一条新的规则；未指定序号时默认作为第一条规则
-R (–replace) 修改、替换指定链中的某一条规则，可指定规则序号或具体内容
-P (–policy)
设置指定链的默认策略

-D (–delete) 删除指定链中的某一条规则，可指定规则序号或具体内容
-F (–flush) 清空指定链中的所有规则；若未指定链名，则清空表中的所有链
-L (–list) 列出指定链中所有的规则；若未指定链名，则列出表中的所有链
-n (–numeric) （搭配-L使用）使用数字形式显示输出结果，如显示IP地址而不是主机名
-v （搭配-L使用）显示详细信息，包括每条规则的匹配包数量和匹配字节数
–line-numbers （搭配-L使用）查看规则时，显示规则的序号

常用控制类型

ACCEPT 允许数据包通过
DROP 直接丢弃数据包，不给出任何回应消息
REJECT 拒绝数据包通过，会给数据发送端一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
MASQUERADE 伪装成—个非固定公网IP地址
LOG 在/varlog/messages文件中记录日志信息，然后将数据包传递给下一条规则。（LOG只是一种辅助动作，并没有真正处理数据包）

匹配条件
-p 指定要匹配的数据包的协议类型
-s 指定要匹配的数据包的源IP地址
-d 指定要匹配的数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机做使用的网络接口
–sport 指定源端口号
–dport 指定目的端口号

3.示例

（1）添加新的规则

//1.-A 在filter表的INPUT链末行添加拒绝icmp的规则
[root@localhost1 ~]#iptables -t filter -A INPUT -p icmp -j REJECT
 
//2.-I 不指定行，是在指定链首行插入规则（允许tcp 22端口）
[root@localhost1 ~]#iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
 
//3.-I 指定行，是在指定链的指定行上插入规则
[root@localhost1 ~]#iptables -t filter -I INPUT 2 -p tcp --dport 22 -j ACCEPT

（2）查看规则

//1.查看指定表的规则（不加链名显示所有链的所有规则）
[root@localhost1 ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
REJECT     icmp --  anywhere             anywhere             reject-with icmp-port                                                                                                         -unreachable
Chain FORWARD (policy ACCEPT)