Linux之防火墙

防火墙

本章结构

Linux防火墙基础

• iptables的表、链结构
• 数据包控制的匹配流程

编写防火墙规则

• 基本语法、控制类型
• 添加、查看、删除规则
• 规则的匹配条件

iptables概述和关系

概述

Linux 系统的防火墙 ：IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

netfilter/iptables 关系

1. netfilter：属于“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。
2. iptables：属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下。
3. netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了 raw、mangle、nat 和 filter 四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

四表五链

• 规则表的作用：容纳各种规则链
• 规则链的作用：容纳各种防火墙规则
• 总结：表里有链，链里有规则

四表

• raw表：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。
• mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
• nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
• filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

#在 iptables 的四个规则表中，mangle 表和 raw 表的应用相对较少。

五链

• INPUT：处理入站数据包，匹配目标IP为本机的数据包。
• OUTPUT：处理出站数据包，匹配从本机发出的数据包。
• FORWARD：处理转发数据包，匹配流经本机的数据包。
• PREROUTING链：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
• POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

匹配顺序

数据包到达防火墙时，规则表之间的优先顺序

raw > mangle > nat > filter

规则链之间的匹配顺序

主机型防火墙

• 入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT --> 本机的应用程序
• 出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序 --> OUTPUT --> POSTROUTING

网络型防火墙

• 转发数据（需要经过防火墙转发的数据包）：PREROUTING --> FORWARD --> POSTROUTING

规则链内的匹配顺序

• 自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
• 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

总结图

iptables的安装与配置

iptables安装

CentOS 7默认使用firewalld防火墙，没有安装 iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装 iptables

systemctl stop firewalld.service
systemctl disable firewalld.service

yum -y install iptables iptables-services
systemctl start iptables.service

iptables防火墙的配置方法

• 使用iptables 命令行。
• 使用system-config-firewall

iptables 命令行配置方法

命令格式：
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型和链名使用大写字母，其余均为小写

常用的控制类型

• ACCEPT：允许数据包通过。
• DROP：直接丢弃数据包，不给出任何回应信息。
• REJECT：拒绝数据包通过，会给数据发送端一个响应信息。
• SNAT：修改数据包的源地址。
• DNAT：修改数据包的目的地址。
• REDIRECT：重定向改变目的端口，将接受的包转发至本机的不同端口
• MASQUERADE：伪装成一个非固定公网IP地址。
• LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包。

常用的管理选项

• -A ：在指定链的末尾追加（–append）一条新的规则
• -I ：在指定链的开头插入（–insert）一条新的规则，未指定序号时默认作为第一条规则
• -R ：修改、替换（–replace）指定链中的某一条规则，可指定规则序号或具体内容
• -P ：设置指定链的默认策略（–policy）
• -D ：删除（–delete）指定链中的某一条规则，可指定规则序号或具体内容
• -F ：清空（–flush）指定链中的所有规则，若未指定链名，则清空表中的所有链
• -L ：列出（–list）指定链中所有的规则，若未指定链名，则列出表中的所有链
• -n ：使用数字形式（–numeric）显示输出结果，如显示 IP 地址而不是主机名
• -v ：显示详细信息，包括每条规则的匹配包数量和匹配字节数
• –line-numbers：查看规则时，显示规则的序号

示例

iptables -t filter -A INPUT -p icmp -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

查看规则列表

iptables [-t 表名] -n -L [链名] [--line-numbers]
或
iptables -[vn]L				#注意：不可以合写为 -Ln

iptables -n -L --line-numbers

设置默认策略

iptables [-t 表名] -P <链名> <控制类型>

iptables -P INPUT DROP
iptables -P FORWARD DROP 
#一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

删除规则

iptables -D INPUT 2
iptables -t filter -D INPUT -p icmp -j REJECT

注意：
1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
3.按内容匹配删除时，确保规则存在，否则报错

清空规则

iptables [-t 表名] -F [链名] 

iptables -F INPUT
iptables -F

注意：
1.-F 仅仅是清空链中的规则，并不影响 -P 设置的默认规则，默认规则需要手动进行修改
2.-P 设置了DROP后，使用 -F 一定要小心！
#防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决
3.如果不写表名和链名，默认清空filter表中所有链里的所有规则

SNAT原理与应用

SNAT 应用环境

局域网主机共享单个公网IP地址接入Internet（私有IP不能在Internet中正常路由）

SNAT原理

修改数据包的源地址。

SNAT转换前提条件

1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2. Linux网关开启IP路由转发

临时打开：
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

永久打开：
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 		#将此行写入配置文件

sysctl -p 						#读取修改后的配置

SNAT转换

SNAT转换1：固定的公网IP地址：
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10
									内网IP	     出站 外网网卡                 外网IP或地址池		

SNAT转换2：非固定的公网IP地址（共享动态IP地址）：
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE


小知识扩展：
一个IP地址做SNAT转换，一般可以让内网 100到200 台主机实现上网。

DNAT原理与应用

DNAT 应用环境

在Internet中发布位于局域网内的服务器

DNAT原理

修改数据包的目的地址

DNAT原理

1. 局域网的服务器能够访问Internet
2. 网关的外网地址有正确的DNS解析记录
3. Linux网关开启IP路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 	

sysctl -p 			

DNAT转换

DNAT转换1：发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
                             入站 外网网卡  外网IP											   内网服务器IP
 
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20
	
	
DNAT转换2：发布时修改目标端口			
#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools 		#若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33


注意：使用DNAT时，同时一般要配合SNAT使用，才能实现响应数据包的正确返回



小知识扩展：
主机型防火墙 主要使用 INPUT、OUTPUT 链，设置规则时一般要详细的指定到端口
网络型防火墙 主要使用 FORWARD 链，设置规则时很少去指定到端口，一般指定到IP地址或者到网段即可

防火墙规则的备份和还原

简述

导出（备份）所有表的规则

iptables-save > /opt/ipt.txt

导入（还原）规则

iptables-restore < /opt/ipt.txt

示例

将iptables规则文件保存在 /etc/sysconfig/iptables 中，iptables服务启动时会自动还原规则

iptables-save > /etc/sysconfig/iptables
systemctl stop iptables						#停止iptables服务会清空掉所有表的规则
systemctl start iptables					#启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

tcpdump抓包工具

示例

tcpdump tcp -i ens33 -t -s 0 -c 100 and port ! 22 and net 192.168.1.0/24 -w ./target.cap

选项

• tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置，用来过滤数据包的类型
• -i ens33 : 只抓经过接口ens33的包
• -t : 不显示时间戳
• -s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
• -c 100 : 只抓取100个数据包
• port ! 22 : 不抓取端口是22的数据包
• net 192.168.1.0/24 : 数据包的网络地址为192.168.1.0/24
• -w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析