1  概述

iptables不是防火墙技术,是一个软件,用来配置防火墙,通过这个工具来实现对防火墙的策略的定制。iptables只是一个配置手段,防火墙是集成在内核级的。

IPTABLES 是与最新的 3.5 版本 Linux内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。

2  Netfilter组件介绍

.内核空间,集成在linux内核中。

.扩展各种网络服务的结构化底层框架

.内核中选取五个位置放了五个hook  function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook  function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。这五个钩子,也叫函数,需要通过iptables这样的工具进行调用,可以理解为检查点。在内核级别实现。

INPUT这里的进,是指进本地的进程,如访问的是httpd的服务,那么就是进httpd服务。

.由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上

.三种报文流向:

.流入本机:PREROUTING--> INPUT-->用户空间进程

.流出本机:用户空间进程-->OUTPUT--> POSTROUTING

.转发:PREROUTING--> FORWARD --> POSTROUTING

3  iptables的基本认识

.防火墙工具,iptables和firewalld,这两个工具在CentOS7上是二选一,在CentOS6上只有iptables

.iptables

.命令行工具,工作在用户空间,不会保存,重启机器就会丢失,需要写入

.用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包

.firewalld

CentOS 7引入了新的前端管理工具

管理工具:

firewall-cmd命令行

firewall-config图形

iptables的组成

.iptables由四个表和五个链以及一些规则组成

.四个表table:

分别是:filter、nat、mangle、raw

filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包

nat表:network address translation地址转换规则表

mangle:修改数据标记位规则表,主要用于数据的更改,如更改数据的标记位,如要对http和mysql这这种协议的报文进行统一的管理,可以把这两种报文添加统一的标记位,如都标记为10.相当于是打了标签10,后续可以对同一标签的数据进行控制

Raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度

优先级由高到低的顺序为:raw-->mangle-->nat-->filter

如果这些表定义的规则有冲突,则按照上面的优先级依次执行

.五个内置链chain

INPUT

OUTPUT

FORWARD

PREROUTING

POSTROUTING

Netfilter表和链对应关系

1240

注意,以上的表中,nat在centos6上默认只有三条链,没有INPUT这条链

数据包过滤匹配流程

1240

IPTABLES和路由

.路由功能发生的时间点

.报文进入本机后:判断目标主机是否为本机

是:INPUT链

否:FORWARD链

.报文离开本机之前:判断由哪个接口送往下一跳

1240

内核中数据包的传输过程

.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去

.如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出

.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

iptables规则

.规则rule

根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理

.匹配条件:默认为与条件,同时满足

         基本匹配:IP,端口,TCP的Flags(SYN,ACK等)

          扩展匹配:通过复杂高级功能匹配

.处理动作:称为target,跳转目标

         内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG...其中:DROP收到数据包后直接丢掉,不做响应,REJECT明确拒绝

        自定义处理动作:自定义chain,利用分类管理复杂情形

.规则要添加在链上,才生效;添加在自定义上不会自动生效

.链chain:

内置链:每个内置链对应于一个钩子函数,默认是五个链

自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效

iptables添加要点

iptables规则添加时考量点有以下四个方面

a)要实现哪种功能:判断添加在哪张表上

b)报文流经的路径:判断添加在哪个链上

c)报文的流向:判断源和目的

d)匹配规则:业务需要

链上规则的次序

链上规则的次序,即为检查的次序,因此隐含一定的法则,有以下四个方面,

a)同类规则(访问同一应用),匹配范围小的放上面。

因为防火墙检查的时候是从上往下检查,符合条件后就直接允许,后面的规则就不看了。如要允许1.1.1.1,但是拒绝1.1.0.0/16的网段,那么设置规则时允许1.1.1.1这条规则要放在1.1.0.0/16的前面。防止1.1.1.1本身要被放行,结果被1.1.0.0/16这条防止前面的规则拒绝掉。

b)不同类规则(访问不同应用),匹配到报文频率较大的放上面

比如1.1.1.1httpdeny

1.0.0.0/8 sshallow

这两条规则,一般要把1.0.0.0/8sshallow这条规则放在1.1.1.1前面,防止每次访问,防火墙都要被1.1.1.1 http deny这条规则检查。

c) .将那些可由一条规则描述的多个规则合并为一个

d)设置默认策略

4  iptables/netfilter网络防火墙:

(1) 充当网关,此时主机充当企业级路由器的作用

(2) 使用filter表的FORWARD链,定义规则需要在forward链上定义,forward上既要定义源也要定义目的ip,因为forward可能要同时检查源和目的。

.注意的问题:

(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性

(2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行