Linux防火墙应用（iptables）

一、防火墙基础

1、iptables的表结构

1）规则链

• 规则的作用：对数据包进行过滤处理
• 链的作用：容纳各种防火墙规则
• 链的分类依据：处理数据包的不同机制

2）5种规则链

• INPUT:处理入站数据包
• OUTPUT:处理出站数据包
• FORWARD:处理转发的数据包
• POSTROUTING:路由选择后处理数据包
• PREROUTING:路由选择前处理数据包

2、iptables的链结构

1）规则表

• 表的作用：容纳各种规则链
• 表的划1分依据：防火墙的规则的作用相似

2）4种规则表

• raw表：确定是否对数据进行状态跟踪
• mangle表：对数据进行打标记
• nat表：修改数据中的源，目标IP地址或端口
• filter表：对数据包进行过滤

3、默认的表、链结构关系

3、数据包控制的匹配流程

• 规则表的匹配顺序：raw表----》mangle表-----》nat表-----》filter表
• 规则链之间的顺序：
  入站：PREROUTING---->>INPUT
  出站：OUTPUT—>>POSTROUTING
  转发：PREROUTING---->>FORWARD---->>POSTROUTING

匹配流程示意图

二、防火墙的规则编写

1、基本语法和控制类型

• 语法：iptables [-t 表名]　选项　［链名］［条件］［－ｊ　控制类型］
• 注意：
  不指定表名时，默认为ｆｉｌｔｅｒ表
  不指定链名时，默认指表内的所有链
• 控制类型：
  ＡＣＣＥＰＴ：允许通过
  ＤＲＯＰ：丢弃，不给任何回应
  ＲＥＪＥＣＴ：拒绝通过，必要时会给提示
  ＬＯＧ：记录日志信息，然后传给下一条继续匹配

2、规则的匹配条件

参数及选型：

1、添加新规则：
   -A  在链末尾追加规则
   -I  在链的开头插入规则
   或者指定行数：
   -2  在第二条插入
   -3  在第三条
2、查看规则列表：
  -L  列出所有规则列表
  -n 以数字形式显示地址，端口等信息
  -v  详细信息显示规则
  --line-numbers  显示规则序号
示例：  iptables -L   列出所有规则
       iptables  -n 
3、删除，清空规则：
  -D   删除链内指定序号或内容的一条规则
  -F   清空所有规则
例如： iptables -D OUTPUT 5
      iptables -F  清空的是默认的表，也就是filter表
      iptables -t nat -F  清空nat表
4、设置默认策略
  -P 
5、通用匹配：
  -p 协议名
  -s  源地址
  -d  目标地址
  -i  入站网卡
  -o 出站网卡
示例：iptables -I INPUT -p icmp -j DROP
     iptables -A FORWARD ! -p icmp -j DROPT  除了icmp其他所有协议
     iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP
     iptables -A INPUT -s 192.168.10.10 -j DROP
     可跟地址  可跟网段  可跟两个条件
6、隐含匹配条件：
   端口匹配： --sport源端口   --dport目标
   icmp类型匹配：--icmp-type
示例：iptables -A INPUT -s 192.168.10.10 -p udp --dport 53 -j DROP
     iptables -A INPUT -p tcp --dport 20:21 -j DROP
     iptables -A INPUT -p icmp --icmp-type 8 -j DROP
7、显示匹配：
   多端口匹配：-m multiport --sports  源端口列表
             -m multiport --dports 目标
   ip范围匹配：-m iprange --src-range ip范围
   mac地址匹配：-m mac --mac-source  MAC地址
   状态匹配：-m state --state 连接状态

三、SNAT策略及应用

• SNAT：源地址转换（Source Network Address Translation）也是Linux防火墙的一种地址转换操作，也是iptables命令中的一种数据包控制类型，其作用是根据指定条件修改数据包的源IP地址
• 应用环境：局域网主机共享单个公网IP地址介入Internet
• 策略原理：
  源地址转换
  修改数据包的源地址
• snat编写规则：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 20.0.0.1

四、DNAT策略及应用

• DNAT：目标地址转换（Destination Network Address Translation）是Linux防火墙的一种地址转换操作，是iptables命令中的一种数据包控制类型，其作用是根据指定条件修改数据包的目标IP和目标端口
• dnat编写规则：

iptables -t nat -I PREROUTING -d 12.0.0.1 -i ens33 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.0

五、实验练习

• 实验内容：分别将防火墙做snat和dnat转换
• 实验步骤：三台虚拟机实验：一台作局域网，一台作防火墙，一台为外网。
  局域网地址为192.168.195.10.外网为12.0.0.12
  
  
  
  
  
  
  
  内网主机重新访问web后
  
• 下面实验DNAT的转换