iptables 防火墙_对不同网卡应用不同防火墙规则-CSDN博客

本文链接：https://blog.csdn.net/weixin_73188318/article/details/139523299

Linux 防火墙基础

Linux防火墙基础涉及到多个关键概念和组件，以下是基于参考文章提供的信息对Linux防火墙基础的详细解释：

一、防火墙概述

防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。主要作用是保护系统网络安全，阻止未授权访问，同时允许合法流量通过。

二、防火墙分类

按保护范围划分：
- 主机防火墙：服务范围为当前一台主机。
- 网络防火墙：服务范围为防火墙一侧的局域网。
按实现方式划分：
- 硬件防火墙：在专用硬件级别实现部分功能的防火墙。
- 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件。
按网络协议划分：
- 网络层防火墙：OSI模型下四层，又称为包过滤防火墙。
- 应用层防火墙/代理服务器：proxy代理网关，OSI模型七层。

三、Linux防火墙的核心组件

Linux防火墙主要由Netfilter组件提供，Netfilter工作在内核空间，集成在Linux内核中。Netfilter在内核中选取五个位置放了五个hook function（钩子函数）——INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING，用户可以通过iptables等命令工具向其写入规则。

四、Linux防火墙的工具

iptables：Linux系统的防火墙，IP信息包过滤系统。由两个组件netfilter和iptables组成，iptables属于“用户态”的防火墙管理体系。用于管理Linux防火墙的命令程序，使插入、修改和删除数据包过滤表中的规则变得容易。
firewalld：另一个常用的Linux防火墙管理工具，提供了更为丰富的功能和更好的用户体验。firewalld引入了区域（zone）的概念，允许用户根据不同的网络环境和安全需求配置不同的防火墙规则。

五、Linux防火墙的基本设置步骤

打开防火墙：确保防火墙已经开启。
添加规则：使用iptables或firewalld命令添加防火墙规则，允许或拒绝特定的网络流量。
保存规则：将规则保存起来，以便在系统重启后仍然生效。
测试规则：测试规则是否生效，确保网络流量按照预期被允许或拒绝。
重启防火墙：如果需要，可以重启防火墙以加载新的规则配置。

六、防火墙的应用技巧

配置基于IP地址的策略防火墙：允许或拒绝特定IP地址的访问。
配置基于域名的策略防火墙：允许或拒绝特定域名的服务器的访问。
使用iptables等工具实现端口映射和本地访问其他机器的资源或服务。

通过了解和掌握上述Linux防火墙基础知识和设置步骤，可以更好地配置和管理Linux系统的防火墙，提高系统的安全性。

iptables 的表、链结构

iptables的表（Tables）和链（Chains）结构是Linux防火墙配置中的核心概念。iptables的结构由上而下，由Tables、Chains、Rules组成。以下是iptables的表与链结构的详细解释：

一、iptables的表（Tables）

iptables拥有四种内建表，它们按照处理优先级从高到低排列为：Raw、Mangle、NAT、Filter。

Raw表：优先级最高，用于处理异常。它有两个内建链：PREROUTING chain和OUTPUT chain。当设置raw表时，一般是为了不再让iptables做数据包的链接跟踪处理，以提高性能。
Mangle表：用于对特定数据包的修改。它能改变TCP头中的QoS位。Mangle表具有五个内建链：PREROUTING、OUTPUT、FORWARD、INPUT、POSTROUTING。
NAT表：用于NAT功能（端口映射，地址映射等）。它有三种内建链：PREROUTING链（处理刚到达本机并在路由转发前的数据包，通常用于DNAT）、POSTROUTING链（处理即将离开本机的数据包，通常用于SNAT）、OUTPUT链（处理本机产生的数据包）。
Filter表：iptables的默认表，用于一般的过滤功能。它有三种内建链：INPUT链（处理来自外部的数据）、OUTPUT链（处理向外发送的数据）、FORWARD链（将数据转发到本机的其他网卡设备上）。

二、iptables的链（Chains）

链是规则（Rules）的集合，数据包到达某个链后，iptables会按照链中规则的顺序进行匹配，直到找到匹配的规则并执行相应的目标（Target）为止。如果没有任何规则与数据包匹配，iptables会根据该链的默认策略（Policy）来处理数据包。

iptables的规则（Rules）包括一个条件和一个目标（target）。如果满足条件，就执行目标（target）中的规则或者特定值；如果不满足条件，就判断下一条规则。iptables的目标值（Target Values）包括ACCEPT（允许防火墙接收数据包）、DROP（防火墙丢弃数据包）、QUEUE（防火墙将数据包移交到用户空间）、RETURN（防火墙停止执行当前链中的后续Rules，并返回到调用链中）等。

总之，iptables的表与链结构为Linux防火墙提供了强大的配置和管理能力，可以根据实际需求定制不同的防火墙策略，保护系统网络安全。

数据包过滤的匹配流程

数据包过滤的匹配流程在iptables中是一个关键过程，其清晰、有序的匹配机制确保了防火墙能够有效地处理网络流量。以下是数据包过滤的匹配流程的详细解释：

防火墙的初始化：
- iptables首先加载其预定义的表和链结构，包括Raw、Mangle、NAT和Filter表，以及它们对应的链（如INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING）。
数据包的到达：
- 当一个数据包到达系统时，iptables会根据数据包的类型（如输入、输出或转发）和目的将其发送到相应的链进行处理。
数据包在链中的匹配：
- 数据包首先与链中的第一条规则进行匹配。
- 如果数据包与规则匹配成功，iptables将执行该规则所定义的目标（ACCEPT、DROP、REJECT等），并且不再检查链中的后续规则。
- 如果数据包与链中的任何规则都不匹配，iptables将按照该链的默认策略处理数据包。
表与链的优先级：
- iptables中的表按照Raw、Mangle、NAT、Filter的顺序进行处理，优先级逐渐降低。
- 在同一个表中，数据包会按照链的顺序进行匹配，例如，在Filter表中，数据包会首先匹配INPUT链，然后是FORWARD链，最后是OUTPUT链。
源和目标地址转换（NAT表）：
- 如果数据包需要进行源或目标地址转换（如NAT），iptables会将其发送到NAT表进行处理。
- 在NAT表中，PREROUTING链用于目标地址转换（DNAT），而POSTROUTING链用于源地址转换（SNAT）。
数据包修改（Mangle表）：
- 如果需要对数据包进行修改（如修改QoS位），iptables会将其发送到Mangle表进行处理。
- Mangle表包含PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING链，可以对数据包进行各种修改操作。
异常处理（Raw表）：
- Raw表用于处理异常和特殊情况，其优先级最高。
- 在数据包到达Filter表之前，iptables会首先检查Raw表，以确定是否需要对该数据包进行特殊处理。
总结：
- iptables的数据包过滤匹配流程是一个有序、高效的过程，它确保了防火墙能够根据管理员的配置准确地处理网络流量。
- 通过合理地配置iptables的表和链结构以及规则，管理员可以实现对网络流量的精细控制，提高系统的安全性和可靠性。

编写防火墙规则

编写防火墙规则时，需要明确规则的目标、条件以及相应的动作。以下是一个基于iptables的防火墙规则编写示例，按照清晰、分点表示和归纳的方式给出：

1. 确定规则目标

首先，你需要明确你想要通过规则达到的目标，比如：

允许SSH访问（TCP 22端口）
允许HTTP访问（TCP 80端口）
拒绝来自特定IP地址的所有访问

2. 选择适当的表和链

iptables有四种表（Raw、Mangle、NAT、Filter）和多个链（INPUT、OUTPUT、FORWARD等）。对于大多数基本的访问控制规则，你通常会在Filter表的INPUT链上操作。

3. 编写规则

以下是一些示例规则：

允许SSH访问（TCP 22端口）

允许HTTP访问（TCP 80端口）

拒绝来自特定IP地址的所有访问

设置默认策略

在添加具体规则之后，通常还需要设置链的默认策略。默认策略是在没有规则匹配时采取的动作。

4. 保存规则

为了使iptables规则在系统重启后仍然生效，你需要将规则保存到配置文件中。具体方法取决于你的Linux发行版，但常见的命令是iptables-save和iptables-restore。

保存规则到文件

从文件恢复规则

5. 注意事项

在编写规则时，要注意规则的顺序。iptables会按照规则在链中的顺序进行匹配，一旦匹配到某条规则，就会执行相应的动作，并停止后续的匹配。
在修改防火墙规则之前，最好先备份当前的规则配置，以防万一出现配置错误导致系统无法访问。
防火墙规则应该根据实际需求进行定制，避免过于宽松或过于严格的规则配置。

iptables 的安装

iptables的安装过程可以根据不同的Linux发行版有所不同，但一般来说，可以通过以下步骤进行安装和配置：

1. 检查是否已经安装iptables

在大多数Linux发行版中，iptables可能已经预安装。你可以通过运行iptables --version或which iptables来检查iptables是否已经安装。

2. 安装iptables（如果尚未安装）

对于基于Debian的系统（如Ubuntu）:

你可以使用apt包管理器来安装iptables：

对于基于Red Hat的系统（如CentOS、Fedora）:

你可以使用yum或dnf包管理器来安装iptables：

3. 启动和配置iptables服务

安装完成后，iptables服务可能不会自动启动。你可以使用以下命令来启动iptables服务，并确保它在系统启动时自动运行：

4. 验证iptables安装

安装并启动iptables服务后，你可以通过运行iptables -V来验证iptables的版本，或者使用iptables -L来查看当前的iptables规则。

5. 进一步配置

iptables的安装只是第一步，你还需要根据实际需求配置防火墙规则。这可以通过编辑/etc/sysconfig/iptables文件或直接使用iptables命令行工具来完成。配置规则时要特别小心，以确保不会意外地阻止合法的网络流量或允许潜在的恶意流量。

注意事项：

在配置iptables规则之前，建议备份当前的iptables规则集，以防配置错误导致网络问题。
iptables规则是按照顺序执行的，因此规则的顺序非常重要。
在应用新规则之前，最好先在测试环境中验证它们的效果。

通过遵循以上步骤，你应该能够成功地安装和配置iptables来保护你的Linux系统免受未经授权的访问和潜在的网络攻击。

基本语法、数据包控制类型

iptables的基本语法和数据包控制类型可以清晰地总结如下：

iptables基本语法

iptables的基本语法格式如下：

其中：

-t 表名：指定要操作的表名称，常用的表有filter、nat、mangle等。如果不指定表名，则默认使用filter表。
命令：表示要对iptables进行的操作，常用的命令有：
- -A（追加规则）：向链中添加新规则。
- -D（删除规则）：从链中删除规则。
- -I（插入规则）：在链中的指定位置插入新规则。
- -R（替换规则）：替换链中的规则。
- -L（列出规则）：列出指定链或所有链的规则。
- -F（清空规则）：清空指定链或所有链的规则。
- -P（设定默认策略）：设置链的默认策略。
链名：指定要操作的规则链的名称，常用的链有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING等。
规则：具体的规则内容，包括匹配条件和动作。