Linux 防火墙之 iptables 的基本使用

本文同步发表于我的微信公众号，扫一扫文章底部的二维码或在微信搜索 chaodev 即可关注。

防火墙作为公网与内网之间的保护屏障，在保障数据的安全性方面起着至关重要的作用。

在比较新的系统中，firewalld 防火墙取代了 iptables 防火墙，其实 firewalld 和 iptables 都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙工具而已，或者说，它们只是一种服务。

iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理，而 firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。换句话说，当前的 linux 系统其实存在多个防火墙管理工具。

一、策略与规则链

防火墙会从上至下的读取配置的策略规则，如果在读取完所有的策略规则后没有匹配的，则执行默认的策略规则。防火墙策略规则的设置一般有两种：一种是“通”（放行），一种是“堵”（阻止）。

默认为拒绝时，就要设置允许规则，否则谁都进不来；默认为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用。

iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

+ PREROUTING：在进行路由选择前处理数据包
+ POSTROUTING：在进行路由选择后处理数据包
+ INPUT：处理流入的数据包
+ OUTPUT：处理流出的数据包
+ FORWARD：处理转发的数据包

但是仅有规则策略还不能保证安全，还应有相应动作来处理相应流量，在 iptables 服务中分别是：ACCEPT（允许流量通过）、REJECT（拒绝流量通过）、LOG（记录日志信息）、DROP（拒绝流量通过）。其中 DROP 和 REJECT 的区别是，DROP 直接将流量进行丢弃而且不响应，REJECT 则会丢弃流量后进行响应，使得流量发送方可看到数据被拒绝的响应信息。

二、iptables基本命令

iptables 是一款基于命令行的防火墙策略管理工具，iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成功，iptables 就会策略规则所预设的动作来处理这些流量。

iptables 常用命令参数如下：

参数	作用
-P	设置默认策略
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I num	在规则链的头部加入新规则
-D num	删除某一条规则
-s	匹配来源地址IP/MASK，加叹号“！”表示除这个ip外
-d	匹配目标地址
-I 网卡名称	匹配从这块网卡流入的数据
-o 网卡名称	匹配从这块网卡流出的数据
-p	匹配协议。如TCP、UDP、ICMP
–dport num	匹配目标端口号
–sport num	匹配来源端口号

注：防火墙的策略规则的匹配顺序是从上至下的，因此优先级较高的策略规则应放到前面，以免发生错误。

三、具体示例

1、查看已有的防火墙规则链

iptables -L

2、把INPUT规则链的默认策略设置为拒绝(DROP)

iptables -P INPUT DROP

然后查看防火墙规则链，已经设置为DROP

现在流量发送方会看到响应超时的提醒，但是无法判断流量是被拒绝，还是接收方主机不在线。

注：默认拒绝动作只能是DROP，而不能是REJECT。

3、把INPUT规则链的默认策略设置为允许(ACCEPT)

iptables -P INPUT ACCEPT

4、清空已有的防火墙规则链

iptables -F

当把INPUT链设置为默认拒绝后，所有流量都将被拒绝，所以需要在防火墙策略中写入允许策略。

5、向INPUT链中添加允许ICMP流量进入的策略规则

平时我们会使用 ping 命令来检测目标主机是否在线，而向防火墙的INPUT链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。

iptables -I INPUT -p icmp -j ACCEPT

然后即可使用ping命令检测，如下

6、删除INPUT链中刚才加入那条策略（允许ICMP流量），并把默认策略设置为允许

[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@localhost ~]# iptables -D INPUT 1
[root@localhost ~]# iptables -P INPUT ACCEPT

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
Chain FORWARD (policy ACCEPT)
target prot opt source destination        
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

7、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口，拒绝来自其他所有主机的流量。

iptables -I INPUT -s 192.168.157.0/30 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
ACCEPT tcp -- 192.168.157.0/30 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

这里我们把允许的动作放到了拒绝的动作前面，因为防火墙策略是从上至下的顺序匹配的，否则拒绝在前，所有流量都被拒绝掉，任何主机都无法访问。

我们可以使用 ssh 服务来验证一下，因为ssh服务使用的就是22端口，首先使用IP地址为 192.168.157.132 的主机来访问，如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused

可以看到提示连接被拒绝了，接下来将这个ip加入iptables的允许策略中，允许这个ip访问22端口。

iptables -I INPUT -s 192.168.157.132 -p tcp --dport 22 -j ACCEPT

继续使用IP地址为192.168.157.132的主机来访问，如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused

[root@localhost ~]# ssh 192.168.157.133     
The authenticity of host '192.168.157.133 (192.168.157.133)' can't be established.
ECDSA key fingerprint is 5e:a5:c3:aa:f8:b2:e9:6c:55:37:bd:aa:d8:77:68:2b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.157.133' (ECDSA) to the list of known hosts.
root@192.168.157.133's password:
Last login: Thu Mar 19 15:27:46 2020 from 192.168.157.1

可以看到已经成功连接。

8、向INPUT规则链中添加拒绝所有人访问本机8888端口的策略规则

[root@localhost ~]# iptables -I INPUT -p tcp --dport 8888 -j REJECT
[root@localhost ~]# iptables -I INPUT -p udp --dport 8888 -j REJECT

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
REJECT udp -- anywhere anywhere udp dpt:ddi-udp-1 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:ddi-tcp-1 reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.157.132 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.157.0/30 anywhere           
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

9、向INPUT规则链中添加拒绝192.168.157.128访问本机80端口的策略规则

iptables -I INPUT -s 192.168.157.128 -p tcp --dport 80 -j REJECT

10、向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

四、策略永久生效

由于使用 iptables 命令配置的防火墙策略默认会在系统下一次重启时失效，所以需要让配置的防火墙策略永久生效，执行如下命令：

[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[确定]

保存之后也可在 /etc/sysconfig/iptables 中查看到配置的策略，如下

---

微信扫一扫下方二维码即可关注我的公众号