Linux--iptables 防火墙

文章目录

  • 前言
    • 一、Linux 防火墙基础
      • 1.1、Linux 包过滤防火墙概述
      • 1.2、iptables 的表、链结构
        • 1.2.1、规则表
        • 1.2.2、规则链
      • 1.3、数据包过滤的匹配流程
    • 二、编写防火墙规则
      • 2.1、iptables 安装
      • 2.2、基本语法、数据包控制类型
      • 2.3、添加、查看、删除规则等基本操作
        • 2.3.1、添加新的规则
        • 2.3.2、查看规则列表
        • 2.3.3、删除、清空规则
        • 2.3.4、设置默认策略
      • 2.4、规则的匹配条件
        • 2.4.1、通用匹配
        • 2.4.2、隐含匹配
        • 2.4.3、显示匹配

前言

一、Linux 防火墙基础

1.1、Linux 包过滤防火墙概述

netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的"内核态"

iptables
位于/sbin/iptables,用来管理防火墙规则的工具
称为Linux防火墙的"用户态"
——以上两种称呼都可以表示Linux防火墙

包过滤的工作层次
主要是网络层,针对IP数据包
体现在对包内的IP地址、端口等信息的处理上
Linux--iptables 防火墙_第1张图片

1.2、iptables 的表、链结构

iptables的作用是为包过滤机制的实现提供规则,通过不同的规则,告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则,iptables采用了“表”和“链”的分层结构。
其中,每个规则“表”相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表;在每个“表”容器内包括不同的规则“链”,根据处理数据包的不同时机划分为五种链;而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中。
Linux--iptables 防火墙_第2张图片

1.2.1、规则表

规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似

默认包括4个规则表
raw表:确定是否对该数据包进行状态追踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)(核心,默认定义filter表)

1.2.2、规则链

规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机

默认包括5中规则链
INPUT:处理入站数据包(进防火墙的时候就会读这个链)
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包
PREROUTING链:在进行路由选择前处理数据包

1.3、数据包过滤的匹配流程

(1)规则表之间的顺序
raw → mangle → nat → filter

(2)规则链之间的顺序
入站:PREROUTING → INPUT
出站:OUTPUT → POSTROUTING
转发:PREROUTING → FORWARD → POSTROUTING

(3)规则链的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理

匹配流程示意图
Linux--iptables 防火墙_第3张图片

二、编写防火墙规则

2.1、iptables 安装

关闭firewalld防火墙
CentOS 7默认使用firewalld防火墙,若想使用iptables防火墙必须先关闭firewalld防火墙
在这里插入图片描述
安装iptables防火墙
在这里插入图片描述
设置iptables开机启动
在这里插入图片描述

2.2、基本语法、数据包控制类型

使用iptables命令管理、编写防火墙规则时,基本的命令格式如下
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

注意事项
•不指定表名时,默认指filter表(此时可以不写-t )
•不指定链名时,默认指表内的所有链
•除非设置链的默认策略,否则必须指定匹配条件
•选项、链名、控制类型使用大写字母,其余均为小写

数据包常见的控制类型
•ACCEPT:允许通过
•DROP:直接丢弃,不给出任何回应
•REJECT:拒绝通过,必要时会给出提示
•LOG:记录日志信息,然后传给下一条规则继续匹配

例如,在filter表(-t filter)的INPUT链中插入(I)一条规则,拒绝(-j REJECT)发给本机的使用ICMP协议的数据包(-p icmp)。
在这里插入图片描述

2.3、添加、查看、删除规则等基本操作

在熟练编写各种防火墙规则之前,首先需要掌握查看规则、添加规则、删除规则、清空链内规则等基本操作。下面将介绍iptables命令中常用的几个管理选项,如表
Linux--iptables 防火墙_第4张图片
其中,添加、删除、清空和查看规则是最常见的管理操作,下面通过一些规则操作示例来展示相关选项的使用

2.3.1、添加新的规则

-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则

例如,若要在filter表INPUT链的末尾添加一条防火墙规则,可以执行以下操作(其中“-p协议名”作为匹配条件)。
在这里插入图片描述
当使用管理选项“-I”时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条。
例如,以下操作添加的两条规则将分别位于filter表的第一条、第二条(其中省略了“-t filter”选项,默认使用filter表)
在这里插入图片描述

2.3.2、查看规则列表

-L:列出所有的规则条目

-n:以数字形式显示地址、端口等信息

-v:以更详细的方式显示规则信息

–line-number:查看规则时,显示规则的序号(查看第几行)

例如,若要查看filter表INPUT链中的所有规则,并显示规则序号,可以执行以下操作
Linux--iptables 防火墙_第5张图片
当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。
例如,若要以数字地址形式查看filter表INPUT链中的所有规则,可以执行以下操作
Linux--iptables 防火墙_第6张图片

2.3.3、删除、清空规则

-D:删除链内指定序号(或内容)的一条规则

-F:清空所有的规则

删除一条防火墙规则时,使用管理选项“-D”。
例如,若要删除filter表INPUT链中的第三天规则,可以执行以下操作
Linux--iptables 防火墙_第7张图片
清空指定链或表中的所有防火墙规则,使用管理选项"-F"。
例如,若要清空filter表INPUT链中的所有规则,可以执行以下操作
在这里插入图片描述
使用管理选项“-F”时,允许省略链名而清空指定表所有链的规则。
例如,执行以下操作分别用来清空filter表、nat表、mangle表。
在这里插入图片描述

2.3.4、设置默认策略

-p:为指定的链设置默认规则

iptables的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略。
默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种
例如,执行以下操作可以将filter表中FORWARD链的默认策略设为丢弃,OUTPUT链的默认策略设为允许。
在这里插入图片描述
需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。因此若要修改默认策略,必须通过管理选项“-P”重新进行设置。
另外,默认策略并不参与链内规则的顺序编排,因此在其他规则之前或之后设置并无区别

2.4、规则的匹配条件

通用匹配
可直接使用,不依赖于其他条件或扩展
包括网络协议、IP地址、网络接口等条件

隐含匹配
要求以特定的协议匹配作为前提
包含端口、TCP标记、ICMP类型等条件

显式匹配
要求以 “-m 扩展模块” 的形式明确指出类型
包含多端口、MAC地址、IP范围、数据包状态等条件

2.4.1、通用匹配

通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。常见的通用匹配包括协议匹配、地址匹配、网络接口匹配。
(1)协议匹配
协议匹配:-p 协议名
例如,若要丢弃通过icmp协议访问防火墙本机的数据包,允许转发经过防火墙的除icmp协议之外的数据包,可以执行以下操作
在这里插入图片描述
(2)地址匹配
地址匹配:-s 源地址 、-d 目的地址
例如,若要拒绝转发源地址为192.168.1.11的数据,允许转发源地址位于192.168.7.0/24网段的数据,可以执行以下操作
在这里插入图片描述
当遇到小规模的网络扫描或攻击时,封锁IP地址时比较有效的方式
例如,若检测到来自某个网段(如10.20.30.0/24)的频繁扫描、登录穷举等不良企图,可立即添加防火墙规则进行封锁
在这里插入图片描述
(3)网络接口匹配
网络接口匹配:-i 入站网卡 、-o 出站网卡
例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作
在这里插入图片描述

2.4.2、隐含匹配

这种匹配方式要求以指定的协议匹配作为前提条件,相当于子条件,因此无法独立使用。
常见的隐含匹配包括端口匹配、TCP标记匹配、ICMP类型匹配
(1)端口匹配
端口匹配:- - sport 源端口、- -dport 目的端口
例如,若要允许为网段192.168.4.0/24转发DNS数据包,可以执行以下操作
在这里插入图片描述
例如,构建vcftpd服务器时,若要开发20、21端口,以及用于被动模式的端口范围为24500-24600,可以参考以下操作设置防火墙规则
在这里插入图片描述

(2)ICMP类型匹配
ICMP类型匹配:- -icmp-type ICMP类型
例如,若要禁止从其他主机ping本机,但是允许本机ping其他主机,可以执行以下操作
在这里插入图片描述

2.4.3、显示匹配

这种匹配方式要求有额外的内核模块提供支持,必须手动以“-m模块名称"的形式调用相应的模块。
(1)多端口匹配
多端口匹配:

-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例如,若要允许本机开放25、80、110、143端口,以便提供电子邮件服务,可以执行以下操作。
在这里插入图片描述
(2)IP范围匹配
IP范围匹配:-m iprange --src-range IP范围
例如,若要禁止转发源IP地址位于192.168.4.21与192.168.4.28之间的TCP数据包,可执行以下操作
在这里插入图片描述
(3)MAC地址匹配
MAC地址匹配:-m mac --mac-source MAC地址
例如,若要根据MAC地址封锁主机,禁止访问本机的任何应用,可以参考以下操作
在这里插入图片描述
(4)状态匹配
状态匹配:-m state --state 连接状态
例如,若要禁止转发与正常TCP连接无关的非–syn请求数据包,可执行以下操作
在这里插入图片描述
例如,若只开放本机的Web服务(80端口),但对发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃,则对应的入站控制规则可参考以下操作
在这里插入图片描述

你可能感兴趣的:(理论,实验,linux)