Linux之iptables防火墙

安全技术和防火墙

安全技术
入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，
主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统,一般采用旁路部署（默默的看着你）方式。

入侵防御系统（Intrusion Prevention System）：以透明模式工作，
分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，
在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）

防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，
对进出网络或主机的数据包基于一定的规则检查，
并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，
基本上的实现都是默认情况下关闭所有的通过型访问，
只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。

防水墙
广泛意义上的防水墙：防水墙（Waterwall），与防火墙相对，是一种防止内部信息泄漏的安全产品。   
网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。
防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。
其与防病毒产品、外部安全产品一起构成完整的网络安全体系。
(华为的ensp就是类似与防水墙，不透明的工作，你干什么都会记录，但是你自己不知道！)

所谓防火墙也称之为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则，允许或者限制网络报文通过。

• 硬件防⽕墙：通过硬件和软件的组合，基于硬件的防⽕墙保护整个内部网络安全。（例如 华为E9000）
• 软件防⽕墙：通过纯软件，单独使⽤软件系统来完成防⽕墙功能，保护安装它的系统。

大型公司都是以硬件防火墙为主，软件防火墙为辅。软件防火墙根据情况来决定是否开启，如果服务器性能不够，可能会关闭软件防火墙。

 iptables防火墙概述

Linux系统自带的软件防火墙：

• iptables：Centos 5/6 系统默认防火墙
• firewalld：Centos 7/8 系统默认防火墙

iptables概述

iptables是Linux系统的防火墙， IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。

主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。属于典型的包过滤防火墙（或称为网络层防火墙）。

netfilter和iptables的关系：

netfilter

• 属于的“内核态”（Kernel Space， 又称为内核空间）的防火墙功能体系。
• 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

• 属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
• 是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下

iptables的四表五链

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。

表中所有规则配置后，立即生效，不需要重启服务。

四表五链：

规则表的作用：容纳各种规则链。

规则链的作用：容纳各种防火墙规则。

即表里有链，链里有规则

四表：

表名	作用
raw	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle	修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

五链：

链名	作用
INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包。
PREROUTING	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

数据包控制的匹配流程

1.3.1 规则表之间的优先顺序：

数据包到达防火墙时，规则表之间的优先顺序：raw >mangle > nat > filte

 

规则链之间的匹配顺序：

主机型防火墙:

• 入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT -->本机的应用程序
• 出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING

网络型防火墙：

• 转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

 

规则链内部的匹配顺序：

• 自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
• 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

内核中数据包的传输过程

1. 当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

1. 如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后， 任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。

1. 如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

使用iptables命令行配置规则

命令格式

iptables  [-t 表名]  管理选项  [链名]  [匹配条件] [-j 控制类型]

注意事项：

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 控制类型使用大写字母，其余均为小写

常用控制类型：

控制类型	作用
ACCEPT	允许数据包通过(默认)
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

常用管理选项：

管理选项	作用
-A	在指定链的末尾追加(--append)一条新的规则
-I（大写i）	在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略(--policy)
-D	删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容
-F	清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

匹配条件：

匹配条件	说明
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
–sport	指定源端口号
–dport	指定目的端口号

规则配置示例

查看规则 -nL

 iptables -L -n，以数字形式显示输出结果。-L -n 合在一起写时，必须n在前，要写成 -nL

 [root@xy ~]# iptables -L      //查看filter表中所有规则
 [root@xy ~]# iptables -nL     //以数字形式显示
 ​
 [root@xy ~]# iptables -nL -t nat    //查看nat表ACCEPT
 [root@xy ~]# iptables -nL --line-numbers   //显示规则序号
 ​
 [root@xy ~]#iptables -t filter -F  //清空 filter表内所有规则

添加规则 -A -I

 #在INPUT链末尾追加规则
 [root@yuji ~]# iptables -t filter -A INPUT -p icmp -j REJECT
 [root@yuji ~]# iptables -nL 
 ​
 #在INPUT链第二行出入规则
 [root@yuji ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
 [root@yuji ~]# iptables -nL --line-numbers

删除规则 -D

1、按序号删除，比较准确。

2、按内容删除，如果有2条相同内容，会删除序号小的那个。

注意：

• 删除规则前，先想清楚会不会导致ssh断连。
• 如果链的默认规则是DROP，在使用iptables -F之前一定要慎重，可能会导致自己断连，断连后只能去机房解决。

#先查看链中的规则
 [root@yuji ~]# iptables -nL --line-numbers   //显示规则的序号
 Chain INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 2    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 #按序号删除
 [root@yuji ~]# iptables -D INPUT 2  //删除INPUT链中的第2条规则
 [root@yuji ~]# iptables -nL --line-numbers
 Chain INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 ​
 #按内容删除
 [root@yuji ~]# iptables -D INPUT -p tcp -j ACCEPT  //删除INPUT链中tcp协议ACCEPT的规则
 [root@yuji ~]# iptables -nL --line-numbers
 Chain INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 num  target     prot opt source               destination

设置默认策略 -P

未修改的状况下，默认策略为ACCEPT（允许）。

注意：

将默认策略修改为DROP前，一定要检查清楚链内是否设置了允许tcp协议22端口进行连接的规则。否则一旦修改为DROP，会导致ssh断连。

[root@yuji ~]# iptables -P INPUT DROP  //将默认策略修改为DROP

匹配条件

3.1 通用匹配

可直接使用， 不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件。

协议匹配	-p 协议名
地址匹配	-s 源地址、-d 目的地址 。可以是IP、网段、域名、空(任何地址)
接口匹配	-i 入站网卡、-o 出站网卡

 iptables -A INPUT ! -p icmp -j ACCEPT
 #没有-t指定表，就是指默认表filter表
 # !代表条件取反，不是icmp的都放通
  
 iptables -A INPUT -s 192.168.72.10 -j REJECT
 #拒绝从哪个主机发数据包过来（-s指定了源地址）
  
 iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
 #在行首插入规则，丢弃该网段从ens33网卡进来的数据包

! 取反时需要注意。

例如设置“不是icmp的都放通”，即放通的协议中不包括icmp，这条规则没有针对icmp。那么icmp协议会向下查找匹配，如果匹配不到规则，那么就会取默认策略ACCEPT，则此时其他主机可以ping通本机

 

隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类 型等条件。

3.2.1 端口匹配

端口匹配：--sport 源端口、--dport 目的端口。

可以是个别端口或者端口范围。

格式	含义
--sport 1000	匹配源端口是1000的数据包
--sport 1000:3000	匹配源端口是1000-3000的数据包
--sport 1000:	匹配源端口是1000及以上的数据包
--sport :3000	匹配源端口是3000及以下的数据包

注意： --sport 和 --dport 必须配合 -p <协议类型> 使用

 

ICMP类型匹配

--icmp-type ICMP类型

ICMP类型可以是字符串、数字代码:

ICMP类型	含义
Echo-Request （代码为8）	表示请求
Echo- -Reply （代码为0）	表示回显
Dest ination-Unreachable （代码为3）	表示目标不可达

 --icmp-type 8   //表示请求（ping），即其他主机向本机请求（ping本机）
 --icmp-type 0   //表示回显（pong），即本机向其他主机发数据包（本机ping其他主机）
 --icmp-type 3   //当本机ping不通其他主机时，提示目标不可达。
 ​
 例子:
 #丢弃icmp的包，别人ping不通本机，本机也ping不通别人
 iptables -A INPUT -p icmp -j DROP
 ​
 #丢弃icmp的请求，禁止其他主机ping本机，但本机可以ping其他主机
 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
 ​
 #当本机ping不通其它主机时提示目标不可达，此时其它主机需要配置关于icmp协议的控制类型为REJECT
 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

 

显示匹配

要求以“-m扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

3.3.1 多端口匹配

• -m multiport --sport 源端口列表
• -m multiport --dport 目的端口列表

 iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
 iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

 IP范围匹配

• -m iprange --src-range 源IP范围
• -m iprange --dst-range 目的IP范围

 iptables -A FORWARD -p udp -m iprange --src-range 192.168.72.100-192.168.72.200 -j DROP
 # 禁止转发源地址位于192.168.72.100——192.168.72.200的udp数据包

MAC地址匹配

-m mac -- -mac- source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
 #禁止来自某MAC地址的数据包通过本机转发

状态匹配

 -m state --state连接状态