企业级iptables防火墙

一、IPtables介绍

Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具，它的功能十分强大，使用非常灵活，可以对流入和流出服务器的数据包进行很精细的控制。主要针对网络访问

iptables其实并不是真正的防火墙，我们可以把他理解为一个客户端的代理，用户是通过iptables这个代理，将用户的安全设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。

netfilter：内核空间，是真正实现防火墙的功能。
iptables：用户空间，在/sbin/iptables存在的防火墙，通过iptables提供管理，修改，删除或者插入规则。
用户和内核交互的一个工具就是iptables。

WechatIMG91.jpg

实际生产环境中:

关闭Linux自身防火墙。（解决安全问题尽量不给服务器配置外网IP.需要访问的话，就使用代理转发。）因为高并发，iptables会加大延迟。除非并发小，服务器必须处于公网。考虑开启防火墙。

大并发的情况，不能开iptables,影响性能因为iptables是要消耗CPU的，利用硬件防火墙提升架构安全

1、iptables工作原理分类:

主机防火墙：主要是用来防范单台主机的进出报文；-----filter表
网络防火墙：能够实现对进出本网络的所有主机报文加以防护----nat表

iptables缺点：

（1）防火墙虽然可以过滤互联网的数据包，但却无法过滤内部网络的数据包。因此若有人从内部网络攻击时，防火墙没有作用。
（2）电脑本身的操作系统亦可能因一些系统漏洞，使入侵者可以利用这些漏洞绕过防火墙过滤，从而入侵电脑。
（3）防火墙无法有效阻挡病毒攻击，尤其是隐藏在数据中的病毒。
PS:没有绝对安全的操作系统，虽然防火墙有这些缺点，但还是能阻挡大多数来自于外网的攻击！

逻辑上：主机防火墙/网络防火墙	物理上：硬件防火墙/软件防火墙
主机防火墙：针对于单个主机进行防护	硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高
网络防火墙：往往处于网络入口或边缘，针对于网络口进行防护，服务于防火墙背后的局域网。	软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。
网络防火墙和主机防火墙并不冲突，可以理解为，网络防火墙主外，主机防火墙主内

2、iptables工作流程

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。
3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

二、iptables概念

1、iptables名词和术语

①、什么是 iptables
如果netfilter是一栋有四套房子的楼盘，那么表（table）就是楼里的一套房子。这套房子（表table），我们说它属于这栋楼（netfilter/iptables）
②、什么是表（table）
表（table）是链（chains）的容器，一个表就是这栋楼其中的一套房子
③、什么是链（chains）
链是规则（policy）的容器，链就好比房子里的家具，每套房子里面都有家具，有的家具别人家有，你家也有，有的家具别人家有你家没有，还有的家具你家有，别人家没有
④、什么是规则（policy）
规则（Policy）就比较容易理解了，就是iptables系列过滤信息的规范和具体方法条款。就好比如你家的衣柜，衣柜是用来放衣服的，但是放什么衣服怎么放，就是你自己的事了。

总结：

netfilter/iptables	表（table）	链（chains）	规则（policy）
一栋楼	楼里的房子	房子里的家具（如：衣柜）	衣柜里的衣服，摆放规则

三、iptables 表和链

默认情况下，iptables根据功能和表的定义划分包含三个表，filter,nat,mangle,其每个表又包含不同的操作链（chains )。 实际iptables包含四张表和五个链,主要记住filter即可。

1、四个表：

表名	作用
raw	追踪数据包， ----此表用处较少，可以忽略不计
mangle	给数据打标记,做标记
nat	网络地址转换即来源与目的的IP地址和port的转换。
filter	做过滤的，防火墙里面用的最多的表。

注意：必须小写
表的应用顺序：raw->mangle->nat->filter

2、五个链

链名	功能
PREROUTING	进路由之前数据包
INPUT	就是过滤进来的数据包（输入）
FORWARD	转发
OUTPUT	发出去的数据包
POSTROUTING	路由之后修改数据包

注意：必须大写（链里面写的是规则）

所有的访问都是按顺序:
入站:比如访问自身的web服务流量。先PREROUTING（是否改地址），再INPUT（是否允许）到达程序。
转发:经过linux网关的流量.先PREROUTING（是否改地址），然后路由。转发给FORWARD（转发或者丢弃），最后经过POSTROUTING（看看改不改地址。）
出站:源自linux自身的流量.先OUTPUT，然后路由。再给POSTROUTING（是否改IP）。
规则顺序:逐条匹配，匹配即停止。

3、四表五链

CentOS7

raw表里面：
PREROUTING
OUTPUT
总结:数据包跟踪  内核模块iptables_raw
===============================================
mangel表里面有5个链：
PREROUTING  
INPUT    
FORWARD 
OUTPUT 
POSTROUTING
路由标记用的表。内核模块iptables_mangle
=====================================================
nat表里面的链：
PREROUTING
INPUT
OUTPUT
POSTROUTING
转换地址的表(改IP，改端口。当网关使用的linux。保护内外网流量。内核模块叫iptable_nat)
==========================================
filter表有三个链：重点
INPUT    #负责过滤所有目标是本机地址的数据包通俗来说：就是过滤进入主机的数据包
FORWARD  #负责转发经过主机的数据包。起到转发的作用
OUTPUT   #处理所有源地址是本机地址的数据包通俗的讲：就是处理从主机发出的数据包
总结:根据规则来处理数据包，如转或者丢。就是实现主机型防火墙的主要表。
内核模块 iptable_filter

Centos6结构

1564207347956.png

四 iptables操作

1、安装

环境：一台机器/ip：192.168.94.137

[root@iptables-server ~]# yum install -y iptables iptables-services
[root@iptables-server ~]# systemctl stop firewalld
[root@iptables-server ~]# systemctl  disable firewalld
[root@iptables-server ~]# systemctl start iptables
#centos(5/6)
#启动防火墙：#/etc/init.d/iptables start

查看版本:
[root@iptables-server ~]# iptables -V 
iptables v1.4.21
配置文件:
/etc/sysconfig/iptables-config 
/etc/sysconfig/iptables   #记录规则文件

2、常用参数

-L：列出一个链或所有链中的规则
-n：以数字的形式显示地址、端口等信息
-v：以更详细的方式显示规则信息
--line-numbers：查看规则时，显示规则的序号
-D：删除链内指定的序号
-R：修改规则
-F：清空所有的规则（-X是清理自定义的链；-Z清零规则序号）
-P：为指定的链设置默认规则
-A：在链的末尾追加一条规则
-I：默认在链的开头插入一条规则，可以指定序号（如：在序号为2的规则前面插入一条规则）
-t：指定表名
-s：指定源
-d：指定目标
更多参数 --help

参数使用示例

如果不写-t 默认使用filter表
指定表名查看规则
# iptables -t nat -L
默认查看规则:
# iptables  -L
以数字的形式显示ip和端口与协议
# iptables -nL 
显示规则行号
# iptables -nL --line
清空规则：
#iptables  -F 
清空单独的某一个链里面的规则
#iptables  -F  链名
保存规则：
# service iptables save
# iptables-svae > /etc/sysconfig/iptables

3、处理动作

处理动作在iptables中被称为target（这样说其实并不准确，暂且这样称呼），动作也可以分为基本动作和扩展动作

1、ACCEPT：允许数据包通过
2、DROP：直接丢弃数据包，不给任何回应信息，这时候客户端会感觉自己的请求如泥牛入海，过了超时时间才会有反应。
3、REJECT：拒绝数据包通过，必要时会给数据发送端一个相应的信息，客户端刚请求就会收到拒绝的信息
4、SANT：源地址转换，解决内网用户用同一个公网地址上网的问题。
5、DNAT：目标地址转换
6、MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的ip上。
7、REDIRECT：在本机做端口映射。
8、LOG：在/var/log/message文件中记录日志信息，然后将数据包传递给下一条规则，也就是说除了记录以外不对数据包做任何其他操作，仍然让下一条规则去匹配

4、iptables语法

iptables -t 表名 动作  [链名] [-p 匹配条件] [-j 控制类型]
-j：控制类型， 通过前面匹配到之后是丢弃还是保留数据包的处理方式: 
ACCEPT允许，
REJECT拒绝，
DROP丢弃。 不会给用户返回任何的拒绝消息，不推荐使用。
LOG写日志（log不适用匹配，只是记录一下）
======================================================
动作：添规则还是删除规则
-p：匹配条件：数据包特征ip，端口等
如果不写-t 默认使用filter表
============================
动作
修改默认规则： -P （大p）
删除规则：-D
修改规则：-R
追加规则: -A  默认追加到链的末尾
插入规则：-I （大i），在链的开头（或指定序号）插入一条规则

5、查看添加删除规则

观察iptable规则添加的方法，删除和查询的方法。本案例并不是为了体验策略效果。

iptables -t filter -A INPUT -p tcp -j ACCEPT    #最后一行
iptables -I INPUT -p udp -j ACCEPT   #第一行
iptables -I INPUT 4 -p icmp -j ACCEPT   #（插入到第4行）#第4行
iptables -L  #看一看
iptables -D INPUT 3  #  删除第三行
iptables -F  #全清空
service iptables save #保存
systemctl restart iptables  #重启

注意:如果不保存重启之后规则就不在了，反之保存了之后重启服务也会生效。

示例

测试机一台/ip：192.168.94.133

1、通用匹配（协议），可以独立使用

协议：-p （小p）
tcp ---用的最多
udp
icmp    ---ping的时候用的协议
#使用协议的时候可以不指定端口，使用端口的时候必须指定协议。

禁止自己被ping，在filter表的INPUT链插入一个丢弃icmp的规则：
[root@iptables-server ~]# iptables -F
[root@iptables-server ~]# iptables -A INPUT -p icmp -j REJECT
测试：
[root@iptables-test ~]# ping 192.168.94.137
PING 192.168.94.137 (192.168.94.137) 56(84) bytes of data.
From 192.168.94.137 icmp_seq=1 Destination Port Unreachable

2、通过端口规则匹配:

端口：
--sport    ---源端口
--dport    --目标端口
案例:
拒绝192.168.94.133这台机器通过ssh连接到这台服务器
[root@iptables-server ~]# iptables -I INPUT -s 192.168.94.133 -p tcp --dport 22 -j REJECT
例子:
端口的范围: 拒绝22端口到80端口的访问，包括22和80端口在内
[root@iptables-server ~]# iptables -I INPUT -s 192.168.94.133 -p tcp --dport 22:80 -j REJECT

验证：
[root@iptables-test ~]# ssh 192.168.94.137
ssh: connect to host 192.168.94.137 port 22: Connection refused
[root@iptables-test ~]# curl -I http://192.168.94.137:80
curl: (7) Failed connect to 192.168.94.137:80; Connection refused

3、通过ip地址：

[root@iptables-server ~]# systemctl restart iptables
1.#禁止源192.168.94.133主机进来。（换个主机ping一下，就可以通信）
[root@iptables-server ~]# iptables -I INPUT -s 192.168.94.133  -p icmp -j REJECT
-s: 源ip地址
在源ip机器验证:
[root@iptables-test ~]# ping 192.168.94.137
PING 192.168.94.137 (192.168.94.137) 56(84) bytes of data.
From 192.168.94.137 icmp_seq=1 Destination Port Unreachable
From 192.168.94.137 icmp_seq=2 Destination Port Unreachable
===========================================================================
2.拒绝多个ip地址:后面跟ip地址可以更多个ip地址用逗号隔开
# iptables -t filter -I INPUT -s 192.168.94.133,192.168.94.134  -p icmp -j REJECT
# iptables -t filter -I INPUT -s 192.168.94.133,192.168.94.134  -p tcp --dport 22:80 -j REJECT

验证:在源ip地址通过curl访问,在94.133和94.134机器分别验证
# curl -I http://192.168.94.137
curl: (7) Failed connect to 192.168.94.137:80; Connection refused
# ssh [email protected]
ssh: connect to host 192.168.94.137 port 22: Connection refused
============================================================
3.举例：:#限制源94网段的数据包。
# iptables -I INPUT -s 192.168.94.0/24 -j REJECT

4、修改规则:

[root@iptables-server ~]# iptables -L --line
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.94.134       anywhere             tcp dpts:ssh:http reject-with icmp-port-unreachable
2    REJECT     tcp  --  192.168.94.133       anywhere             tcp dpts:ssh:http reject-with icmp-port-unreachable
3    REJECT     icmp --  192.168.94.134       anywhere             reject-with icmp-port-unreachable
将修改第二条规则访问80端口:
[root@iptables-server ~]# iptables -R INPUT 2 -s 192.168.94.133 -p tcp --dport 80 -j ACCEPT
[root@iptables-server ~]# iptables -L --line
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.94.134       anywhere             tcp dpts:ssh:http reject-with icmp-port-unreachable
2    ACCEPT     tcp  --  192.168.94.133       anywhere             tcp dpt:http
3    REJECT     icmp --  192.168.94.134       anywhere             reject-with icmp-port-unreachable

验证：
[root@iptables-test ~]# curl -I 192.168.94.137
HTTP/1.1 200 OK

5、icmp类型匹配

禁止ping策略原则
iptables服务器是ping命令发起者或是接受者
-i --in-interface：在INPUT链配置规则中，指定从哪一个网卡接口进入的流量（只能配置在INPUT链上）
-o --out-interface：在OUTPUT链配置规则中，指定从哪一个网接口出去的流量（只能配置在OUTPUT链上）
====================================================
icmp的类型:
0: Echo Reply——回显应答（Ping应答）ping的结果返回。
8: Echo request——回显请求（Ping请求），发出去的请求。
=====================================================
1.自己不能ping别人，但是别人可以ping自己:
 #ping发出的请求禁止掉了
[root@iptables-server ~]# iptables -I OUTPUT -o ens32 -p icmp --icmp-type 8 -j REJECT
[root@iptables-server ~]# ping 192.168.94.133
PING 192.168.94.133 (192.168.94.133) 56(84) bytes of data.
From 192.168.94.137 icmp_seq=1 Destination Port Unreachable
ping: sendmsg: Operation not permitted

2.本机可以ping其他机器。其他机器不能ping通本机:
#将进来的ping请求给丢弃了。
[root@iptables-server ~]# iptables -I INPUT -p icmp --icmp-type 8 -j REJECT
#允许自己ping别人
[root@iptables-server ~]# iptables -I OUTPUT -p icmp --icmp-type 8 -j ACCEPT
验证：
[root@iptables-server ~]# ping 192.168.94.133
PING 192.168.94.133 (192.168.94.133) 56(84) bytes of data.
64 bytes from 192.168.94.133: icmp_seq=1 ttl=64 time=0.542 ms
64 bytes from 192.168.94.133: icmp_seq=2 ttl=64 time=0.339 ms
[root@iptables-test ~]# ping 192.168.94.137
PING 192.168.94.137 (192.168.94.137) 56(84) bytes of data.
From 192.168.94.137 icmp_seq=1 Destination Port Unreachable
=========================================================================================
拒绝任何ping的协议:
[root@iptables-server ~]# iptables -A INPUT -p icmp -j DROP

扩展匹配示例

显示匹配:如端口匹配，IP范围，MAC地址，等特殊匹配

#iptables -m iprange   --help
1.指定ip范围:
语法： -m iprange --src-range
# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 192.168.94.130-192.168.94.140 -j REJECT
2.指定多端口范围：一次拒绝多个指定端口
语法：
-m multiport --sports   #源端口
-m multiport --dports   #目的端口
# iptables -A INPUT -p tcp -m  multiport --dports 22,80 -s 192.168.94.133 -j REJECT
验证:在192.168.94.133机器上
# ssh [email protected]  #不通
ssh: connect to host 192.168.94.173 port 22: Connection refused
3.MAC地址匹配
拒绝MAC地址的匹配：只能匹配源MAC地址
语法: -m mac --mac-source
# iptables -I INPUT -m mac --mac-source 00:0C:29:64:E3:8D -j REJECT  #将指定的MAC地址服务请求全部禁止了

通过网卡接口:

# iptables -I INPUT -i ens32 -j DROP  #谁也连不上了.

保存和删除规则

删除:
# iptables -D INPUT 3  #通过查看行号，指定行号删除；
# iptables -D INPUT -p icmp -j REJECT   #方式二
=======================================================================================
保存:
[root@iptables-server ~]# iptables-save > /etc/sysconfig/iptables  #保存到文件里面，方式一
[root@iptables-server ~]# service iptables save   #第二种方式，推荐
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
最后写完规则后记得保存！

五、iptablesNAT模式-网络地址转换（企业级应用）

网络地址转换NAT（企业应用，虚拟机做实验效果不佳，因为都处在同一局域网。）

1564670027703.png

确保实验不会被其他因素影响

[root@iptables-server ~]# iptables -F
[root@iptables-server ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

1、DNAT：目标地址转换
如果我不在路由之前就把目标地址转换完成，很显然当数据包到达入口IP之后，他的目的已经达到了，因为他本来的目标IP就是防火墙的对外公网IP，那么数据包还会往里面走吗？显然不可能了，所以只能使用PREROUTING

[root@iptables-server ~]# iptables -t nat -I PREROUTING -j DNAT --to-destination 192.168.94.133

2、SNAT：源地址转换
一个数据包在经过路由之后（或者说在通过防火墙的过滤之后）才被知道他的源IP是谁，在路由之前只能看到目标IP，如果我看不到你的源IP，那怎么匹配想过滤的数据包并进行源地址转换？我防火墙根本就不能确定你是否是符合匹配条件的IP，所以只能使用POSTROUTING
[root@iptables-server ~]# iptables -t nat -I POSTROUTING -d 192.168.94.133 -j SNAT --to-source 192.168.94.137

验证：

[root@linux ~]# curl -I 192.168.94.137
HTTP/1.1 200 OK
Date: Sat, 22 Feb 2020 01:25:23 GMT
Server: Apache/2.4.6 (CentOS)
Last-Modified: Sat, 22 Feb 2020 01:22:19 GMT
ETag: "3-59f1ff82813aa"
Accept-Ranges: bytes
Content-Length: 3
Content-Type: text/html; charset=UTF-8

image.png

企业常用案例功能小结：

1）linux主机防火墙，单机作为防火墙（表filter）。
2）局域网共享上网（表nat postrouting）。
3）外部地址映射为内部地址和端口（表nat prerouting）

六、企业级防火墙配置

1、清除防火墙规则

# iptables -F

2、修改默认规则为拒绝（修改前先放行22端口，保证自己能够连上主机）

[root@iptables-server ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT  #放开22号端口
[root@iptables-server ~]# iptables -P INPUT DROP   #将默认所有进来的请求设置为全部拒绝掉
[root@iptables-server ~]# iptables -P FORWARD DROP #将默认所有的转发的规则设置为全部拒绝掉
注意:修改默认规则： 只能使用ACCEPT和DROP
 # iptables -P INPUT DROP      ----拒绝
 # iptables -P INPUT ACCEPT    ----允许

3、放行指定的端口

[root@iptables-server ~]# iptables -A INPUT -i lo -j ACCEPT  #允许通过lo网卡进入的请求
[root@iptables-server ~]# iptables -A INPUT  -p tcp  -m multiport --dport  80,443 -j ACCEPT #允许访问80和443端口
[root@iptables-server ~]# iptables -A INPUT -s 192.168.246.0/24 -j ACCEPT  #允许这个内网网段连接服务器

4、保存iptables配置

[root@iptables-server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
或者
[root@iptables-server ~]# iptables-save > /etc/sysconfig/iptables