iptables防火墙

Posted 2021-06-27 世界美好與你環環相扣

iptables防火墙

• 一.Linuux包过滤防火墙概述
• • 1.1防火墙的分类
  • 1.2Linux防火墙
  • 1.3Linux包过滤的工作层次
  • 1.3iptables的表、链结构
  • • 1.3.1规则表
    • 1.3.2四个规则表
    • 1.3.3规则链
    • 1.3.4默认包括5种规则链
    • 1.3.5表和链的关系
• 二.数据包过滤的匹配流程
• • 2.1规则表之间的顺序
  • 2.2规则链之间的顺序
  • 2.3规则链内的匹配顺序
• 三.iptables安装
• 四.数据包的常见控制类型
• 五.管理选项
• 六.iptables常用命令集
• 七.iptables防火墙的net转换
• • 7.1防火墙开启路由转发功能

一.Linuux包过滤防火墙概述

1.1防火墙的分类

硬件防火墙和软件防火墙

1.2Linux防火墙

netfilter：位于Linux内核中的包过滤功能体系，称为Linux防火墙的“内核态”

iptables：位于/sbin/iptables，用来管理防火墙规则工具，称为Linux防火墙的“用户态”，firewalld也是用户态的防火墙

1.3Linux包过滤的工作层次

主要是网络层针对P数据包，体现在对包内的IP地址、端口等信息的处理上

1.3iptables的表、链结构

1.3.1规则表

表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似

1.3.2四个规则表

①raw表:确定是否对该数据包进行状态跟踪
②mangle表:为数据包设置标记
③nat表:修改数据包中的源、目标IP地址或端口
④filter表:确定是否放行该数据包(过滤)

1.3.3规则链

（1）规则的作用:对数据包进行过滤或处理
（2）链的作用:容纳各种防火墙规则
（3）链的分类依据:处理数据包的不同时机

1.3.4默认包括5种规则链

①INPUT:处理入站数据包
②OUTPUT:处理出站数据包
③FORWARD:处理转发数据包
④POSTROUTING链:在进行路由选择后处理数据包
⑤PREROUTING链:在讲行路由选择前处理数据包

1.3.5表和链的关系

二.数据包过滤的匹配流程

2.1规则表之间的顺序

raw→mangle→nat→>filter

2.2规则链之间的顺序

①入站:PREROUTING→INPUT
②出站: OUTPUT→POSTROUTING
③转发:PREROUTING→FORWARD→ POSTROUTING

2.3规则链内的匹配顺序

①按顺序依次检查，匹配即停止(LOG策略例外)
②若找不到相匹配的规则，则按该链的默认策略处理，默认规则不参与排序
匹配流程示意图

三.iptables安装

（1）关闭firewalld防火墙

systemctl stop firewalld.service 
systemctl disable firewalld.service

（2）安装iptables防火墙

yum -y install iptables iptables-services

（3）设置iptables开机启动

systemctl start  iptables.service 
systemctl  enable  iptables.service 

iptables的语法构成
iptables [-t表名] 选项 [链名] [条件] [-j控制类型]

iptables -t filer -I INPUT -p icmp -j REJECT    阻止ping测试  //-I表示新增，-p指定协议

（4）注意事项
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件选项、链名、控制类型使用大写字母，
其余均为小写

四.数据包的常见控制类型

①ACCEPT:允许通过
②DROP:直接丢弃，不给出任何回应
③REJECT:拒绝通过，必要时会给出提示
④LOG:记录日志信息，然后传给下一条规则继续匹配（不处理只记录）

五.管理选项

①-A在指定链末尾追加一条

iptables -A INPUT

②-I在指定链中插入一条新的，未指定序号默认作为第一条

iptables -I INPUT

③-P指定默认规则

iptables -P   OUTPUT ACCEPT

④-D期除

 iptables -t nat -D INPUT

⑤-R修改、替换某一条规则

iptables -t nat -R INPUT

⑥-L查看

iptables -t nat -L

⑦-n所有字段以数字形式显示（比如任意ip地址是8.0.0.0而不是anywhere，比如显示协议端口号而不是服务名)

iptables -L -n,iptables -nL,iptables -vnL

⑧-v查看时显示更详细信息,常跟-L一起使用

⑨–line-number规则带编号

iptables -t nat -L -n --line-number /iptables -t nat -L --line-number

⑩-F清除链中所有规则

iptables -F

⑪-x清空自定义链的规则，不影响其他链

iptables -x

⑫-Z清空链的计数器（匹配到的数据包的大小和总和)

 iptables -Z

⑬-s查看链的所有规则或者某个链的规则/某个具体规则后而跟编号

iptables -t nat -s、iptables -t nat -s POSTROUTING 1

六.iptables常用命令集

①增加，删除和修改

iptables -t filter -L  iptables -L      查看filter表里面的规则    
iptables -t net  -L                     查看net表里面的规则 
iptables -t  filter -S                  查看filter表所有规则
iptables -t  filter -S INPUT            查看INPUT链的规则
iptables -t  filter -S INPUT 4          查看INPUT链的第四个规则
iptables -t filter -L --line-number     查看filter表的规则编号
iptables -t filter -L -N                以数字显示
iptables -vnL                           以数字显示并显示详情
iptables  -t filter -F                  清空
iptables -t filter  -X                  清除自定义的链
iptables -t filter -Z                   -Z清空链的计数器
iptables -t filter -A INPUT -j REJECT   拒绝入站的所有数据包
iptables -I INPUT -j ACCEPT             在表的最前面增加一条允许规则
iptables -D INPUT  -j  REJECT           删除INPUT链中拒绝的规则
iptables -D INPUT 1                     指定标号删除
iptables -A OUTPUT -j REJECT            拒绝出站
 iptables -P INPUT  DROP                默认规则拒绝
iptables -P  INPUT  ACCEPT              默认拒绝接受
iptables -R INPUT 1  -j DROP            修改第一条 //修改的时候必须把编号加上

②指定类型匹配

iptables -t filter -A INPUT -p icmp -s 192.168.80.1 -j DROP   禁止192.168.80.1主机ping本机
iptables -t filter -A INPUT -p tcp -s 192.168.80.1 -j DROP    禁止192.168.80.1TCP访问b本机
iptables -A OUTPUT -p tcp -d 192.168.80.1 -j DROP             禁止本机通过TCP访问192.168.80.1主机           
iptables -A FORWARD -p tcp -s 192.168.80.0/24 -d 192.168.80.1 -j DROP  禁止本机转发访问
iptables -A INPUT -i ens33 -j DROP                      从ens33进口进来的流量全部拒绝
iptables -A OUTPUT -o ens33 -j DROP                     从ens33出口的流量全部拒绝  
iptables -A INPUT -i ens33 -s 192.168.80.1 -j DROP      指定源地址
ptables -A INPUT ! -p icmp -j DROP                      只能进行ping连接，其他都不行，！表示取反

③端口匹配

iptables -A INPUT -s 192.168.80.1 -p tcp --dport 80 -j DROP  禁止访问80端口 //定义端口的时候必须指定协议

④icmp类型匹配:编写icmp类型匹配规则时使用–icmp-type ICMP类型”的形式，
针对的协议是icmp
icmp类型:
Echo-Request:代码为8
Echo-Reply:代码为6

例:允许本机ping别的主机但是不允许别的主机ping本机

iptables -A INPUT -p icmp --icmp-type 8 -j DROP      //也可以直接写echo-request，应用在内网可以ping外网，但外网ping不了内网

⑤显示匹配:这种匹配方式要求有额外的内核模块提供支持，必须手动以"-m 模块名称”的形式调用相应的模块
如：多端口匹配、ip范围匹配、mac地址匹配、状态匹配

iptables -A INPUT -p tcp -m multiport --dport 80,22,23 -s 192.168.80.1 -j DROP  多端口
iptables -A INPUT -p tcp -m multiport --dport 20:80 -s 192.168.80.1 -j DROP     指定端口范围

⑥ip范围匹配:编写ip地址范围匹配时使用"-m iprange --Src-range IP范围”“-n iprange --dst-range IP范围”的形式

iptables -A OUTPUT -p icmp -m iprange --dst-range 192.168.80.1-192.168.80.200 -j DROP     禁止ping一段ip地址

⑦mac地址匹配:编写mac地址匹配规则时使用“-m mac --mac-source MAC地址”

iptables -A INPUT -p icmp -m mac --mac-source  00:0c:29:b3:61:84  -j DROP  指定MAC地址

⑦状态匹配:编写iptables规则时使用-m state --state连接状态”的形式常用的连接状态:
NEW:想要新建立联机的封包状态
ESTABLISHED:已经联机成功的联机状态
RELATED:表示这个封包是与我们主机发送出去的封包有关，可能是响应封包或者是联机成功之后的传送封包,这个状态很常被设定
INVALID:无效的封包，例如数据破损的封包状态

iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT  已建立连接和以前建立过连接

⑧防火墙规则的保存
iptables-save 1/查看当前规则
默认存放路径: /etc/sysconfig/iptables

iptables-save > /etc/sysconfig/iptables   保存到配置文件

七.iptables防火墙的net转换

7.1防火墙开启路由转发功能

①vim /etc/sysctl.conf//配置内核参数开启路由转发，echo 1 > /proc/sys/net/ipv4/ip_forward为临时配置
net.ipv4.ip_forward=1
②sysctl -p从文件加载系统参数

2、配置防火墙策略(先清空net表规则>

[root@localhost ~]# iptables -t nat -A PREROUTNG -d 12.0.0.128 -i ens38 -j DNAT --to-destination 192.168.192.210
[root@localhost ~]# iptables -t nat -I POSTROUTING -s 192.168.192.0/24 -o ens38 -j SNAT --to-source 12.0.0.128