Iptables防火墙

Posted 2020-08-21

一、Linux防火墙基础

Linux防火墙主要工作在网络层，属于典型的包过滤防火墙。

netfilter和iptables都用来指Linux防火墙，主要区别是：

netfilter：指的是linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”的防火墙功能体系。

iptables：指的是用来管理linux防火墙的命令程序，通常位于/sbin/iptables目录下，属于“用户态”的防火墙管理体系。

 

1、iptables的表、链结构

Iptables采用了表和链的分层结构，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，raw表，mangle表，nat表，filter表，每个表容器内包括不同的规则链，根据处理数据包的不同时机划分为五种链，而决定是否过滤或处理数据包的各种规则，按先后顺序存放在各规则链中。

 

规则表分为以下4种

1）filter表：用来对数据包进行过滤，表内包含三个链，即：INPUT,FORWARD,OUTPUT

2）Nat表：nat表主要用来修改数据包的ip地址、端口号等信息。包含三个链，即PREROUTING,POSTROUTING,OUTPUT

3）Mangle表：用来修改数据包的TOS、TTL,或者为数据包设置MARL标记，实现流量整形，策略路由等高级应用，包含五个链，PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD

4）Raw表：用来决定是否对数据包进行状态跟踪，包含两个链：即OUTPUT,PREROUTING

 

规则链分为以下5种

1）INPUT链：当收到访问防火墙本机地址的数据包（入站），应用此链中的规则。

2）OUTPUT链：当防火墙本机向外发送数据包（出站）时，应用此链中的规则。

3）FORWARD链：当收到需要通过防火墙中转发送给其他地址的数据包（转发）时，应用此链中的规则。

4）PREROUTING链：在对数据包做路由选择之前，应用此链中的规则。

5）POSTROUTING链：在对数据包做路由选择之后，应用此链中的规则。

 

2、数据包过滤的匹配流程

1）规则表的顺序

当数据包抵达防火墙时，将依次应用raw表，mangle表，nat表和filter表中对应链内的规则，应用顺序为raw-mangle-nat-filter

 

2）规则链之间的顺序

入站数据流向：来自外界的数据包到达防火墙后，首先被PRETOUTING链处理，然后进行路由选择，如果数据包的目标地址是防火墙本机，那么内核将其传递给INPUT链进行处理，通过以后再讲给系统的上层应用程序进行响应。

 

转发数据流向：来自外界的数据包到达防火墙后，首先被PREROUTING链处理，然后再进行路由选择，如果数据包的目的地址是其他外部的地址，则内核将其传递给FORWARD链进行处理，最后交给POSTROUTING链进行处理。

 

出站数据流向：防火墙本机向外部地址发送的数据包，首先被OUTOUT处理，然后进行路由选择，再交给POSTROUTING链进行处理。

 

3）规则链内部各条防火墙规则之间的顺序

当数据包经过每条规则链时，依次按第一条规则，第二条规则......的顺序进行匹配和处理，链内的过滤遵循“匹配即停止”的原则，一旦找到一条相匹配的规则，则不再检查本链内后续的其它规则，如果比对完整个链，也找不到与数据包相匹配的规则，就按照规则链的默认策略进行处理。

 

二、编写防火墙规则

1.基本语法及相关参数

使用iptables命令管理、编写防火墙规则时，基本的命令格式是：

 

iptables [-t表名] 管理选项 [链名]  [匹配条件]  [-j控制类型]

 

注意：不指定表名时，默认指filter表

  不指定链名时，默认指表内的所有链

常用的管理选项：-A：在链的末尾追加一条规则

-I：在链的开头（或指定序号）插入一条规则

-L：列出所有的规则条目

-n：以数字形式显示地址、端口等信息

-v：以更详细的方式显示规则信息

--line-numbers：查看规则时，显示规则的序号

-D：删除链内指定序号（或内容）的一条规则

-F：清空所有的规则

-P：为指定的链设置默认规则

常用的控制类型：ACCEPT：允许通过

DROP：直接丢弃，不给出任何回应

REJECT：拒绝通过，必要时会给出提示

LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。（这是一种辅助操作，只做记录并不会真正处理数据包）。

举例

添加新的规则：

在filter表INPUT链的末尾添加一条防火墙规则

在filter表INPUT链的第一条插入规则（默认为filter表）

在filter表INPUT链的第二条插入规则（默认为filter表）

查看规则列表

查看filter表中的所有规则，可以添加-t选项来指定其他的表。

只查看filter表INPUT链中的规则

显示各条规则的顺序号

删除清空规则

删除filter表INPUT链中的第三条规则

清空filter表INPUT链中的所有规则，默认策略为ACCEPT，”-F”不会影响默认策略。

设置默认策略

默认策略只有ACCEPT和DROP两种，不参与规则链内规则的顺序编排，因此在其他规则之

前或之后设置并无区别。

2.匹配条件

（1）通用匹配

这种匹配方式可以独立使用，不依赖于其他条件或扩展模块。

常见的通用匹配包括：

协议匹配，形式：”-p 协议名”，用来检查数据包所使用的协议，可用的协议类型存放在linux系统的/etc/protocols文            件中。

丢弃通过icmp协议访问防火墙本机的数据包，允许转发经过防火墙的除icmp协议之外的数据包（感叹号”!”表示取反）。

地址匹配，形式：”-s 源地址”   ”-d 目标地址”，IP地址和网段都可以

封锁10.20.30.0/24网段的IP地址

网络接口匹配，形式：”-i 接口名”对应入站网卡，”-o 接口名”对应出站网卡

丢弃从外网接口（eth1）访问防火墙本机且源地址为私有地址的数据包

（2）隐含匹配

这种匹配方式要求以指定的“协议匹配”作为前提条件，相当于子条件，不能单独使用。常见的隐含匹配包括：

端口匹配，形式：”--sport 源端口”  “--dport 目标端口”，针对TCP或UDP协议，单个端口号或者以冒号”:”分隔的连            续的端口范围都是可以的，不连续的多个端口不能采用这种方式。

允许网段192.168.4.0/24转发DNS查询数据包

构建Vsftpd服务器时开放20、21端口，以及用于被动模式的端口范围为24500~24600

（关于“被动模式”可以参考《iptables防火墙（二）》）。

 

ICMP类型匹配，形式：”--icmp-type  ICPM类型”，ICMP类型使用字符串或数字代码表示，

 如”Echo-Request”代码为8；       //ICMP请求

   ”Echo-Reply”代码为0；         //ICMP回显

   ”Destination-Unreachable”     //ICMP目标不可达

禁止从其他主机ping本机，但是允许本机ping其他主机。

（3）显示匹配

这种匹配方式要求有额外的内核模块提供支持，必须手动以”-m 模块名称”的形式调用相应的模块。可以执行”lsmod | grep xl_内核模块”查看相关内核模块。

常见的显示匹配包括：

多端口匹配，形式：”-m multiport --dports 端口列表”  “-m multiport --sports 端口列表”，

            多个端口之间以逗号进行分隔。

允许开放25、80、110、143端口

IP范围匹配，形式：”-m iprange --src-range IP范围”  “-m iprange --des-range IP范围”，分别用来检查数据包的              源地址、目标地址，其中IP范围采用“起始地址-结束地址”的形式表示。

允许转发源IP地址位于192.168.4.21~192.168.4.28之间的TCP数据包

MAC地址匹配，形式：”-m mac --mac-source MAC地址”，用来检查数据包的源MAC地址。由于MAC地址本身的局限性，此               类匹配条件一般只适用于内部网络。

根据MAC地址表封锁主机，禁止其访问本机的任何应用。

状态匹配，形式：”-m state --state 连接状态”，基于iptables的状态跟踪机制用来检查数据包的连接状态                 （State）。常见的连接状态包括NEW（与任何连接无关的）、ESTABLISHED（响应请求或已建立连接                  的）、RELATED（与已有连接有关系的）。

禁止转发与正常TCP连接无关的非--syn请求数据包

只开放本机的web服务，但对发给本机的TCP应答数据包予以放行，其他入站数据包均丢弃。

补充：

当要写入多条类似的规则时，例如：对多个不连续的IP地址设置禁止转发tcp数据包时，可以结合shell语句来完成。

[[email protected] ~]# vi /opt/black_ip.txt     //编写封禁地址列表

112.90.141.88

112.90.141.163

112.90.141.164

58.251.149.159

58.251.60.202

123.138.238.100

123.138.238.101

[[email protected] ~]# for i in `cat /opt/black_ip.txt`; do iptables -I FORWARD -d $i -p tcp -m multiport --dport 80,443 -j DROP ; done  //读取IP地址以插入规则

本文出自 “网络技术” 博客，请务必保留此出处http://fjc365.blog.51cto.com/11891287/1877744