一、linux防火墙基础
基本认识
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中。
是Linux系统防火墙的一种 CentOS7以前的默认防火墙
- Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。
- 体现在对包内的 IP 地址、端口等信息的处理上
- Linux 系统的防火墙基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用
1、iptables组件
netfilter/iptables:IP信息包过滤系统,它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
netfilter :属于内核态的功能体系,是一个内核模块,由多个数据包过滤表组成,其中包含数据包的过滤处理规则集,并根据规则过滤处理IP数据包.
iptables :属于用户态的管理工具,如同firewalld、ufw,是一个防火墙应用管理程序,用来实现防火墙规则集的增删改查,通常位于/sbin/iptables文件下.
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、nat和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
2、 四表五链
- 规则表的作用:容纳各种规则链
- 规则链的作用:容纳各种防火墙规则
四表 (3和4比较重要 用得多)
| 链名 | 功能用途 |
|---|---|
| raw表 | 确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING |
| mangle表 | 修改数据包内容,用来做流量整形,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING |
| nat表 | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING |
| filter表 | 负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT |
注意:在 iptables 的四个规则表中,mangle表和raw表的应用相对较少。
五链
| 链名 | 功能用途 |
|---|---|
| INPUT | 处理入站数据包,匹配目标IP为本机的数据包 |
| OUTPUT | 处理出站数据包,一般不在此链上做配置 |
| FORWARD | 处理转发数据包,匹配流经本机的数据包 |
| PREROUTING链(进来) | 在进行路由选择前处理数据包,用来修改目的地址做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上 |
| POSTROUTING链(出去) | 在进行路由选择后处理数据包,用来修改源地址做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网 |
总结:表里有链,链里有规则
表的作用:容纳各种规则链
- raw表 :确定是否对该数据包进行状态跟踪
- mangle表:为数据包设置标记
- nat表 :修改数据包中的源、目标IP地址或端口
- filter表 :确认是否放行该数据包(过滤)
链的作用:容纳各种防火墙规则--->规则的作用:对数据包进行过滤或处理
链的分类依据:处理数据包的不同时机
- INPUT :处理入站数据包
- OUTPUT :处理出站数据包
- FORWARD :处理转发数据包
- POSTROUTING:在进行路由选择后处理数据包
- PREROUNTING:在进行数据选择前处理数据包
数据包到达防火墙时,规则表之间的优先顺序:
raw > mangle > nat > filter
知识点拓展:
-
PREROUTING链是转换目的地址,把公网IP转换成私网IP,防火墙可以有效保护内网主机。
-
POSTROUTING链是转换源地址,把内网地址转换成公网地址才能上网。
-
黑名单:放通所有,拒绝个别。
-
白名单:放通个别,拒绝所有。
3、规则链之间的匹配顺序:
主机型防火墙:
-
入站数据(来自外界的数据包,且目标地址是防火墙本机):
PREROUTING --> INPUT --> 本机的应用程序 -
出站数据(从防火墙本机向外部地址发送的数据包):
本机的应用程序 --> OUTPUT --> POSTROUTING
网络型防火墙:
- 转发数据(需要经过防火墙转发的数据包):
PREROUTING --> FORWARD --> POSTROUTING
二、编写防火墙规则
1、iptables安装
CentOS7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables。
关闭firewalld防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
安装iptables 防火墙
yum -y install iptables iptables-services #下载两个一个是应用程序一个是服务管理工具
设置iptables开机启动
systemctl start iptables.service
systemctl enable iptables.service
iptables防火墙的配置方法:
- 使用iptables命令行
- 使用system-config-firewall 图形化界面,一般不适用,centso7不能使用 centos 6可以使用
2、iptables 基本语法、数据包控制类型
2.1 基本语法
语法构成
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
其中,表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表。
注意 :
- 不指定表名时候 默认指定filter表
- 不指定链名时候 默认指定表内得所有链
- 除非设置链得默认策略 否则必须指定匹配条件
- 控制类型 和 链名 使用大写字母 其余为小写
管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等;
匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;
控制类型:指的是数据包的处理方式,如允许、拒绝、丢弃等。
2.2 数据包的常见控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中,最常用的几种控制类型如下。
| ACCEPT | 允许数据包通过 |
|---|---|
| DROP | 直接丢弃数据包,不给出任何回应信息 |
| REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应信息 |
| LOG | 在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则 |
| SNAT | 修改数据包的源地址 |
| DNAT | 修改数据包的目的地址 |
| MASQUERADE | 伪装成一个非固定公网IP地址 |
防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助
动作,并没有真正处理数据包。
注:需要大写
2.3常用得管理选项:
| 管理选项 | 用法示例 |
|---|---|
| -A | 在指定链末尾追加一条,iptables -A INPUT (操作) |
| -I | 在指定链中插入一条新的,未指定序号默认作为第一条,iptables -I INPUT (操作) |
| -P | 指定默认规则 iptables -P OUTPUT ACCEPT (操作) |
| -D | 删除 iptables -t nat -D INPUT (操作) |
| -R | 修改、替换某一条规则 iptables -t nat -R INPUT(操作) |
| -L | 查看 iptables -t nat -L (查看) |
| -n | 所有字段以数字形式显示(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n,iptables -nL,iptables -vnL (查看) |
| -v | 查看时显示更详细信息,常跟-L一起使用(查看) |
| –line-number | 规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number |
| -F | 清除链中所有规则 iptables -F (操作) |
| -X | 清空自定义链的规则,不影响其他链 iptables -X |
| -Z | 清空链的计数器(匹配到的数据包的大小和总和)iptables -Z |
| -S | 查看链的所有规则或者某个链的规则/某个具体规则后面跟编号,iptables -t nat -S、iptables -t nat -S POSTROUTING 1 |
3、添加、查看、删除规则
添加新的规则:
iptables -t filter -A INPUT -p icmp -j REJECT
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT查看规则列表:
iptables [-t 表名] -n -L [链名] [--line-numbers]
或
iptables -[vn]L #注意:不可以合写为 -Lniptables -n -L --line-numbers设置默认策略:
iptables [-t 表名] -P <链名> <控制类型>iptables -P INPUT DROP
iptables -P FORWARD DROP
#一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单删除规则:
iptables -D INPUT 2
iptables -t filter -D INPUT -p icmp -j REJECT注意:
1.-F 仅仅是清空链中的规则,并不影响 -P 设置的默认规则,默认规则需要手动进行修改
2.-P 设置了DROP后,使用 -F 一定要小心!
#防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决
3.如果不写表名和链名,默认清空filter表中所有链里的所有规则
三、规则的匹配
1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
协议匹配:-p 协议名
地址匹配:-s 源地址、-d 目的地址 #可以是IP、网段、域名、空(任何地址)
接口匹配:-i 入站网卡、-o 出站网卡
iptables -A FORWARD ! -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.80.11 -j DROP
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
端口匹配:--sport 源端口、--dport 目的端口
#可以是个别端口、端口范围
--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配源端口是3000及以下的数据包
--sport 1000: 匹配源端口是1000及以上的数据包
注意:--sport 和 --dport 必须配合 -p <协议类型> 使用
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP3.显式匹配
要求以“-m 扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配:-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT 
