Linux防火墙-IPtables

iptables 具有以下特点：
	Iptables 作为内核级别的防火墙，具有高效、稳定、安全等优点。
	Iptables 的表、链、规则结构非常灵活，可适应各种不同的网络环境和应用场景。
	Iptables 相对于其他防火墙工具而言比较容易学习和掌握，并且拓展性非常强。

2、 Iptables 组成

Iptables 的核心是由表（table）、链（chain）和规则（rule）三部分组成的。

表（Table）

在 iptables 中，表是一个规则的集合，每个表都包含若干个链和一些相关的规则。常用的五种 table 如下：

类型	作用
raw表	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。
mangle表	修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
nat表	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
filter表	负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

表之间的优先级

数据包到达防火墙时，规则表之间的优先顺序 raw > mangle > nat > filter

链（Chain）

在 iptables 中，链是一个规则的集合，每个链都包含一些相关联的规则。

类型	作用
INPUT链	当接收到防火墙本机地址的数据包（入站）时，应用此链中的规则。
OUTPUT链	当防火墙本机向外发送数据包（出站）时，应用此链中的规则。
FORWARD链	当接收到需要通过防火墙发送给其他地址的数据包（转发）时，应用此链中的规则。
PREROUTING链	在对数据包作路由选择之前，应用此链中的规则，用来修改目的地址，如DNAT。
POSTROUTING链	在对数据包作路由选择之后，应用此链中的规则，用来修改源地址，如SNAT。

数据包过滤的匹配流程

入站、转发、出站

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

如果数据包是进入本机的，数据包就会沿着图向上移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后发送出去。

如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

规则匹配策略

自上而下进行顺序匹配，匹配到即停止，不会再去查看下面的规则，然后根据允许或者丢弃或者拒绝等规则进行数据包的处理！！！

3、 Iptables防火墙配置 iptables命令

语法 iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

选项	作用
-t	指定表名（raw、mangle、nat、filter）
-j	指定控制类型

常用管理选项

选项	作用
-A (--append)	在指定链的末尾追加一条新的规则
-I (--insert)	在指定链的开头插入一条新的规则；未指定序号时默认作为第一条规则
-R (--replace)	修改、替换指定链中的某一条规则，可指定规则序号或具体内容
-P (--policy)	设置指定链的默认策略
-D (--delete)	删除指定链中的某一条规则，可指定规则序号或具体内容
-F (--flush)	清空指定链中的所有规则；若未指定链名，则清空表中的所有链
-L (--list)	列出指定链中所有的规则；若未指定链名，则列出表中的所有链
-n (--numeric)	（搭配-L使用）使用数字形式显示输出结果，如显示IP地址而不是主机名
-v	（搭配-L使用）显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	（搭配-L使用）查看规则时，显示规则的序号

常用控制类型

控制类型	作用
ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给出任何回应消息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成—个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。（没有真正处理数据包）

3、匹配条件

匹配条件	说明
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
--sport	指定源端口号
--dport	指定目的端口号

添加新的规则

-A 在filter表的INPUT链末行添加拒绝icmp的规则
[root@localhost ~]# iptables -t filter -A INPUT -p icmp -j REJECT

-I 不指定行，是在指定链首行插入规则（允许tcp 22端口）
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT

-I 指定行，是在指定链的指定行上插入规则
[root@localhost ~]# iptables -t filter -I INPUT 2 -p tcp --dport 22 -j ACCEPT

查看规则

查看指定表的规则（不加链名显示所有链的所有规则）
[root@localhost ~]# iptables -t filter -L

-nL 以数字形式显示
[root@localhost ~]# iptables -t filter -nL

-nvL 以数字形式显示，并显示详细信息
[root@localhost ~]# iptables -t filter -nvL

--line-numbers 显示规则序号（指定链名，就显示指定链的规则）
[root@localhost ~]# iptables -t filter -nvL INPUT --line-numbers

删除规则

根据规则序号删
[root@localhost ~]# iptables -D INPUT 3

根据规则内容删（相当于操作一遍创建指定规则的步骤加上-D选项删除）
[root@localhost ~]#iptables -D INPUT -p icmp -j REJECT

有相同的规则会删除第一个
[root@localhost ~]#iptables -nL

[root@localhost ~]#iptables -D INPUT -p tcp --dport 22 -j ACCEPT

清空规则

注意
-F仅仅是清空链中的规则，并不影响-Р设置的默认规则，默认规则需要手动进行修改
-P设置了默认规则为DROP后，使用-F一定要小心，因为iptables的修改是立刻生效的! 防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决
如果不写表名和链名，默认清空filter表中所有链里的所有规则

清空指定链中所有规则
[root@localhost ~]# iptables -F OUTPUT
##不指定链名默认清空所有规则
[root@localhost ~]# iptables -F

修改规则

-R 修改已有的规则
[root@localhost ~]# iptables -t filter -R INPUT 1 -p icmp -j ACCEPT

-P 修改默认策略（修改为丢弃转发数据包）
[root@localhost ~]# iptables -P FORWARD DROP

二、规则的匹配

1、通用匹配

可直接使用，不依赖其他条件或扩展包括网络协议、IP地址、网络接口等条件。

类型	选项
协议匹配	-p 协议名
地址匹配	-s 源地址 -d 目的地址（可以是IP、网段、域名、空(代表任何地址)）
接口匹配	-i 入站网卡 -o 出站网卡

（使用！取反）不是icmp协议的其他数据包全部接受
虽然不是icmp包都接受，但是没有指定icmp包的规则，所以icmp包默认还是接受的
[root@localhost ~]# iptables -A INPUT ! -p icmp -j ACCEPT

将指定主机192.168.116.20的数据包丢弃
[root@localhost ~]# iptables -A INPUT -s 192.168.116.20 -j DROP

拒绝指定网段的数据包从ens33网卡进入
[root@localhost ~]# iptables -I INPUT -i ens33 -s 192.168.110.0/24 -j REJECT

2、隐含匹配

某些条件，如端口、TCP标记、ICMP类型，隐含要求以特定的协议匹配作为前提。

协议端口匹配

--sport 和 --dsport 必须配合 -p 指定协议使用！！！

详细用法

类型	作用
--sport 1000	匹配源端口是1000的数据包
--sport 1000:3000	匹配源端口是1000-3000的数据包
--dport :3000	匹配目标端口是3000及以下的数据包
--dport 1000：	匹配目标端口是1000及以上的数据包

允许tcp的20和21端口通过（即允许ftp数据包）
[root@localhost ~]# iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT

丢弃192.168.11.0网段转发的tcp 24000到24500 端口的数据包
[root@localhost ~]# iptables -I FORWARD -d 192.168.11.0/24 -p tcp --dport 24000:24500 -j DROP

tcp标记匹配

--tcp-flags 配合 -p tcp 使用，指定tcp标记（SYN、ACK、RST、URG、PSH、FIN）

丢弃SYN请求包，允许其他指定的数据包
[root@localhost ~]# iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

SYN,RST,ACK SYN前面指定包范围，空格后再指定
表明前面指定的里面，除了这空格后面的SYN，其他都放行
tcp三次握手第一次接受SYN，拒绝其他，第二次发送SYN和ACK
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSHSYN -j REJECT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

ICMP类型匹配

--icmp-type 配合 -p icmp 使用，指定icmp类型（字符串或数字代码）
icmp类型可用iptables -p icmp -h 查看帮助信息

类型	含义
Echo-Request（代码为8）	请求
Echo-Reply （代码为0）	回显
Destination-Unreachable（代码为3）	目标不可达

丢弃icmp请求包（使别人不能ping通本机，但本机默认情况可以ping通别人）
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

丢弃icmp回显包（本机发送ping请求，但是别人回显的包被本机丢弃，默认情况下本机不能ping通别人）
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j DROP

当ping不通时，允许显示目标不可达
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

3、显式匹配

要求以 -m （扩展模块）的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

允许tcp的20,21,22,53端口
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 20,21,22,53 -j ACCEPT
Chain INPUT (policy ACCEPT)
target prot opt source destination 
ACCEPT tcp--0.0.0.0/00.0.0.0/0multiport dports 20,21,22,53
允许udp的53,67,68端口
[root@localhost ~]# iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT

ip范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

禁止转发源ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost ~]# iptables -A FORWARD -p udp -m iprange --src-range 192.168.10.100-192.168.10.200 -j DROP
Chain FORWARD (policy ACCEPT)
target prot opt source destination 
DROP udp--0.0.0.0/00.0.0.0/0source IP range 192.168.1.1-192.168.1.10 
禁止发送目的ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost ~]# iptables -A INPUT -p udp -m iprange --dst-range 192.168.10.100-192.168.10.200 -j DROP

mac地址匹配

-m mac --mac-source 源MAC地址

状态匹配

-m state --state 连接状态

常见的连接状态

状态	含义
NEW	本机要连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED	本机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态
RELATED	本机已与目标主机进行通信，目标主机发起新的链接方式，一般与ESTABLISHED配合使用
INVALID	无效的封包，例如数据破损的封包状态

第一个包我只看22端口的包（-p tcp是隐含匹配，可以省略-m tcp）
[root@localhost ~]# iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

允许放通tcp和udp的这些端口号
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

使已建立连接的包以及该链接相关的包允许通过
[root@localhost ~]# iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

默认策略设为drop，以上所有配置就成了一个tcp相关包的白名单，通过第一步的检测后允许相关包通过
[root@localhost ~]# iptables -P INPUT DROP

三、Iptables配置NAT地址转换

1、配置SNAT

应用场景

局域网主机共享转换的公网ip接入internet公网（内 --> 外）

模拟实验环境

私网客户端一台、网关服务器一台（设置iptables防火墙）、外网web服务端（有httpd服务）
三台都需要关闭默认防火墙firewalld和selinux
准备私网客户端：设置网卡网段为192.168.1.0/24；ip设为192.168.1.1；网关设为192.168.1.254。
准备网关服务器：一个网卡设为192.168.1.0/24网段，并设置ip为192.168.1.254；另一个网卡设为10.0.0.0/8网段，并设置ip为10.0.0.100；添加路由转发功能；下载 iptables-services 并开始iptables之后做防护墙策略。
准备外网web服务端：设置网卡网段为10.0.0.0/8；ip设为10.0.0.1；下载并开启httpd服务。

转换为固定公网ip

iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j SNAT --to 转换的公网地址
iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j SNAT --to-source 转换的公网地址范围（如10.0.0.1-10.0.0.10）
注：每一个做转换的公网ip，一般可以支持内网100~200台主机。

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to 10.0.0.100
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 10.0.0.1 10.0.0.10

转换为非固定的公网ip（动态）

iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j MASQUERADE

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

2、配置DNAT

应用场景

在internet公网中发布位于企业局域网的服务器（外 --> 内）

模拟实验环境

私网客户端一台（有httpd服务）、网关服务器一台（设置iptables防火墙）、外网web服务端
三台都需要关闭默认防火墙firewalld和selinux
可参考上个模拟场景，再为私网主机增设httpd服务使之成为私网web服务端，将原来的外网主机当做客户端。
为私网主机添加httpd服务并启用

转换为私网ip

 iptables -t nat -A PREROUTING -i 连接外部网络的接口名称 -d 外部接口IP地址 -p tcp --dport 发布的端口号 -j DNAT --to-destination 服务器内部网络地址:服务实际端口号

[root@localhost ~]# iptables -t nat -A PREROUTING -i ens33 -d 10.0.0.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

四、iptables防火墙策略的备份和恢复

iptables的配置存放在/etc/sysconfig/iptables 文件中，我们对iptables所做的策略修改，虽然会立刻生效，但是并没有保存下来，当我们重启iptables防火墙时，会读取配置文件中设置的策略，我们之前修改过的策略便失效了。所以需要对修改的iptables策略进行备份和恢复。

iptables-save > 备份文件 将修改的iptables策略导入到备份文件中
iptables-restore < /opt/iptables.bak 将备份文件中的策略还原到配置文件中
systemctl restart iptables.service 重启服务生效

查看配置文件中的默认策略
[root@localhost opt]#cat /etc/sysconfig/iptables-config

使用iptables -nL查看修改过的策略
[root@localhost opt]#iptables -nL

对自定义的iptables策略做备份（将命令导入一个备份文件iptables.bak）
[root@localhost opt]# iptables-save > /opt/iptables.bak
[root@localhost opt]# cd /opt
[root@localhost opt]# cat iptables.bak

重启服务（用作模拟未保留修改的策略），再查看发现策略又恢复成了配置文件中的默认策略
[root@localhost opt]# systemctl restart iptables.service

[root@localhost opt]# iptables -nL

将备份文件中的策略恢复到配置文件中，再重启服务就还原成功了
[root@localhost opt]# iptables-restore < /opt/iptables.bak

[root@localhost opt]# systemctl restart iptables.service

[root@localhost opt]# iptables -nL

五、实战演练

网络规划

内部PC1位于内网区域，地址段为： 192.168.1.0/24，pc1地址为：192.168.1.1/24，网关地址为：192.168.1.254/24
服务器S1位于服务器区域，地址段为： 192.168.2.0/24，pc1地址为：192.168.2.1/24，网关地址为：192.168.2.254/24
PC2位于互联网区域，模拟外部互联网，地址段为：10.0.0.0/8，pc2地址为：10.0.0.1/8
Linux防火墙的三块网卡为别连接不同的网络区域，地址分别为：ens160 192.168.1.254/24；ens224 10.0.0.100/8；ens256 192.168.2.254/24