【LinuxShell】linux防火墙之iptables防火墙

原创

已于 2023-05-22 14:22:34 修改 · 907 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #linux #服务器

于 2023-05-17 17:36:15 首次发布

iptables是Linux系统的防火墙，由netfilter和iptables组成，工作在网络层，用于IP数据包的过滤。它有四表（raw、mangle、nat、filter）和五链（INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING），不同链处理不同阶段的数据包。文章详细介绍了iptables的规则结构、匹配流程、用法，包括添加、查看、删除规则以及规则的匹配条件，强调了其在网络安全中的重要性。

引言：在工作时我们必不可少的需要接触到防火墙，通过本章内容的学习，我们熟悉防火墙的四表五链以及它们的作用，熟悉入站、转发、出站的数据流向，确保数据的正确性和安全性熟悉。

一、iptables防火墙

1.iptables防火墙概述

Linux 系统的防火墙:IP信息包过滤系统，它实际上由两个组件netfilter和 iptables组成。
主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

2.netfilter和iptables

netfilter/iptables：IP信息包过滤系统，实际上由俩个组件netfilter和iptables组成，主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

netfilter和iptables的关系

netfilter：属于"内核态”（Kernel space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables：属于"用户态”(User space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于 /sbin/iptables文件下。

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

二、iptables的表、链结构

1.iptables的四表五链结构介绍

iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理，为了更加方便的组织和管理防火墙规则; iptables采用了表和链的分层结构。

所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机

其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。

2.四表五链的作用

四表

规则表名	作用	规则链
raw表	确定是否对该数据包进行状态跟踪。	`包含两个规则链：`OUTPUT`、PREROUTING`。
mangle表	修改数据包内容，用来做流量整形的，给数据包设置标记。	包含五个规则链：`INPUT`、`OUVTPOT`、`FORWMARD`、``PREROUTING`、`POSTROUTNG`。
nat表	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。	包含三个规则链：`OUTPUT`、`PREROUTING`、`POSTROUTING`。
filter表	filter表:负责过滤数据包，确定是否放行该数据包（过滤）。	包含三个规则链：`INPUT`、`FORWARD`、`OUTPUT`。

在iptables 的四个规则表中，mangle表和 raw表的应用相对较少。

五链

规则链名	作用
`INPUT`	处理入站数据包，匹配目标IP为本机的数据包。
`OUTPUT`	处理出站数据包，一般不在此链上做配置。
`FORWARD`	处理转发数据包，匹配流经本机的数据包。
`PREROUTNG`	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
`POSTROUTTNG`	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.数据包控制的匹配流程

默认表、链结构示意图

在这里插入图片描述

优先顺序：

规则表应用顺序：raw——mangle——nat——filter

规则链之间的匹配顺序

主机型防火墙

入站数据（来自外界的数据包，且目标地址是防火墙本机): PREROUTING—>INPUT—>本机的应用程序。

出站数据（从防火墙本机向外部地址发送的数据包)∶本机的应用程序—>OUTPUT —> POSTROUTING。

网络型防火墙

转发数据（需要经过防火墙转发的数据包)：PREROUTING—>FORWARD —> POSTROUTING。

规则链内的匹配顺序

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）。

若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）。

三、iptables用法

Centos 7默认使用firewalld防火墙，没有安装 iptables，若想使用iptables防火墙，必须先关闭firewalld防火墙，再安装 iptables。

###关闭firewalld防火墙
systemctl stop firewalld
systemctl disable firewalld
###安装iptables防火墙
yum install iptables iptables-services.x86_64
##启动iptables
systemctl start iptables.service
###设置iptables开机自启
systemctl enable iptables.service

1.基本语法

命令格式

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

表名、链名用来指定iptables命令所操作的表和链，未指定表名时将默认使用filter表。

管理选项：表示iptables规则的操作方式，如插入、增加、删除、查看等。

匹配条件：用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理。

控制类型：指的是数据包的处理方式，如允许、拒绝、丢弃等。

注意事项:

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型和链名使用大写宁母，其余均为小写

常用的控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables防火墙体系中,最常用的几种控制类型如下。

控制类型	含义
`ACCEP`	允许数据包通过。
`DROP`	直接丢弃数据包，不给出任何回应信息。
`REJECT`	拒绝数据包通过，会给数据发送端一个响应信息。
`SNAT`	修改数据包的源地址。
`DNAT`	修改数据包的目的地址。
`MASQUERADE`	伪装成一个非固定公网工P地址。
`LOG`	在`/var/log/messages`文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包。

防火墙规则的"匹配即停止"对于LOG操作来说是一个特例，因为LOG只是一种辅助动作，并没有真正处理数据包。注：控制类型需要大写。

2.添加、查看、删除规则

常用的管理选项

管理选项	含义
`-A`	在指定链的末尾追加( --append）一条新的规则
`-I`	在指定链的开头插入(–insert)一条新的规则，未指定序号时默认作为第一条规则
`-R`	修改、替换(–replace）指定链中的某一条规则，可指定规则