文章目录
前言
在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?答案是防火墙
接下来介绍 Linux 系统中的防火墙——netfilter 和 iptables,包括防火墙的结构和匹配流程,以及如何编写防火墙规则
1、Linux防火墙概述
- netfilter:属于“内核态”又称内核空间(kernel space)的防火墙功能体系。是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集
- iptables:属于“用户态”(User Space, 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下
- netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务
2、iptables的表、链结构
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构
- 规则表的作用:容纳各种规则链
- 表的划分依据:防火墙规则的作用相似
- 规则链的作用:容纳各种防火墙规则
- 规则的作用:对数据包进行过滤或处理
- 链的分类依据:处理数据包的不同时机
表里有链,链里有规则
2.1 四表
- raw:主要用来决定是否对数据包进行状态跟踪 包含两个规则链,OUTPUT、PREROUTING
- mangle : 修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
- nat:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING
- filter:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链,即INPUT、FORWARD、 OUTPUT
2.2 五链
- INPUT:处理入站数据包,匹配目标IP为本机的数据包
- OUTPUT:处理出站数据包,一般不在此链上做配置
- FORWARD:处理转发数据包,匹配流经本机的数据包
- PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT
- POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT
3、数据包过滤的匹配流程
规则表顺序
- raw→mangle→nat→filter
规则链之间的顺序
- 入站数据:PREROUTING --> INPUT --> 本机的应用程序
- 出站数据:本机的应用程序–>OUTPUT-.>POSTROUTING
- 转发数据:PREROUTING --> FORWARD -->POSTROUTING
规则链内的匹配顺序
- 自上向下按顺序依次进行检查,找到相匹配的规则即停止(一旦找到一条匹配规则将不再检查后续的其他规则)要么放行要么丢弃,若在该链内找不到相匹配的规则,则按该链的默认策略处理
数据包在规则表、链间的匹配流程
4、编写防火墙规则
环境前的备注
## 关闭firewalld防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
## 安装iptables防火墙
yum -y install iptables iptables-services
## 设置iptables开机启动
systemctl start iptables.service
systemctl enable iptables.service
语法构成
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
- 表名如果不写默认是filter表
- 管理选项表示iptables规则的操作方式,如插入、增加、删除、查看等
- -A ## 在指定链末尾追加一条
- -I ## 在指定链中插入一条新的,未指定序号默认为1
- -P ## 指定默认规则
- -D ## 删除
- -R ## 修改替换某一条
- -L ## 查看
- -n ## 所有字段以数字显示
- -v ## 查看时显示更详细信息
- –line-number ## 规则带编号
- F ## 清除链中所有规则
- X ## 清空自定义链规则
- Z ## 清空链的计数器
- S ## 查看链的所有规则或某个链的规则
- 匹配条件
- -p + 协议名
- -s + 源地址
- -d + 目的地址
- -i + 入站网卡
- -o + 出站网卡
- 控制类型
- ACCEPT:允许数据包通过
- DROP:直接丢弃数据包,不给出任何回应信息
- REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
- LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则
- SNAT:修改数据包的源地址
- DNAT:修改数据包的目的地址
4.1 添加规则
添加新的防火墙规则时,使用 -A 或者 -I
前者用来追加规则,后者用来插入规则
## 不允许任何主机ping本主机
iptables -t filter -A INPUT -p icmp -j REJECT
## 允许TCP协议通过22端口连接
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
4.2 查看规则列表
查看已有的防火墙规则时,通常使用 -vnL
结合“–line-numbers”选项还可显示各条规则在链内的顺序号
## 查看filter表的INPUT链的规则并显示序号
iptables -vnL INPUT --line-numbers
4.3 删除、清空规则
删除一条防火墙规则时,使用 -D
可以用序号删除也可以删除某一条具体的规则
清空所有规则使用 -F
## 删除filter表的INPUT链的第五条规则
iptables -D INPUT 5
## 删除filter表的INPUT链中禁止所有机器ping本机
iptables -t filter -D INPUT -p icmp - j REJECT
## 清空指定表或链中的所有规则
iptables -F INPUT
注意点
- 若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
- 按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
- 按内容匹配删除时,确保规则存在,否则报错
- -F仅仅是清空链中的规则,并不影响-P设置的默认规则,默认规则需要手动进行修改
- 不指定表,默认是filter表
4.4 设置默认策略
默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略
DROP会强制丢弃所有进入本机的数据包,除非存在其他规则明确允许特定流量
ACCEPT允许所有未匹配到具体规则的入站数据包通过
## 将filter表中FORWARD链的默认策略设为丢弃
iptables -P FORWARD DROP
总结
本文详细介绍了防火墙的概念、iptables的四表五链、表链之间的匹配流程和防火墙规则的增删改查
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
