theme: vue-pro

所谓防火墙也称之为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则，允许或者限制网络报文通过。

硬件防⽕墙：通过硬件和软件的组合，基于硬件的防⽕墙保护整个内部网络安全。（例如华为E9000）
软件防⽕墙：通过纯软件，单独使⽤软件系统来完成防⽕墙功能，保护安装它的系统。

大型公司都是以硬件防火墙为主，软件防火墙为辅。软件防火墙根据情况来决定是否开启，如果服务器性能不够，可能会关闭软件防火墙。

1 iptables防火墙概述

Linux系统自带的软件防火墙：

iptables：Centos 5/6 系统默认防火墙
firewalld：Centos 7/8 系统默认防火墙

1.1 iptables概述

iptables是Linux系统的防火墙， IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。

主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。属于典型的包过滤防火墙（或称为网络层防火墙）。

netfilter和iptables的关系：

netfilter

属于的“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

1.2 iptables的四表五链

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。

表中所有规则配置后，立即生效，不需要重启服务。

四表五链：

规则表的作用：容纳各种规则链。

规则链的作用：容纳各种防火墙规则。

即表里有链，链里有规则。

四表：

| 表名 | 作用 | | ------ | -------------------------------------------------------------------------------- | | raw | 确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING | | mangle | 修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING | | nat | 负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING | | filter | 负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT |

在iptables的四个规则表中， mangle表和raw表的应用相对较少。

filter表是防火墙的默认表。

五链：

| 链名 | 作用 | | ----------- | ------------------------------------------------------------------ | | INPUT | 处理入站数据包，匹配目标IP为本机的数据包。 | | OUTPUT | 处理出站数据包，一般不在此链上做配置。 | | FORWARD | 处理转发数据包，匹配流经本机的数据包。 | | PREROUTING | 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 | | POSTROUTING | 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。 |

1.3 数据包控制的匹配流程

1.3.1 规则表之间的优先顺序：

数据包到达防火墙时，规则表之间的优先顺序：raw >mangle > nat > filter

1.3.2 规则链之间的匹配顺序：

主机型防火墙:

入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT -->本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING

网络型防火墙：

转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

注：标红的表示该链的规则通常在这个表上配置。

1.3.3 规则链内部的匹配顺序：

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

#例1： filter表 input链： 1、放通目的地址为192.168.80.0/24的 2、放通目的地址为192.168.100.0/24的此时192.168.100.0/24的IP数据包能够放行。 #例2： filter表 input链： 1、拒绝源地址为100.100.100.0/24的 2、放通目的地址为192.168.80.0/24的 3、放通目的地址为192.168.100.0/24的此时192.168.100.0/24的IP数据包会被拒绝，因为是自上向下按顺序依次进行检查，第一条规则已匹配到，就不会再向下匹配。

1.3.4 内核中数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。

如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

2 iptables的安装和规则配置

2.1 iptables的安装

Centos 7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables 。

#步骤1、关闭firewalld [[email protected] ~]# systemctl disable --now firewalld //设置firwalld开机不自启，且现在就关闭 Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. #步骤2、安装iptables 和 iptables-services [[email protected] ~]# yum install -y iptables iptables-services #安装完后启动服务 [[email protected] ~]# systemctl start iptables

2.2 iptables的配置方法

使用iptables命令行。
使用图形化管理工具system- config- firewall

2.3 使用iptables命令行配置规则

命令格式：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型使用大写字母，其余均为小写

微信图片_20220422105948.png

常用控制类型：

| 控制类型 | 作用 | | ---------- | ----------------------------------------------------------------- | | ACCEPT | 允许数据包通过(默认) | | DROP | 直接丢弃数据包，不给出任何回应信息 | | REJECT | 拒绝数据包通过，会给数据发送端一个响应信息 | | SNAT | 修改数据包的源地址 | | DNAT | 修改数据包的目的地址 | | MASQUERADE | 伪装成一个非固定公网IP地址 | | LOG | 在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包 |

常用管理选项：

| 管理选项 | 作用 | | -------------- | ----------------------------------------- | | -A | 在指定链的末尾追加(--append)一条新的规则 | | -I（大写i） | 在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则 | | -R | 修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容 | | -P | 设置指定链的默认策略(--policy) | | -D | 删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容 | | -F | 清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链 | | -L | 列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链 | | -n | 使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名 | | -v | 显示详细信息，包括每条规则的匹配包数量和匹配字节数 | | --line-numbers | 查看规则时，显示规则的序号 |

匹配条件：

| 匹配条件 | 说明 | | ------ | ----------------- | | -p | 指定要匹配的数据包的协议类型 | | -s | 指定要匹配的数据包的源IP地址 | | -d | 指定要匹配的数据包的目的IP地址 | | -i | 指定数据包进入本机的网络接口 | | -o | 指定数据包离开本机做使用的网络接口 | | –sport | 指定源端口号 | | –dport | 指定目的端口号 |

2.4 规则配置示例

示例1：查看规则 -nL

[[email protected] ~]# iptables -L //查看filter表中所有规则 [[email protected] ~]# iptables -nL //以数字形式显示 [[email protected] ~]# iptables -nL -t nat //查看nat表ACCEPT [[email protected] ~]# iptables -nL --line-numbers //显示规则序号 [[email protected] ~]#iptables -t filter -F //清空 filter表内所有规则

示例：

1、 iptables -L，列出表中所有链。不指定表名则默认查看filter表。

2、 iptables -L -n，以数字形式显示输出结果。-L -n 合在一起写时，必须n在前，要写成 -nL。

3、iptables -nL -t nat，查看nat表。

4、iptables -t filter -F，清空 filter表内所有规则。

示例2：添加规则 -A -I

-A，在末尾追加规则。

-I，在指定位置前插入规则。如果不指定，则在首行插入。

#在INPUT链末尾追加规则 [[email protected] ~]# iptables -t filter -A INPUT -p icmp -j REJECT [[email protected] ~]# iptables -nL #在INPUT链第二行出入规则 [[email protected] ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT [[email protected] ~]# iptables -nL --line-numbers

示例：

1、拒绝icmp协议的数据包，即不允许其他主机ping本机。REJECT

使用其他的主机ping不通本机，reject拒绝后会回应一条消息。

2、丢弃icmp协议的数据包。DROP。

使用其他的主机ping本机，drop丢弃数据包，不给出任何回应信息。

3、-I，在指定位置前插入。如果不指定，则在首行插入。

iptables -nL --line-numbers，可以查看每条规则的序号。

示例3：删除规则 -D

1、按序号删除，比较准确。

2、按内容删除，如果有2条相同内容，会删除序号小的那个。

注意：

删除规则前，先想清楚会不会导致ssh断连。
如果链的默认规则是DROP，在使用iptables -F之前一定要慎重，可能会导致自己断连，断连后只能去机房解决。

#先查看链中的规则 [[email protected] ~]# iptables -nL --line-numbers //显示规则的序号 Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination #按序号删除 [[email protected] ~]# iptables -D INPUT 2 //删除INPUT链中的第2条规则 [[email protected] ~]# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) #按内容删除 [[email protected] ~]# iptables -D INPUT -p tcp -j ACCEPT //删除INPUT链中tcp协议ACCEPT的规则 [[email protected] ~]# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination

示例4：修改规则

1、-R 直接修改。但一般不用这种形式。

2、可以先添加一条新规则，之后再删除旧规则。这样比较保险。

#方法1：使用-R直接修改 [[email protected] ~]# iptables -A INPUT -p icmp -j DROP //原先设置的规则 [[email protected] ~]# iptables -R INPUT -p icmp -j ACCEPT //将DROP修改成ACCEPT #方法2：先-A添加一条规则，之后再-D删除旧规则 [[email protected] ~]# iptables -A INPUT -p icmp -j ACCEPT //添加一条新规则 [[email protected] ~]# iptables -D INPUT -p icmp -j DROP //删除旧规则

示例5：设置默认策略 -P

未修改的状况下，默认策略为ACCEPT（允许）。

注意：

将默认策略修改为DROP前，一定要检查清楚链内是否设置了允许tcp协议22端口进行连接的规则。否则一旦修改为DROP，会导致ssh断连。

[[email protected] ~]# iptables -P INPUT DROP //将默认策略修改为DROP

3 匹配条件

3.1 通用匹配

可直接使用，不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件。

| 协议匹配 | -p 协议名 | | ---- | ----------------------------------- | | 地址匹配 | -s 源地址、-d 目的地址。可以是IP、网段、域名、空(任何地址) | | 接口匹配 | -i 入站网卡、-o 出站网卡 |

例：

iptables -A INPUT ! -p icmp -j ACCEPT #没有-t指定表，就是指默认表filter表 # !代表条件取反，不是icmp的都放通 iptables -A INPUT -s 192.168.72.10 -j REJECT #拒绝从哪个主机发数据包过来（-s指定了源地址） iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP #在行首插入规则，丢弃该网段从ens33网卡进来的数据包

示例1：

! 取反时需要注意。

例如设置“不是icmp的都放通”，即放通的协议中不包括icmp，这条规则没有针对icmp。那么icmp协议会向下查找匹配，如果匹配不到规则，那么就会取默认策略ACCEPT，则此时其他主机可以ping通本机。

使用其他主机ping本机，可以ping通。

示例2：

拒绝192.168.72.10发来的数据包。

使用192.168.72.10这台机器ping本机，ping不通。REJECT拒绝后，会显示回应信息。

3.2 隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

3.2.1 端口匹配

端口匹配：--sport 源端口、--dport 目的端口。

可以是个别端口或者端口范围。

| 格式 | 含义 | | ----------------- | ------------------- | | --sport 1000 | 匹配源端口是1000的数据包 | | --sport 1000:3000 | 匹配源端口是1000-3000的数据包 | | --sport 1000: | 匹配源端口是1000及以上的数据包 | | --sport :3000 | 匹配源端口是3000及以下的数据包 |

注意： --sport 和 --dport 必须配合 -p <协议类型> 使用

3.2.2 TCP标记匹配

--tcp-flags TCP标记

#TCP三次握手时的第一次握手，放行SYN为1的报文，拒绝其他包。 iptables -I INPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT #第二次握手放行SYN、ACK为1的报文，拒绝其他包。 iptables -I OUTPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

3.2.3 ICMP类型匹配

--icmp-type ICMP类型

ICMP类型可以是字符串、数字代码:

| ICMP类型 | 含义 | | ------------------------------- | ------- | | Echo-Request （代码为8） | 表示请求 | | Echo- -Reply （代码为0） | 表示回显 | | Dest ination-Unreachable （代码为3） | 表示目标不可达

注：其他可用的icmp协议类型，可以执行iptables -p icmp -h 查看帮助信息。

--icmp-type 8 //表示请求（ping），即其他主机向本机请求（ping本机） --icmp-type 0 //表示回显（pong），即本机向其他主机发数据包（本机ping其他主机） --icmp-type 3 //当本机ping不通其他主机时，提示目标不可达。例子: #丢弃icmp的包，别人ping不通本机，本机也ping不通别人 iptables -A INPUT -p icmp -j DROP #丢弃icmp的请求，禁止其他主机ping本机，但本机可以ping其他主机 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #当本机ping不通其它主机时提示目标不可达，此时其它主机需要配置关于icmp协议的控制类型为REJECT iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

示例：

丢弃icmp协议的请求，禁止其他主机ping本机，但本机可以ping其他主机。

3.3 显示匹配

要求以“-m扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

3.3.1 多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

3.3.2 IP范围匹配

-m iprange --src-range 源IP范围
-m iprange --dst-range 目的IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.72.100-192.168.72.200 -j DROP # 禁止转发源地址位于192.168.72.100——192.168.72.200的udp数据包

3.3.3 MAC地址匹配

格式：

-m mac -- -mac- source MAC地址

示例：

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP #禁止来自某MAC地址的数据包通过本机转发

3.3.4 状态匹配

格式：

-m state --state连接状态

常见的连接状态：

| 状态 | 含义 | | ----------- | -------------------------------------------- | | NEW | 主机连接目标主机,在目标主机上看到的第一个想要连接的包 | | ESTABLISHED | 主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态 | | RELATED | 主机已与目标主机进行通信,目标主机发起新的链接方式，一般与ESTABLISHED配合使用 | | INVALID | 无效的封包,例如数据破损的封包状态 |

示例：

iptables -I INPUT -M state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT #第一个包我只看22端口的包 #-p tcp是隐含匹配，可以省略-m tcp iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT #允许放通tcp的这些端口号 #-m multiport加载多个端口模块 iptables -A INPUT -p udp --dport 53 -j ACCEPT #放通UDP的53端口进来的包（DNS服务器返回信息时默认使用UDP的53端口） iptables -A INPUT -p tcp -m state --state ESTABLISHED ,RELATED -j ACCEPT #对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过。简单来说就是只允许所有自己发出去的包进来。 #比如我和你做生意，我们谈成了生意，到了支付的时候，就可以直接调用与这笔生意相关的支付功能。 iptables -P INPUT DROP #默认关闭，将以上的设置设为白名单

4 总结

1、Linux防火墙的两个组件：

内核态 netilter（保存包过滤处理的规则集）
用户态 iptables（防火墙规则管理工具）

2、数据包五要素：

源IP，目的IP，源端口，目的端口，协议UDP/TCP

3、四表：

raw 对数据包进行状态跟踪
mangle 修改数据包内容，给数据包设置标记
nat 地址转换，转换源/目的IP或者端口
fileter 过滤数据包放行丢弃

4、五链：

INPUT 入站
OUTPUT 出站
FORWARD 转发
PREROUTING 路由前修改目的地址
POSTROUTING 路由后修改源IP

5、匹配顺序

1）数据包到达防火墙时，规则表之间的优先顺序：raw >mangle > nat > filter。

2）规则链之间的匹配顺序：

主机型防火墙

入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT -->本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING；

网络型防火墙

转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

3）链中的规则集：从上往下一次匹配，匹配到规则即停止，若都没有匹配到则按默认策略处理

6、管理选项

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

增：-A 在末尾添加，-I 在指定位置插入
删：-D 删除指定规则，-F 清空所有规则
改：-R，或者-A 添加后 -D 删除
查：-nL 以数字形式显示，--line-numbers 显示规则的序号
设置默认规则：-P

注意：

删除规则前，以及将默认规则修改为DROP之前，一定要先想清楚会不会导致ssh断连。

7、匹配条件

-p tcp|udp|icmp
-s 源IP
-d 目的IP
-i 入站网卡
-o 出站网卡

Linux之iptables防火墙