theme: vue-pro

所謂防火牆也稱之為防護牆，它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統。按照給定的規則，允許或者限制網路報文通過。

硬體防⽕牆：通過硬體和軟體的組合，基於硬體的防⽕牆保護整個內部網路安全。（例如華為E9000）
軟體防⽕牆：通過純軟體，單獨使⽤軟體系統來完成防⽕牆功能，保護安裝它的系統。

大型公司都是以硬體防火牆為主，軟體防火牆為輔。軟體防火牆根據情況來決定是否開啟，如果伺服器效能不夠，可能會關閉軟體防火牆。

1 iptables防火牆概述

Linux系統自帶的軟體防火牆：

iptables：Centos 5/6 系統預設防火牆
firewalld：Centos 7/8 系統預設防火牆

1.1 iptables概述

iptables是Linux系統的防火牆， IP資訊包過濾系統，它實際上由兩個元件netfilter和iptables組成。

主要工作在網路層，針對IP資料包。體現在對包內的IP地址、埠、協議等資訊的處理上。屬於典型的包過濾防火牆（或稱為網路層防火牆）。

netfilter和iptables的關係：

netfilter

屬於的“核心態”（Kernel Space，又稱為核心空間）的防火牆功能體系。
是核心的一部分，由一些資料包過濾表組成，這些表包含核心用來控制資料包過濾處理的規則集。

iptables

屬於“使用者態”（User Space，又稱為使用者空間）的防火牆管理體系。
是一種用來管理Linux防火牆的命令程式，它使插入、修改和刪除資料包過濾表中的規則變得容易，通常位於/sbin/iptables目錄下。

1.2 iptables的四表五鏈

netfilter/iptables後期簡稱為iptables。iptables是基於核心的防火牆，其中內建了raw、mangle、 nat和filter四個規則表。

表中所有規則配置後，立即生效，不需要重啟服務。

四表五鏈：

規則表的作用：容納各種規則鏈。

規則鏈的作用：容納各種防火牆規則。

即表裡有鏈，鏈裡有規則。

四表：

| 表名 | 作用 | | ------ | -------------------------------------------------------------------------------- | | raw | 確定是否對該資料包進行狀態跟蹤。包含兩個規則鏈，OUTPUT、PREROUTING | | mangle | 修改資料包內容，用來做流量整形，給資料包設定標記。包含五個規則鏈，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING | | nat | 負責網路地址轉換，用來修改資料包中的源、目標IP地址或埠。包含三個規則鏈，OUTPUT、 PREROUTING、 POSTROUTING | | filter | 負責過濾資料包，確定是否放行該資料包(過濾)。包含三個規則鏈，INPUT、 FORWARD、 OUTPUT |

在iptables的四個規則表中， mangle表和raw表的應用相對較少。

filter表是防火牆的預設表。

五鏈：

| 鏈名 | 作用 | | ----------- | ------------------------------------------------------------------ | | INPUT | 處理入站資料包，匹配目標IP為本機的資料包。 | | OUTPUT | 處理出站資料包，一般不在此鏈上做配置。 | | FORWARD | 處理轉發資料包，匹配流經本機的資料包。 | | PREROUTING | 在進行路由選擇前處理資料包，用來修改目的地址，用來做DNAT。相當於把內網伺服器的IP和埠對映到路由器的外網IP和埠上。 | | POSTROUTING | 在進行路由選擇後處理資料包，用來修改源地址，用來做SNAT。相當於內網通過路由器NAT轉換功能實現內網主機通過一個公網IP地址上網。 |

1.3 資料包控制的匹配流程

1.3.1 規則表之間的優先順序：

資料包到達防火牆時，規則表之間的優先順序：raw >mangle > nat > filter

1.3.2 規則鏈之間的匹配順序：

主機型防火牆:

入站資料（來自外界的資料包，且目標地址是防火牆本機）：PREROUTING --> INPUT -->本機的應用程式
出站資料（從防火牆本機向外部地址傳送的資料包）：本機的應用程式---->OUTPUT ----->POSTROUTING

網路型防火牆：

轉發資料（需要經過防火牆轉發的資料包)：PREROUTING -->FORWARD -->POSTROUTING

注：標紅的表示該鏈的規則通常在這個表上配置。

1.3.3 規則鏈內部的匹配順序：

自上向下按順序依次進行檢查，找到相匹配的規則即停止（LOG策略例外，表示記錄相關日誌）
若在該鏈內找不到相匹配的規則，則按該鏈的預設策略處理（未修改的狀況下，預設策略為允許）

#例1： filter表 input鏈： 1、放通目的地址為192.168.80.0/24的 2、放通目的地址為192.168.100.0/24的此時192.168.100.0/24的IP資料包能夠放行。 #例2： filter表 input鏈： 1、拒絕源地址為100.100.100.0/24的 2、放通目的地址為192.168.80.0/24的 3、放通目的地址為192.168.100.0/24的此時192.168.100.0/24的IP資料包會被拒絕，因為是自上向下按順序依次進行檢查，第一條規則已匹配到，就不會再向下匹配。

1.3.4 核心中資料包的傳輸過程

當一個數據包進入網絡卡時，資料包首先進入PREROUTING鏈，核心根據資料包目的IP判斷是否需要轉送出去。

如果資料包是進入本機的，資料包就會到達INPUT鏈。資料包到達INPUT鏈後，任何程序都會收到它。本機上執行的程式可以傳送資料包，這些資料包經過OUTPUT鏈，然後返回給傳送方。

如果資料包是要轉發出去的，且核心允許轉發，資料包就會經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

2 iptables的安裝和規則配置

2.1 iptables的安裝

Centos 7預設使用firewalld防火牆，沒有安裝iptables，若想使用iptables防火牆。必須先關閉firewalld防火牆，再安裝iptables 。

#步驟1、關閉firewalld [root@yuji ~]# systemctl disable --now firewalld //設定firwalld開機不自啟，且現在就關閉 Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. #步驟2、安裝iptables 和 iptables-services [root@yuji ~]# yum install -y iptables iptables-services #安裝完後啟動服務 [root@yuji ~]# systemctl start iptables

2.2 iptables的配置方法

使用iptables命令列。
使用圖形化管理工具system- config- firewall

2.3 使用iptables命令列配置規則

命令格式：

iptables [-t 表名] 管理選項 [鏈名] [匹配條件] [-j 控制型別]

注意事項：

不指定表名時，預設指filter表
不指定鏈名時，預設指表內的所有鏈
除非設定鏈的預設策略，否則必須指定匹配條件
控制型別使用大寫字母，其餘均為小寫

微信圖片_20220422105948.png

常用控制型別：

| 控制型別 | 作用 | | ---------- | ----------------------------------------------------------------- | | ACCEPT | 允許資料包通過(預設) | | DROP | 直接丟棄資料包，不給出任何迴應資訊 | | REJECT | 拒絕資料包通過，會給資料傳送端一個響應資訊 | | SNAT | 修改資料包的源地址 | | DNAT | 修改資料包的目的地址 | | MASQUERADE | 偽裝成一個非固定公網IP地址 | | LOG | 在/var/log/messages檔案中記錄日誌資訊，然後將資料包傳遞給下一條規則。LOG只是一種輔助動作，並沒有真正處理資料包 |

常用管理選項：

| 管理選項 | 作用 | | -------------- | ----------------------------------------- | | -A | 在指定鏈的末尾追加(--append)一條新的規則 | | -I（大寫i） | 在指定鏈的開頭插入(--insert)一條新的規則，未指定序號時預設作為第一條規則 | | -R | 修改、替換(--replace) 指定鏈中的某一條規則，可指定規則序號或具體內容 | | -P | 設定指定鏈的預設策略(--policy) | | -D | 刪除(--delete) 指定鏈中的某一條規則，可指定規則序號或具體內容 | | -F | 清空(--flush)指定鏈中的所有規則，若未指定鏈名，則清空表中的所有鏈 | | -L | 列出(--list) 指定鏈中所有的規則，若未指定鏈名，則列出表中的所有鏈 | | -n | 使用數字形式(--numeric) 顯示輸出結果，如顯示IP地址而不是主機名 | | -v | 顯示詳細資訊，包括每條規則的匹配包數量和匹配位元組數 | | --line-numbers | 檢視規則時，顯示規則的序號 |

匹配條件：

| 匹配條件 | 說明 | | ------ | ----------------- | | -p | 指定要匹配的資料包的協議型別 | | -s | 指定要匹配的資料包的源IP地址 | | -d | 指定要匹配的資料包的目的IP地址 | | -i | 指定資料包進入本機的網路介面 | | -o | 指定資料包離開本機做使用的網路介面 | | –sport | 指定源埠號 | | –dport | 指定目的埠號 |

2.4 規則配置示例

示例1：檢視規則 -nL

[root@yuji ~]# iptables -L //檢視filter表中所有規則 [root@yuji ~]# iptables -nL //以數字形式顯示 [root@yuji ~]# iptables -nL -t nat //檢視nat表ACCEPT [root@yuji ~]# iptables -nL --line-numbers //顯示規則序號 [root@yuji ~]#iptables -t filter -F //清空 filter表內所有規則

示例：

1、 iptables -L，列出表中所有鏈。不指定表名則預設檢視filter表。

2、 iptables -L -n，以數字形式顯示輸出結果。-L -n 合在一起寫時，必須n在前，要寫成 -nL。

3、iptables -nL -t nat，檢視nat表。

4、iptables -t filter -F，清空 filter表內所有規則。

示例2：新增規則 -A -I

-A，在末尾追加規則。

-I，在指定位置前插入規則。如果不指定，則在首行插入。

#在INPUT鏈末尾追加規則 [root@yuji ~]# iptables -t filter -A INPUT -p icmp -j REJECT [root@yuji ~]# iptables -nL #在INPUT鏈第二行出入規則 [root@yuji ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT [root@yuji ~]# iptables -nL --line-numbers

示例：

1、拒絕icmp協議的資料包，即不允許其他主機ping本機。REJECT

使用其他的主機ping不通本機，reject拒絕後會迴應一條訊息。

2、丟棄icmp協議的資料包。DROP。

使用其他的主機ping本機，drop丟棄資料包，不給出任何迴應資訊。

3、-I，在指定位置前插入。如果不指定，則在首行插入。

iptables -nL --line-numbers，可以檢視每條規則的序號。

示例3：刪除規則 -D

1、按序號刪除，比較準確。

2、按內容刪除，如果有2條相同內容，會刪除序號小的那個。

注意：

刪除規則前，先想清楚會不會導致ssh斷連。
如果鏈的預設規則是DROP，在使用iptables -F之前一定要慎重，可能會導致自己斷連，斷連後只能去機房解決。

#先檢視鏈中的規則 [root@yuji ~]# iptables -nL --line-numbers //顯示規則的序號 Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination #按序號刪除 [root@yuji ~]# iptables -D INPUT 2 //刪除INPUT鏈中的第2條規則 [root@yuji ~]# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) #按內容刪除 [root@yuji ~]# iptables -D INPUT -p tcp -j ACCEPT //刪除INPUT鏈中tcp協議ACCEPT的規則 [root@yuji ~]# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination

示例4：修改規則

1、-R 直接修改。但一般不用這種形式。

2、可以先新增一條新規則，之後再刪除舊規則。這樣比較保險。

#方法1：使用-R直接修改 [root@yuji ~]# iptables -A INPUT -p icmp -j DROP //原先設定的規則 [root@yuji ~]# iptables -R INPUT -p icmp -j ACCEPT //將DROP修改成ACCEPT #方法2：先-A新增一條規則，之後再-D刪除舊規則 [root@yuji ~]# iptables -A INPUT -p icmp -j ACCEPT //新增一條新規則 [root@yuji ~]# iptables -D INPUT -p icmp -j DROP //刪除舊規則

示例5：設定預設策略 -P

未修改的狀況下，預設策略為ACCEPT（允許）。

注意：

將預設策略修改為DROP前，一定要檢查清楚鏈內是否設定了允許tcp協議22埠進行連線的規則。否則一旦修改為DROP，會導致ssh斷連。

[root@yuji ~]# iptables -P INPUT DROP //將預設策略修改為DROP

3 匹配條件

3.1 通用匹配

可直接使用，不依賴於其他條件或擴充套件包括網路協議、IP地址、網路介面等條件。

| 協議匹配 | -p 協議名 | | ---- | ----------------------------------- | | 地址匹配 | -s 源地址、-d 目的地址。可以是IP、網段、域名、空(任何地址) | | 介面匹配 | -i 入站網絡卡、-o 出站網絡卡 |

例：

iptables -A INPUT ! -p icmp -j ACCEPT #沒有-t指定表，就是指預設表filter表 # !代表條件取反，不是icmp的都放通 iptables -A INPUT -s 192.168.72.10 -j REJECT #拒絕從哪個主機發資料包過來（-s指定了源地址） iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP #在行首插入規則，丟棄該網段從ens33網絡卡進來的資料包

示例1：

! 取反時需要注意。

例如設定“不是icmp的都放通”，即放通的協議中不包括icmp，這條規則沒有針對icmp。那麼icmp協議會向下查詢匹配，如果匹配不到規則，那麼就會取預設策略ACCEPT，則此時其他主機可以ping通本機。

使用其他主機ping本機，可以ping通。

示例2：

拒絕192.168.72.10發來的資料包。

使用192.168.72.10這臺機器ping本機，ping不通。REJECT拒絕後，會顯示迴應資訊。

3.2 隱含匹配

要求以特定的協議匹配作為前提，包括埠、TCP標記、ICMP類型等條件。

3.2.1 埠匹配

埠匹配：--sport 源埠、--dport 目的埠。

可以是個別埠或者埠範圍。

| 格式 | 含義 | | ----------------- | ------------------- | | --sport 1000 | 匹配源埠是1000的資料包 | | --sport 1000:3000 | 匹配源埠是1000-3000的資料包 | | --sport 1000: | 匹配源埠是1000及以上的資料包 | | --sport :3000 | 匹配源埠是3000及以下的資料包 |

注意： --sport 和 --dport 必須配合 -p <協議型別> 使用

3.2.2 TCP標記匹配

--tcp-flags TCP標記

#TCP三次握手時的第一次握手，放行SYN為1的報文，拒絕其他包。 iptables -I INPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT #第二次握手放行SYN、ACK為1的報文，拒絕其他包。 iptables -I OUTPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

3.2.3 ICMP型別匹配

--icmp-type ICMP型別

ICMP型別可以是字串、數字程式碼:

| ICMP型別 | 含義 | | ------------------------------- | ------- | | Echo-Request （程式碼為8） | 表示請求 | | Echo- -Reply （程式碼為0） | 表示回顯 | | Dest ination-Unreachable （程式碼為3） | 表示目標不可達

注：其他可用的icmp協議型別，可以執行iptables -p icmp -h 檢視幫助資訊。

--icmp-type 8 //表示請求（ping），即其他主機向本機請求（ping本機） --icmp-type 0 //表示回顯（pong），即本機向其他主機發資料包（本機ping其他主機） --icmp-type 3 //當本機ping不通其他主機時，提示目標不可達。例子: #丟棄icmp的包，別人ping不通本機，本機也ping不通別人 iptables -A INPUT -p icmp -j DROP #丟棄icmp的請求，禁止其他主機ping本機，但本機可以ping其他主機 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #當本機ping不通其它主機時提示目標不可達，此時其它主機需要配置關於icmp協議的控制型別為REJECT iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

示例：

丟棄icmp協議的請求，禁止其他主機ping本機，但本機可以ping其他主機。

3.3 顯示匹配

要求以“-m擴充套件模組”的形式明確指出型別，包括多埠、MAC地址、IP範圍、資料包狀態等條件

3.3.1 多埠匹配

-m multiport --sport 源埠列表
-m multiport --dport 目的埠列表

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

3.3.2 IP範圍匹配

-m iprange --src-range 源IP範圍
-m iprange --dst-range 目的IP範圍

iptables -A FORWARD -p udp -m iprange --src-range 192.168.72.100-192.168.72.200 -j DROP # 禁止轉發源地址位於192.168.72.100——192.168.72.200的udp資料包

3.3.3 MAC地址匹配

格式：

-m mac -- -mac- source MAC地址

示例：

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP #禁止來自某MAC地址的資料包通過本機轉發

3.3.4 狀態匹配

格式：

-m state --state連線狀態

常見的連線狀態：

| 狀態 | 含義 | | ----------- | -------------------------------------------- | | NEW | 主機連線目標主機,在目標主機上看到的第一個想要連線的包 | | ESTABLISHED | 主機已與目標主機進行通訊,判斷標準只要目標主機迴應了第一個包,就進入該狀態 | | RELATED | 主機已與目標主機進行通訊,目標主機發起新的連結方式，一般與ESTABLISHED配合使用 | | INVALID | 無效的封包,例如資料破損的封包狀態 |

示例：

iptables -I INPUT -M state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT #第一個包我只看22埠的包 #-p tcp是隱含匹配，可以省略-m tcp iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT #允許放通tcp的這些埠號 #-m multiport載入多個埠模組 iptables -A INPUT -p udp --dport 53 -j ACCEPT #放通UDP的53埠進來的包（DNS伺服器返回資訊時預設使用UDP的53埠） iptables -A INPUT -p tcp -m state --state ESTABLISHED ,RELATED -j ACCEPT #對進來的包的狀態進行檢測。已經建立tcp連線的包以及該連線相關的包允許通過。簡單來說就是隻允許所有自己發出去的包進來。 #比如我和你做生意，我們談成了生意，到了支付的時候，就可以直接呼叫與這筆生意相關的支付功能。 iptables -P INPUT DROP #預設關閉，將以上的設定設為白名單

4 總結

1、Linux防火牆的兩個元件：

核心態 netilter（儲存包過濾處理的規則集）
使用者態 iptables（防火牆規則管理工具）

2、資料包五要素：

源IP，目的IP，源埠，目的埠，協議UDP/TCP

3、四表：

raw 對資料包進行狀態跟蹤
mangle 修改資料包內容，給資料包設定標記
nat 地址轉換，轉換源/目的IP或者埠
fileter 過濾資料包放行丟棄

4、五鏈：

INPUT 入站
OUTPUT 出站
FORWARD 轉發
PREROUTING 路由前修改目的地址
POSTROUTING 路由後修改源IP

5、匹配順序

1）資料包到達防火牆時，規則表之間的優先順序：raw >mangle > nat > filter。

2）規則鏈之間的匹配順序：

主機型防火牆

入站資料（來自外界的資料包，且目標地址是防火牆本機）：PREROUTING --> INPUT -->本機的應用程式
出站資料（從防火牆本機向外部地址傳送的資料包）：本機的應用程式---->OUTPUT ----->POSTROUTING；

網路型防火牆

轉發資料（需要經過防火牆轉發的資料包)：PREROUTING -->FORWARD -->POSTROUTING

3）鏈中的規則集：從上往下一次匹配，匹配到規則即停止，若都沒有匹配到則按預設策略處理

6、管理選項

iptables [-t 表名] 管理選項 [鏈名] [匹配條件] [-j 控制型別]

增：-A 在末尾新增，-I 在指定位置插入
刪：-D 刪除指定規則，-F 清空所有規則
改：-R，或者-A 新增後 -D 刪除
查：-nL 以數字形式顯示，--line-numbers 顯示規則的序號
設定預設規則：-P

注意：

刪除規則前，以及將預設規則修改為DROP之前，一定要先想清楚會不會導致ssh斷連。

7、匹配條件

-p tcp|udp|icmp
-s 源IP
-d 目的IP
-i 入站網絡卡
-o 出站網絡卡

Linux之iptables防火牆