文章目录

1. 文章引言
2. iptables的四表五链
- 2.1 何为四表
- 2.2 何为五链
3. iptables语法格式
4. 规则的查看与清除
5. 防火墙的备份与还原
- 5.1 iptables-save命令
- 5.2 iptables-restore命令

1. 文章引言

最近在学习Linux iptables，从而知道，它是Linux防火墙系统的重要组成部分。

它主要功能是实现对网络数据包进出设备及转发的控制——当数据包需要进入设备、从设备中流出或者由该设备转发、路由时，都可以使用iptables进行控制。

它与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

此外，最近ChatGPT比较火，借助ChatGPT来回答，什么是Linux iptables，如下图所示：

在这里插入图片描述

既然Linux iptables如此重要，接下来，我便详细介绍Linux iptables命令。

2. iptables的四表五链

正如我们在上文知道的，iptables是集成在Linux内核中的包过滤防火墙系统。

使用iptables可以添加、删除具体的过滤规则，它默认维护着 4 个表和 5 个链，所有的防火墙策略规则都被分别写入这些表与链中。

2.1 何为四表

四表是指iptables的功能，默认的iptable规则表如下：

filter表(过滤规则表)：控制数据包是否允许进出及转发，可以控制的链路有INPUT、FORWARD和OUTPUT。
nat表(地址转换规则表)：控制数据包中地址转换，可以控制的链路有PREROUTING、INPUT、OUTPUT和POSTROUTING。
mangle表(修改数据标记位规则表)：修改数据包中的原数据，可以控制的链路有PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING。
raw表(跟踪数据表规则表)：控制nat表中连接追踪机制的启用状况，可以控制的链路有 PREROUTING、OUTPUT。

2.2 何为五链

五链是指内核中控制网络的NetFilte 定义的5个规则链。

每个规则表中包含多个数据链：

INPUT：入站数据过滤
OUTPUT：出站数据过滤
FORWARD：转发数据过滤
PREROUTING：路由前过滤
POSTROUTING：路由后过滤

防火墙规则需要写入到这些具体的数据链中，Linux防火墙的过滤框架，如下图所示：

在这里插入图片描述

可以看出，如果是外部主机发送数据包给防火墙本机，数据将会经过PREROUTING链与INPUT链。

如果是防火墙本机发送数据包到外部主机，数据将会经过OUTPUT链与 POSTROUTING链。

如果防火墙作为路由负责转发数据，则数据将经过PREROUTING链、FORWARD链以 POSTROUTING链。

3. iptables语法格式

iptables命令的基本语法如下所示：

[root@test ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

各参数的含义如下：

-t：指定需要维护的防火墙规则表filter、nat、mangle或raw。在不使用-t时则默认使用filter表
COMMAND：子命令，定义对规则的管理
chain：指明链表
CRETIRIA：匹配参数
ACTION：触发动作

iptables命令的常用选项，以及各自的功能，如下图所示：

在这里插入图片描述

iptables命令的常用匹配参数，以及各自的功能，如下图所示：

在这里插入图片描述

iptables命令的触发动作，以及各自的功能，如下图所示：

在这里插入图片描述

内核会按照顺序依次检查iptables防火墙规则，如果发现有匹配的规则目录，则立刻执行相关动作，停止继续向下查找规则目录。

如果所有的防火墙规则都未能匹配成功，则按照默认策略处理。

使用-A 项添加防火墙规则会将该规则追加到整个链的最后，而使用-I选项添加的防火墙规则则会默认插入到链中作为第一条规则。

【注意】在Linux CentOS系统中，iptables是默认安装的，如果系统中没有iptables工具，可以先进行安装。

4. 规则的查看与清除

查看规则

使用如下命令查看规则：

[root@superJson ~]# iptables -nvL

各参数的含义为：

-L表示查看当前表的所有规则，默认查看的是filter表，如果要查看nat表，可以加上-t nat参数。
-n表示不对IP地址进行反查，添加此参数显示速度将会加快。
-v表示输出详细信息，包含通过该规则的数据包数量、总字节数以及相应的网络接口。

例如使用如下命令查看规则，首先使用su命令切换为root用户：

[root@superJson ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

添加规则

有两个参数为添加规则，它们分别是-A和-I：

-A是添加到规则的末尾
-I可以插入到指定位置，没有指定位置的话，默认插入到规则的首部。

例如使用如下命令查看当前规则，首先使用su命令切换为root用户：

[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
......

再例如添加一条到尾部规则，首先使用su命令切换为root用户，再在于终端页面输入如下命令：

[root@superJson ~]# iptables -A INPUT -s 192.168.2.6 -j DROP
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
6    DROP       all  --  192.168.1.5          0.0.0.0/0

修改规则

需要使用-R参数来修改规则。

比如把添加在第6行规则的DROP修改为ACCEPT，首先使用su命令切换为root用户，再于终端页面输入如下命令：

[root@superJson ~]# iptables -R INPUT 6 -s 192.168.2.6 -j ACCEPT
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0          
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
6    ACCEPT     all  --  194.168.1.5          0.0.0.0/0

由命令行可知，第6行规则的target已修改为ACCEPT。

删除规则

删除规则有两种方法，但都必须使用-D参数。

比如删除添加的第6行的规则，首先使用su命令切换为root用户，再于终端页面输入如下命令：

[root@superJson ~]# iptables -D INPUT 6 -s 192.168.2.6 -j ACCEPT

或

[root@superJson ~]# iptables -D INPUT 6

【注意】有时需要删除的规则较长，删除时需要写一大串的代码，这样比较容易写错，这时可以先使用-line-number找出该条规则的行号，再通过行号删除规则。

5. 防火墙的备份与还原

默认的iptables防火墙规则会立刻生效，但如果不保存，当计算机重启后所有的规则都会丢失。

因而，对防火墙规则进行及时保存的操作是非常必要的。

iptables软件包提供了两个非常有用的工具，我们可以使用这两个工具处理大量的防火墙规则。

这两个工具分别如下：

iptables-save
iptables-restore

使用该工具可以实现防火墙规则的保存与还原。

这两个工具的最大优势是处理庞大的规则集时速度非常快。

CentOS 7系统中防火墙规则默认保存在/etc/sysconfig/iptables文件中。

使用iptables-save将规则保存至该文件中，可以实现保存防火墙规则的作用，计算机重启后会自动加载该文件中的规则。

如果使用iptables-save将规则保存至其他位置，可以实现备份防火墙规则的作用。

当防火墙规则需要做还原操作时，可以使用iptables-restore将备份文件直接导入当前防火墙规则。

5.1 iptables-save命令

iptables-save命令用来批量导出Linux防火墙规则，语法介绍如下：

保存在默认文件夹中（保存防火墙规则）的语法：

 [root@superJson ~]# iptables-save > /etc/sysconfig/iptables

保存在其他位置（备份防火墙规则）的语法：

 [root@superJson ~]# iptables-save > 文件名称

若直接执行iptables-sav 命令，则显示出当前启用的所有规则，按照raw、mangle、nat、filter表的顺序依次列出，如下所示：

[root@superJson ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020

其中：

#号开头的表示注释；
*filter表示所在的表；
:链名默认策略表示相应的链及默认策略，具体的规则部分省略了命令名iptables
在末尾处COMMIT表示提交前面的规则设置。

若备份到其他文件中，比如text文件，如下所示：

[root@superJson ~]# iptables-save > test 
[root@superJson ~]# ls test 
[root@superJson ~]# cat test # Generated by iptables-save v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......

若列出nat表的规则内容，命令如下：

[root@superJson ~]# iptables-save -t nat

-t表名表示列出某一个表。

5.2 iptables-restore命令

iptables-restore命令可以批量导入Linux防火墙规则，同时，也需要结合重定向输入来指定备份文件的位置。

命令如下：

[root@superJson ~]# iptables-restore < 文件名称

【注意】导入的文件必须是使用iptables-save工具导出来的才可以。

先使用iptables-restore命令还原text文件，然后使用iptables -t nat -nvL命令查看清空的规则是否已经还原，如下所示：

[root@superJson ~]# iptables-restore < test 
[root@superJson ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination