ipables防火墙

一、Linux防火墙基础

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，也因此获得广泛的应用。

在许多安全技术资料中，netfilter 和 iptables 都用来指 Linux 防火墙，往往使读者产生迷惑。netfilter 和 iptables 的主要区别如下。

netfilter：指的是 Linux 内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。

iptables：指的是用来管理 Linux 防火墙的命令程序，通常位于/sbin/iptables 目录下，属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。

二、IP tables的架构

iptables 的作用是为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则，iptables 采用了“表”和“链”的分层结构，如图示。

其中，每个规则“表”相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表；在每个“表”容器内包括不同的规则“链”，根据处理数据包的不同时机划分为五种链；而决定是否过滤或处理数据包的各种规则，则是按先后顺序存放在各规则链中。

1.规则表

为了从规则集的功能上有所区别，iptables 管理着四个不同的规则表，其功能分别由独立的内核模块实现。这四个表的名称、包含的链及各自的用途如下。

filter 表：filter 表用来对数据包进行过滤，根据具体的规则要求决定如何处理一个数据包。filter 表对应的内核模块为 iptable_filter，表内包含三个链，即 INPUT、FORWARD、OUTPUT。

nat 表：nat（Network Address Translation，网络地址转换）表主要用来修改数据包的IP 地址、端口号等信息。nat 表对应的内核模块为 iptable_nat，表内包含三个链，即PREROUTING、POSTROUTING、OUTPUT。

mangle 表：mangle 表用来修改数据包的 TOS（Type Of Service，服务类型）、TTL（TimeTo Live，生存周期），或者为数据包设置 Mark 标记，以实现流量整形、策略路由等高级应用。 mangle 表对应的内核模块为 iptable_mangle ，表内包含五个链，即PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD。

raw 表：raw 表是自 1.2.9 以后版本的 iptables 新增的表，主要用来决定是否对数据包进行状态跟踪。raw 表对应的内核模块为 iptable_raw，表内包含两个链，即 OUTPUT、PREROUTING。在 iptables 的四个规则表中，mangle 表和 raw 表的应用相对较少。

2.规则链

在处理各种数据包时，根据防火墙规则的不同介入时机，iptables 默认划分为五种不同的规则链。这五种链的名称、各自的介入时机如下。

INPUT 链：当收到访问防火墙本机地址的数据包（入站）时，应用此链中的规则。

OUTPUT 链：当防火墙本机向外发送数据包（出站）时，应用此链中的规则。

FORWARD 链：当接收到需要通过防火墙中转发送给其他地址的数据包（转发）时，应用此链中的规则。

PREROUTING 链：在对数据包做路由选择之前，应用此链中的规则。

POSTROUTING 链：在对数据包做路由选择之后，应用此链中的规则。

其中，INPUT、OUTPUT 链主要用在“主机型防火墙”中，即主要针对服务器本机进行保护的防火墙；而 FORWARD、PREROUTING、POSTROUTING 链多用在“网络型防火墙” 中，如使用 Linux 防火墙作为网关服务器，在公司内网与 Internet 之间进行安全控制。

3.数据包过滤匹配流程

1．规则表之间的顺序

当数据包抵达防火墙时，将依次应用 raw 表、mangle 表、nat 表和 filter 表中对应链内的规则（如果存在），应用顺序为 raw→mangle→nat→filter。

2．规则链之间的顺序

根据规则链的划分原则，不同链的处理时机是比较固定的，因此规则链之间的应用顺序取决于数据包的流向，如图所示，具体表述如下。

入站数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应发往何处）；如果数据包的目标地址是防火墙本机（如 Internet 用户访问网关的 Web 服务端口），那么内核将其传递给 INPUT 链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（如 httpd 服务器）进行响应。

转发数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问 QQ 服务器），则内核将其传递给 FORWARD 链进行处理（允许转发或拦截、丢弃），最后交给 POSTROUTING 链（是否修改数据包的地址等）进行处理。

出站数据流向：防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网 DNS服务时），首先进行路由选择，确定了输出路径后，再经由 OUTPUT 链处理，最后再交给 POSTROUTING 链（是否修改数据包的地址等）进行处理。

三、编写防火墙规则

1.基本语法、数据包控制类型

[root@localhost ~]# yum install -y iptables-services

[root@localhost ~]# systemctl start iptables

命令格式：iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

实例：在filter表的input链中插入一条规则，拒绝发给本机的使用ICMP协议的数据包

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT //阻止其他pc端ping“我”

备注：

-I：插入一条规则，要指定在哪一行插入，不指定默认第一行

REJECT：拒绝

删除此规则

iptables -t filter -D INPUT -p icmp -j REJECT //删除这条规则

-D：删除

2.添加、查看、删除规则等基本操作

1.添加新的规则

在filter表INPUT链的末尾添加一条防火墙规则

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -j ACCEPT \\允许tcp的数据包通过

备注：

-A：在末尾追加

-I：在开头添加

ACCEPT：允许

在filter表INPUT链的添加以下两条规则，这两条规则分别位于第一条和第二条（指定位置：-I，大写i）

[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT \\允许udp数据包通过，放到第一条

[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT \\允许icmp数据包通过，放到第二条

2.查看规则列表

查看filter表INPUT链中的所有规则，并显示规则序号（列出所有规则：-L）

[root@localhost ~]# iptables -L INPUT --line-numbers

或

[root@localhost ~]# iptables -L INPUT --line

以数字形式查看filter表INPUT链中的所有规则（数字形式显示：-n）

--line：显示行号

[root@localhost ~]# iptables -n -L INPUT

或

[root@localhost ~]# iptables -nL INPUT

[root@localhost ~]# iptables -nL INPUT -t filter --line

3.删除、清空规则

删除filter表INPUT链中的第三条规则

[root@localhost ~]# iptables -D INPUT 3

[root@localhost ~]# iptables -nL INPUT --line

清空指定链或表中的所有防火墙规则，使用管理选项“-F”

清空filter表INPUT链中所有的规则

[root@localhost ~]# iptables -F INPUT

[root@localhost ~]# iptables -nL INPUT --line

分别清空filter表，nat表，mangle表中所有链的规则

[root@localhost ~]# iptables -F \\等同iptables -t filter -F

[root@localhost ~]# iptables -t nat -F

[root@localhost ~]# iptables -t mangle -F

4.设置默认策略（找不到匹配项时，就是用该默认规则）

[root@localhost ~]# iptables -t filter -P FORWARD DROP \\找不到转发规则，丢弃

[root@localhost ~]# iptables -t filter -P OUTPUT ACCEPT \\出站数据包找不到规则，允许通过

3.规则匹配条件

1.通用匹配——常规匹配（包括协议、地址、网络接口匹配）,可独立使用！

（1）协议匹配

[root@localhost ~]# iptables -I INPUT -p icmp -j DROP \\丢弃icmp包

[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT \\允许转发除icmp之外的其他包

（2）地址匹配（源地址：-s，目标地址：-d）

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.202 -j REJECT

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.0 -j ACCEPT

当遇到小规模的网络攻击或扫描时，应封锁IP地址

[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP

[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP

（3）网络接口匹配

要丢弃从外网卡接口（eth1）访问防火墙本机且源地址为私有地址的数据包

[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

2.隐含匹配——要以协议匹配作为前提条件，不可独立使用（带有子条件）

（1）端口匹配

允许为网段192.168.4.0/24转发DNS查询数据包

[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

[root@localhost ~]# iptables -A FORWARD -d 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

注释：

隐含匹配需要有一个匹配的前提条件，这个前提条件就是隐含要匹配的内容。

上面案例中“ -p udp --dport”就是隐含的子条件，意思是，只匹配一个端口号还不行，还要指定这个端口号是UDP的端口号，并且是目标端口号

搭建vsftpd服务时需要开放20、21端口，以及用于被动模式的端口范围为24500-24600

[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

（2）ICMP类型匹配

若要禁止从其他主机ping本机，但是允许本机ping其他主机

iptables -F

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p icmp -j DROP

0 响应应答（ECHO-REPLY）（应答报文）
3 不可到达（目标主机不可达）
4 源抑制
5 重定向
8 响应请求（ECHO-REQUEST）（请求报文）
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求（*已作废）
16 信息应答（*已作废）
17 地址掩码请求
18 地址掩码应答