firewall 防火墙

• 从逻辑上讲，可以分为服务器防火墙和主机防火墙。网络防火墙和主机防火墙不存在冲突。
  • 网络防火墙位于网络边界，如路由器或专用硬件设备。用于监控和控制进出网络的数据包，主要职责是在网络层过滤数据包，以保护网络免受攻击。(公司的防火墙就是一种网络防火墙)
  • 主机防火墙安装在单个主机上，如常见的iptables和firewalld。用于保护该主机免受未经授权的网络访问，监控并控制进出主机的数据包，以防止未经授权的访问。
• 从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。
  • 硬件防火墙：在硬件级别实现部分防火墙功能，一部分功能仍需基于软件实现，性能高，成本高。
  • 软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。

Linux防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于包过滤防火墙，并且基于内核编码的实现具有非常稳定的性能和高效率。

Iptables简述

iptables 是 Linux 系统中用于设置、维护和检查网络层数据包过滤规则表的工具。这些规则表定义了哪些数据包应该被允许通过，哪些应该被拒绝或丢弃。

• 封端口、IP
• 实现NAT功能
  • 共享网络
  • 端口映射(转发)，IP映射

Iptables已被写入到Linux内核中，并且在Dcoker中提供了相当重要的服务。

Iptables相关概念:

• 表(table):存放链的容器，防火墙最大的概念。
• 链(chain):存放规则的容器
• 规则(policy):准许或拒绝规则，定义的是防火墙的通行规则
  
  工作流详解:
• 防火墙是层层过滤的，实际执行的规则顺序是从上到下，即Rule1到默认规则，不过这条规则是拒绝服务还是允许，都完成一次规则匹配。
• 规则匹配成功，即明确标识是DROP还是ACCEPT，数据包就不再向下匹配新的规则。
• 如果规则没有明确表示是阻止还是通过，也就是没有匹配该条规则，则继续向下匹配，直到匹配默认规则得到明确的DROP或ACCEPT。
• 防火墙默认规则是所有规则都匹配完成才会匹配的。

考虑到匹配规则是从上往下的，因此在设计防火墙规则的适合顺序十分重要。

在只允许一些特定的ip通过防火墙时，把filter-允许某些IP通过的规则放前边，Drop-禁止所有IP的规则放后边。

一、Iptables的四表五链

• 四表: filter、nat、raw、mangle
• 五链:
  • INPUT：处理入站数据包
  • OUTPUT：处理出站数据包
  • FORWARD：处理转发数据包
  • POSTROUTING链：在进行路由选择后处理数据包（对数据链进行源地址修改转换）
  • PREROUTING链：在进行路由选择前处理数据包（做目标地址转换）

Tip:此处只介绍最常用的filter和Nat表!

1.filter表

实现防火墙功能，屏蔽或是准许IP端口。

• iptalbes默认操作表，不指定表制定规则时，操作的是filter表
• 真正负责主机防火墙功能的表(过滤流入流出主机的数据包)

链名	功能
INPUT	负责过滤所有目标地址是本机的数据包(是否准许外部数据包进入服务器)
FORWARD	负责转发流经主机的数据包，转发作用
OUTPUT	负责处理所有源地址是本地的数据包(处理从本机发出的数据包)

2.nat表

实现nat功能，共享网络(内外网服务器上网)，端口映射和IP映射。

• 负责网络地址转换，即来源与目的IP地址的port的转换。
• 一般用于局域网共享上网或者特殊的端口转换服务相关。

1.用于企业路由(zebra)或网关(iptables)，共享上网(POSTROUTING)
2.做内部外部IP地址一对一映射（dmz），硬件防火墙映射IP到内部服务器，ftp服务（PREROUTING）
3.WEB，单个端口的映射，直接映射80端口，这个表定义了3个链，nat功能相当于网络的acl控制。和网络交换机acl类似。

链名	功能
OUTPUT	负责过滤所有目标地址是本机的数据包(是否准许外部数据包进入服务器)
PREROUTING	负责转发流经主机的数据包，转发作用
POSTROUTING	负责处理所有源地址是本地的数据包(处理从本机发出的数据包)

3.raw表

raw 表用于处理连接跟踪（connection tracking）的例外情况，即那些不应该被连接跟踪机制处理的流量。raw 表通常用于配置不需要进行连接跟踪的流量，比如某些类型的初始数据包或特定类型的流量，以避免不必要的资源消耗，例如 ICMP 请求，可以将其标记为 raw 类型，以提高处理效率。

链名	功能
OUTPUT	用于处理从本地系统发出的流量。
PREROUTING	用于处理到达接口之前的流量。

4. mangle表

mangle 表用于修改数据包的内容或其元数据，而不直接决定数据包的命运（如接受或丢弃）。mangle 表主要用于数据包的标记、修改 TTL（生存时间）值、修改标志位等操作。它可以用来做一些高级的网络功能，比如负载均衡、QoS（Quality of Service）配置、路由选择等。

链名	功能
PREROUTING	用于处理到达接口之前的流量。
INPUT	用于处理到达本地系统接口的流量。
FORWARD	用于处理转发的流量。
OUTPUT	用于处理从本地系统发出的流量。
POSTROUTING	用于处理离开接口之后的流量。

5.数据包的流通过程

• 请求到达服务器前先经过PREROUTING链，进行规则匹配，决定是否访问本机。
• 如果数据包目标地址不是本机，需要经过FORWARD链进行转发，最后经过POSTROUTING链离开。
• 如果数据包的目标地址是本机，需要经过INPUT链上制定的规则，符合的才能进入服务系统，不符合的则经过OUTPUT链离开。

二、快速上手

iptables 命令的基本语法如下：

iptables [-t 表名] 命令 [选项] [链名] [条件] [-j 目标]

• -t 表名：指定要操作的表，默认为 filter 表。iptables 有几个内置表，如 filter、nat、mangle、raw、security 等。
• 命令：指定要执行的操作，如 -A（追加）、-D（删除）、-L（列出规则）等。
• 选项：一些命令可能需要额外的选项来指定操作的具体细节。
• 链名：指定规则所在的链，如 INPUT、OUTPUT、FORWARD 等，或是自定义的链。
• 条件：用于匹配数据包的条件，如源地址、目的地址、端口号等。
• -j 目标：指定匹配到的数据包的处理方式，如 ACCEPT（接受）、DROP（丢弃）、REJECT（拒绝）等。

具体命令详细可以使用iptalbes --help查看，此处只列举常用命令。

1. 查看规则

查看所有 iptables 规则:

							iptables -nL
解析: -n 选项告诉iptables不要对地址进行 DNS 解析，而 -L 选项则是列出所有链中的规则。

---

查看指定表的规则:

							iptables -t 表名 -nL

2. 规则详细

根据配置好的指定规则匹配每个流经此处的数据包。如果匹配成功，则由规则后面指定的处理动作进行处理，如果该条规则匹配失败，则数据包流入下一规则进行匹配，直至所有规则匹配失败，最后按照该链的默认规则处理。

• target : 处理动作，该条规则匹配成功后按照指定动作进行处理。
  • ACCEPT：允许数据包通过
  • DROP：丢弃数据包，不给任何回应信息，客户端会收到Connect time out，连接超时。
  • REJECT：拒绝数据包，给请求端一个响应的信息，客户端会收到unreachable，请求不可达。
  • SNAT：源地址转换，根据指定的条件，将数据包源IP进行更改转发，可以解决内网用户用同一个公网地址上网的问题。
  • MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的ip。
  • DNAT：目标地址转换，将数据包的目标地址变更，如访问Docker服务时，目标地址会由主机变更到Docker容器。
  • REDIRECT：在本机做端口映射
  • LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，也就是说除了记录以外不对数据包做任何其他操作，仍然让下一条规则去匹配
• prot: 通信协议，例如TCP、UDP、ICMP。
• opt: 选项，通常在建立规则的时候可以指定。
• source: 源地址，指的是数据包的来源IP。
• destination: 目标地址，指的是数据包想要发送的目的地。

3. 添加规则

Tip: 规则的匹配是从上到下的，哪个先匹配就执行哪个，后面就算有一模一样的也不会执行，因此在设计规则的时候顺序是十分重要的！！！

添加规则:

					iptables -t 表名 -A 链名 匹配条件 -j 处理动作
例如:
允许源地址192.168.10.152的数据包通过:iptables -t filter -I INPUT -s 192.168.10.152 -j ACCEPT
禁止所有的数据包，不接收任何网络访问:iptables -t filter -I INPUT -j ACCEPT
设置指定链的默认策略:iptables -t nat -P FORWARD ACCEPT 
根据索引删除指定链的规则:iptables -t nat -D FORWARD 1

iptables命令使用iptables开头，以下是一些常用参数:

参数	作用
-t [表名]	指定要操作的表，默认是filter表
-A [链名]	指定要操作的链，append，在该链的末尾添加规则
-I [链名]	指定要操作的链，Insert，在该链的首部添加规则
-D [链名]	指定要操作的链，delete，根据索引删除规则
-s [源地址]	source，设置数据包的源地址要求
-d [目标地址]	destination，设置数据包的目标地址要求
-p [通信协议]	prot，设置数据包的通信协议要求
- -dport [目标地址端口]	destination port，设置目标地址的端口要求
-j [处理动作]	jump，设置数据包匹配要求时的处理动作

其他参数可以通过iptables --help 查看哈，太多了就不列举了。

关于设置防火墙策略:

白名单:把指定链的默认策略设置为DROP，只设置允许数据包通过的规则，实现只有匹配规则的数据包才能进行通信，其余通信将被拒绝或是屏蔽。

黑名单:把链的默认策略设置为ACCEPT，只设置禁止数据包通过的规则，实现只有匹配规则的数据包不能够进行通信，其余通信将会允许通过。

Tip:iptables重启的时候默认会清空规则，可以要做好相应的重启策略，对应白名单，通常不建议更改链的默认策略为DROP，一旦规则清空，所有的数据包都不能够通过，包括自己，如果是服务器，那么将会无法进行ssh远程连接。因此可以利用从上到下的匹配规则，白名单可以在最后一条规则设置为拒绝所有数据包。

关于设置一连串的ip地址:

• –src-range: 取代-s参数，可以设置一串连续的ip，例如 --src-range 192.168.1.127-192.168.1.146
• –dst-range: 取代-d参数，可以设置一串连续的ip，例如 --dst-range 192.168.1.127-192.168.1.146

4. 自定义链

除了iptables提供的链，我们可以通过自定义链管理更多的规则，值得一提的是自定义链并不能直接使用和删除。需要被默认的链引用才能使用，只有当链中没有规则并且没有被引用时才能进行删除。

创建自定义链:						iptables -t filter -N NEW_CHAIN
在默认链中引用自定义链:				iptables -t filter -I INPUT -j NEW_CHAIN
重命名自定义链:						iptables -E NEW_CHAIN RENAME_CHIAN
删除一个符合规则的自定义链:			iptables -X RENAME_CHAIN

三、关于iptables和docker

1. 背景

在实际开发过程中，Docker服务默认使用iptables作为端口、地址转发和映射，并且Docker桥接模式使用的Docker0网卡在iptables中不受常用的filter表下的INPUT链控制，因此做好Docker服务的安全策略十分必要。

• 外部网络在访问Docker容器服务时，先通过iptables中的NAT表的PREROUTING链，Docker会在iptables中添加转发规则。因此目标地址为宿主机，端口为映射端口的数据包，会被FORWARD进行转发。
• 经过NAT的DNAT(目标地址转换)操作后，目标地址以及端口可能发生改变，因此不再经过FILTER表的INPUT链(通常在此处设置规则拦截数据包)，而是由FILTER表的FORWARD链处理。
• 最后会在FILTER表中还会经过Docker创建的自定义链处理，最后发送到对应的容器当中。

2. 解决方案

根据上述的描述，iptables设置在FILTER表的INPUT链中的规则不在能够限制Docker服务的访问，除了对上述背景中提到的相关链进行修改，Docker提供了一条DOCKER-USER的链供用户进行规则设置，因此需要在Filter表中的DOCKER-USER链进行规则设定。

Docker服务在启动的时候会自动在iptables中创建相应的链，并设立规则。

			iptables -I DOCKER-USER -p tcp --dport 80 -j DROPiptables -I DOCKER-USER -s 10.10.181.201 -p tcp --dport 80 -j ACCEPT

上述规则只允许源地址为 10.10.181.201 ，目标端口为80的数据包访问Docker服务，其余目标端口为80，协议类型为TCP的数据包将会被屏蔽。

在实际开发过程中，情况可能更复杂，可以根据iptables中链的转发跳转情况进行设定，可能会存在数据包经过NAT表的转发后目标地址和端口发生改变的情况，因此DOCKER-USER表规则的设置应该视情况而定！！！