防火墙也称之为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则,允许或者限制网络报文通过。
- 硬件防⽕墙:通过硬件和软件的组合,基于硬件的防⽕墙保护整个内部网络安全。(例如 华为E9000)
- 软件防⽕墙:通过纯软件,单独使⽤软件系统来完成防⽕墙功能,保护安装它的系统。
iptables概述
iptables是Linux系统的防火墙, IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。属于典型的包过滤防火墙(或称为网络层防火墙)。
netfilter和iptables
netfilter
1.netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系
2.是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集
iptables
1.iptables属于“用户态”(User Space,又称为用户空间)的防火墙管理体系
2.是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下
两者关系
1.netfilter/iptables后期简称为iptables
2.iptables是基于内核的防火墙,其中内置了raw、mangle、nat和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务
四表五链
规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
总结:表里有链,链里有规则
四表
- raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING
- mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
- nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
- filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT
五链
- INPUT:处理入站数据包,匹配目标IP为本机的数据包。
- OUTPUT:处理出站数据包,一般不在此链上做配置。
- FORWARD:处理转发数据包,匹配流经本机的数据包。
- PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。
- POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
数据包控制的匹配流程
规则表的优先顺序
数据包到达防火墙时,规则表之间的优先顺序:raw>mangle>nat>filter
规则链之间的匹配顺序
主机型防火墙
- 入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING --> INPUT -->本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序---->OUTPUT ----->POSTROUTING
网络型防火墙
转发数据(需要经过防火墙转发的数据包):PREROUTING -->FORWARD -->POSTROUTING
规则链内的匹配顺序
- 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
- 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
内核中数据包的传输过程
- 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
- 如果数据包是进入本机的,数据包就会到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后返回给发送方。
- 如果数据包是要转发出去的,且内核允许转发,数据包就会经过FORWARD链,然后到达POSTROUTING链输出。
iptables的安装和规则配置
CentOS 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装 iptables
#关闭防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
#安装并开启iptables服务
yum -y install iptables iptables-services
systemctl start iptables.service
配置方法
使用iptables 命令行
使用图形化管理工具system-config-firewall
使用iptables命令行
格式
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
注意事项
1.不指定表名时,默认指filter表
2.不指定链名时,默认指表内的所有链
3.除非设置链的默认策略,否则必须指定匹配条件
4.选项、链名、控制类型使用大写字母,其余均为小写
常用管理选项
-A 在指定链的末尾追加(- -append)一条新的规则
-I 在指定链的开头插入(- -insert)一条新的规则,未指定序号时默认作为第一条规则
-R 修改、替换(- -replace)指定链中的某一条规则,可指定规则序号或具体内容
-P 设置指定链的默认策略(- -policy)
-D 删除(- -delete)指定链中的某一条规则,可指定规则序号或具体内容
-F 清空(- -flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-L 列出(- -list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-n 使用数字形式(- -numeric)显示输出结果,如显示 IP 地址而不是主机名
-v 显示详细信息,包括每条规则的匹配包数量和匹配字节数
- -line-numbers 查看规则时,显示规则的序号
常用匹配条件
-p 指定要匹配的数据包的协议类型
-s 指定要匹配的数据包的源IP地址
-d 指定要匹配的数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机做使用的网络接口
–sport 指定源端口号
–dport 指定目的端口号
常用控制类型
ACCEPT 允许数据包通过。
DROP 直接丢弃数据包,不给出任何回应信息。
REJECT 拒绝数据包通过,会给数据发送端一个响应信息。
SNAT 修改数据包的源地址。
DNAT 修改数据包的目的地址。
MASQUERADE 伪装成一个非固定公网IP地址。
LOG 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包。
规则配置示例
查看规则 -nL
iptables -L //查看filter表中所有规则
iptables -nL //以数字形式显示
iptables -nL -t nat //查看nat表ACCEPT
iptables -nL --line-numbers //显示规则序号
iptables -t filter -F //清空 filter表内所有规则
添加规则 -A -l
-A,在末尾追加规则。
-I,在指定位置前插入规则。如果不指定,则在首行插入
#在INPUT链末尾追加规则 -t指定表名,-p指定协议,-j指定控制类型
[root@localhost ~]# iptables -t filter -A INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -nL
#在INPUT链第二行出入规则
[root@localhost ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -nL --line-numbers
例:
1.拒绝icmp协议的数据包, 即不允许其他主机ping本机 。REJECT
使用其他的主机ping不通本机,reject拒绝后会回应一条消息
2.丢弃icmp协议的数据包。DROP
使用其他的主机ping本机,drop丢弃数据包,不给出任何回应信息
3、-I,在指定位置前插入。如果不指定,则在首行插入。
iptables -nL --line-numbers,可以查看每条规则的序号
删除规则 -D
1、按序号删除,比较准确。
2、按内容删除,如果有2条相同内容,会删除序号小的那个
注意:
- 删除规则前,先想清楚会不会导致ssh断连。
- 如果链的默认规则是DROP,在使用iptables -F之前一定要慎重,可能会导致自己断连,断连后只能去机房解决。
例
按序号删除
删除INPUT链中的第2条规则
按内容删除
删除INPUT链中icmp协议REJECT的规则
修改规则
1、-R 直接修改。但一般不用这种形式。
2、可以先添加一条新规则,之后再删除旧规则。这样比较保险。
#方法1:使用-R直接修改
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP //原先设置的规则
[root@localhost ~]# iptables -R INPUT -p icmp -j ACCEPT //将DROP修改成ACCEPT
#方法2:先-A添加一条规则,之后再-D删除旧规则
[root@localhost ~]# iptables -A INPUT -p icmp -j ACCEPT //添加一条新规则
[root@localhost ~]# iptables -D INPUT -p icmp -j DROP //删除旧规则
设置默认策略 -p
未修改的状况下,默认策略为ACCEPT(允许)
注意:将默认策略修改为DROP前,一定要检查清楚链内是否设置了允许tcp协议22端口进行连接的规则。否则一旦修改为DROP,会导致ssh断连
iptables -P INPUT DROP //将默认策略修改为DROP
匹配条件
通用匹配
可直接使用, 不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件
协议匹配 -p 协议名
地址匹配 -s 源地址、-d 目的地址 。可以是IP、网段、域名、空(任何地址)
接口匹配 -i 入站网卡、-o 出站网卡
iptables -A INPUT ! -p icmp -j ACCEPT
#没有-t指定表,就是指默认表filter表
# !代表条件取反,不是icmp的都放通
iptables -A INPUT -s 192.168.136.10 -j REJECT
#拒绝从哪个主机发数据包过来(-s指定了源地址)
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
#在行首插入规则,丢弃该网段从ens33网卡进来的数据包
取反时需注意:例如设置“不是icmp的都放通”,即放通的协议中不包括icmp,这条规则没有针对icmp。那么icmp协议会向下查找匹配,如果匹配不到规则,那么就会取默认策略ACCEPT,则此时其他主机可以ping通本机。
例
1.不是icmp的都放通
2.拒绝192.168.136.10发来的数据包
使用192.168.136.10这台机器ping本机,ping不通。REJECT拒绝后,会显示回应信息
隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类 型等条件。
端口匹配
端口匹配:--sport 源端口、--dport 目的端口
可以是个别端口或者端口范围
格式 含义
--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport 1000: 匹配源端口是1000及以上的数据包
--sport :3000 匹配源端口是3000及以下的数据包
注意 :--sport 和 --dport 必须配合 -p <协议类型> 使用
例:
TCP标记匹配
--tcp-flags TCP标记
#TCP三次握手时的第一次握手,放行SYN为1的报文,拒绝其他包。
iptables -I INPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
#第二次握手放行SYN、ACK为1的报文,拒绝其他包。
iptables -I OUTPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
ICMP 类型匹配
--icmp-type ICMP类型
ICMP类型可以是字符串、数字代码
ICMP类型 含义
Echo-Request (代码为8)表示请求
Echo- -Reply (代码为0)表示回显
Dest ination-Unreachable (代码为3)表示目标不可达
(其他可用的icmp协议类型,可以执行iptables -p icmp -h 查看帮助信息)
例:
#丢弃icmp的包,别人ping不通本机,本机也ping不通别人
iptables -A INPUT -p icmp -j DROP
#丢弃icmp的请求,禁止其他主机ping本机,但本机可以ping其他主机
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
#当本机ping不通其它主机时提示目标不可达,此时其它主机需要配置关于icmp协议的控制类型为REJECT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
显示匹配
要求以“-m扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配
- -m multiport --sport 源端口列表
- -m multiport --dport 目的端口列表
例
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
ip范围匹配
-
-m iprange --src-range 源IP范围
-
-m iprange --dst-range 目的IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.72.100-192.168.72.200 -j DROP
禁止转发源地址位于192.168.72.100——192.168.72.200的udp数据包
MAC地址匹配
格式:
-m mac -- -mac- source MAC地址
例:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC地址的数据包通过本机转发
状态匹配
格式
-m state --state连接状态
常见连接状态
NEW 主机连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED 主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
RELATED 主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED配合使用
INVALID 无效的封包,例如数据破损的封包状态
例:
iptables -I INPUT -M state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#第一个包我只看22端口的包
#-p tcp是隐含匹配,可以省略-m tcp
iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
#允许放通tcp的这些端口号
#-m multiport加载多个端口模块
iptables -A INPUT -p udp --dport 53 -j ACCEPT
#放通UDP的53端口进来的包(DNS服务器返回信息时默认使用UDP的53端口)
iptables -A INPUT -p tcp -m state --state ESTABLISHED ,RELATED -j ACCEPT
#对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过。简单来说就是只允许所有自己发出去的包进来。
#比如我和你做生意,我们谈成了生意,到了支付的时候,就可以直接调用与这笔生意相关的支付功能。
iptables -P INPUT DROP
#默认关闭,将以上的设置设为白名单
防火墙规则的备份和还原
导出所有表的规则
iptables-save > /opt/ipt.txt
导入规则
iptables-restore < /opt/ipt.txt
(将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则)
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则
