前言
所谓防火墙也称之为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则,允许或者限制网络报文通过。在这里主要通过iptables工具添加“规则”,Linux主机防火墙由用户态iptables工具+内核态netfilter模块来实现。
一般来说linux自带有软件防火墙: iptables是Centos 5/6 系统默认防火墙;firewalld是Centos 7/8 系统默认防火墙
防火墙概述
当客户端浏览器去访问web服务器的时候, 一个客户端的数据报文和服务器的交互流程一般如下图所示
所以为了使防火墙达到包过滤的目的, 我们需要在数据报文流经的路径上,设置一些关卡: 只有让所有进出的报文都流经这些关卡中, 同时我们在关卡上设置一些条件, 报文经过检查后,符合放行条件的才给放行, 而那些不符合不达标的条件的报文则会被阻止,不能够放行。
iptables
iptables是Linux系统的防火墙, IP信息包过滤系统,由两个组件netfilter和iptables组成。
在Linux主机中的防火墙“iptables”中,关卡就称之为“链”,所谓的条件就称之为“规则”,一般所说的配置使用防火墙,其意思就是在相应的链中添加规则。
netfilter
位于Linux内核中的包过滤防火墙功能体系
称为Linux防火墙的“内核态”
iptables
位于/sbin/iptables 是用来管理防火墙的命令工具
为防火墙体系提供过滤规则/策略 决定如何过滤或处理到达防火墙主机的数据包
成为Linux防火墙的“用户态”
四表五链
iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
规则表的作用:容纳各种规则链。
规则链的作用:容纳各种防火墙规则。
即表里有链,链里有规则。
四表
| 名称 | 含义 |
|---|---|
| raw | 确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING |
| mangle | 修改数据包内容,用来做流量整形,给数据包设置标记。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING |
| nat | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING |
| filter | 负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、 FORWARD、 OUTPUT |
五链
| 名称 | 含义 |
|---|---|
| INPUT | 处理入站数据包,匹配目标IP为本机的数据包。 |
| OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
| FORWARD | 处理转发数据包,匹配流经本机的数据包。 |
| PREROUTING | 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 |
| POSTROUTING | 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。 |
规则表之间的优先顺序
数据包到达防火墙 规则表之间的优先顺序:按照raw表=> mangle表 => nat表 => filter表 匹配(raw表优先级最大)
规则链之间的匹配顺序
数据包到达防火墙 规则链的匹配顺序:PREROUTING => FORWARD => POSTROUTING
自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志) 自上向下按顺序依次进行检查,第一条规则已匹配到,就不会再向下匹配 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
iptables命令配置规则
- 使用iptables命令行。
- 使用图形化管理工具system- config- firewall
Centos 7默认使用firewalld防火墙,没有安装iptables, 若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables
systemctl stop firewalld
setenforce 0
yum install -y iptables iptables-services
systemctl start iptables
关闭firewalld防火墙,安装iptables防火墙并开启
命令格式
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
注意不指定表名时,默认指定为filter表;不指定链名,默认指定为表内所有链。
常用控制类型
| 控制类型 | 含义 |
|---|---|
| ACCEPT | 允许数据包通过(默认) |
| DROP | 直接丢弃数据包,不给出任何回应信息 |
| REJECT | 拒绝数据包通过,会给数据发送端一个响应信息 |
| SNAT | 修改数据包的源地址 |
| DNAT | 修改数据包的目的地址 |
| MASQUERADE | 伪装成一个非固定公网IP地址 |
| LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包 |
常用管理选项
| 管理选项 | 含义 |
|---|---|
| -A | 在指定链的末尾追加(--append)一条新的规则 |
| -I | 在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则 |
| -R | 修改、替换(--replace) 指定链中的某一条规则,可指定规则序号或具体内容 |
| -P | 设置指定链的默认策略(--policy) |
| -D | 删除(--delete) 指定链中的某一条规则,可指定规则序号或具体内容 |
| -F | 清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链 |
| -L | 列出(--list) 指定链中所有的规则,若未指定链名,则列出表中的所有链 |
| -n | 使用数字形式(--numeric) 显示输出结果,如显示IP地址而不是主机名 |
| -v | 显示详细信息,包括每条规则的匹配包数量和匹配字节数 |
| --line-numbers | 查看规则时,显示规则的序号 |
匹配条件
| 条件 | 说明 |
|---|---|
| -p | 指定要匹配的数据包的协议类型 |
| -s | 指定要匹配的数据包的源IP地址 |
| -d | 指定要匹配的数据包的目的IP地址 |
| -i | 指定数据包进入本机的网络接口 |
| -o | 指定数据包离开本机做使用的网络接口 |
| -sport | 指定源端口号 |
| -dport | 指定目的端口号 |
iptables增删改查操作
iptables -nL 查询列表中所有
iptables -F 清空所有列表
iptables -A,在末尾追加规则
iptables -I,在指定位置前插入规则。如果不指定,则在首行插入
iptables -D 删除规则
iptables -R 直接修改
iptables -P 设置默认策略
匹配条件
通用匹配:可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件
协议匹配:-p 协议名 地址匹配:-s 源地址、-d 目的地址 接口匹配:-i 入站网卡、-o 出站网卡
隐含匹配:要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件
- 端口匹配:--sport [源端口] --dport [目的端口]
- TCP标记匹配:--tcp-flags [检查范围] [被设置的标记]
- ICMP类型匹配:--icmp-type ICMP类型(ICMP类型有8(代表请求)、0(代表回显)、3(代表目标不可达))
eg: iptables -A INPUT -p icmp --icmp-type 8 -j DROP (别人ping本机主机的请求被丢弃,8代表请求)
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT (本机ping别人时,回来的包被允许(一去一回才知道ping没ping通),0带表回来的icmp包)
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT(3也是代表请求,主机不可达,不常用)
iptables -p icmp -h (查看ICMP类型)
显式匹配:要求以“-m 扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件\
- 多端口匹配:-m multiport --sports 源端口列表
-m multiport --sports 目的端口列表
eg:iptables -A INPUT -p tcp -m multiport --dport 20,21,53,80 -j ACCEPT
- IP范围匹配:-m iprange --src-range IP范围
eg:iptables -A FORWARD -p tcp -m iprange --src-range 192.168.142.10-192.168.142.20 -j ACCEPT 允许转发源地址位于192.168.142.10——192.168.142.20的tcp数据包
- MAC地址匹配:-m mac --mac-source MAC地址
eg:iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
禁止来自某MAC地址的数据包通过本机转发
- 状态匹配:-m state --state 连接状态
NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
RELATED:主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED配合使用
INVALID:无效的封包,例如数据破损的封包状态
eg:只开放本机的Web服务,但对发给本机的TCP应答报文予以放行,其他入站报文均丢弃
iptables -P INPUT DROP
iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
黑白名单
黑名单模式:在黑名单的IP就不能访问我们的设备;
白名单模式:只有白名单的IP可以访问我们的设备,其他IP均不能访问我们设备。
黑名单
默认所有IP是都可以访问设备
将黑名单的ip禁止访问
#清空规则
iptables -F
#默认INPUT访问允许
iptables -P INPUT -j ACCEPT
#开放22 23 端口
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#关闭21端口
iptables -A INPUT -p tcp --dport 21 -j DROP
#禁止ip(自定义)可以访问设备,黑名单就按类似规则增加就可以
iptables -A INPUT -s 192.168.142.10 -j DROP
白名单
默认所有IP都不可以访问设备
将白名单的IP允许访问,127.0.0.1回环地址一定要默认加入白名单
#清空规则
iptables -F
#默认INPUT访问禁止(用ssh协议连接时想清楚会不会断连ssh)
iptables -P INPUT -j DROP
#开放22 23 端口
iptables -A INPUT -p tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#关闭21端口
iptables -A INPUT -p tcp --dport 21 -j DROP
#开放ip(自定义)可以访问设备,白名单就按类似规则增加就可以
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s 192.168.142.10 -j ACCEPT
#开放所有设备主动访问的服务器,处在RELATED,ESTABLISHED状态可以通信,这样设备需要主动访问的服务器就不用一个一个添加到白名单了
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
备份恢复
保存规则的命令是“service iptables save”,它会将防火墙规则保存到**/etc/sysconfig/iptables**文件内,这个文件就是iptables的配置文件。
备份规则的命令是“iptables-save > filename”,而恢复规则的命令是“iptables-restore < filename”,其中,filename指文件名;
service iptables save (默认的保存方式) 保存到: /etc/sysconfig/iptables
iptables-save >> name.bak (重定向到一个文件中,备份)
iptables-restore < name.bak (从文件中还原)
