netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中。

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则。

由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上。

• 流入本机：PREROUTING --> INPUT–>用户空间进程
• 流出本机：用户空间进程 -->OUTPUT–> POSTROUTING
• 转发：PREROUTING --> FORWARD --> POSTROUTING

iptables介绍

-netfilter/iptables关系

netfilter： 属于“内核态”又称内核空间（kernel space）的防火墙功能体系。linux 好多东西都是内核态 用户态，那我们运维人员关注的是用户态， 内核我们关注不是很多，内核基本是我们开发人员关心的事情是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables :

属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

iptables由四个表table和五个链chain以及一些规则组成。

iptables表、链

表

• filter：过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表
• nat：network address translation 地址转换规则表
• mangle：修改数据标记位规则表
• raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度

优先级由高到低的顺序为： security -->raw-->mangle-->nat-->filter raw：主要用来决定是否对数据包进行状态跟踪 包含两个规则链，OUTPUT、PREROUTING mangle : 修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。 filter：负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即PREROUTING、POSTROUTING、OUTPUT

链

INPUT: 处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT: 处理出站数据包，一般不在此链上做配置。

FORWARD: 处理转发数据包，匹配流经本机的数据包。

PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

iptables配置

CentOS7默认使用firewalld防火墙，需先关闭firewalld防火墙。

基本语法

iptables [-t 规则表] 管理选项 [规则链] [匹配条件] [-j 处理动作]

iptables -t filter -A INPUT -s 192.168.0.1 -j DROP

管理选项部分

-A 向规则链中添加一条规则，末尾追加

-I 在规则链的指定位置插入一条规则，未指定序号默认作为第一条

-F 清除链中所有规则

-P 设置规则链的默认策略

-D 从规则链中删除一条规则

-R 替换规则链中的一条规则

-L 列出规则链中的所有规则

-n 所有字段以数字形式显示

-v 显示详细信息

--line-number 查看规则编号

-N 创建一个新的自定义规则链

-X 删除一个自定义规则链

-Z 清空规则链中所有规则的数据包和字节数统计

-S 看链的所有规则或者某个链的规则/某个具体规则后面跟编号

-E 重新命名规则链

#允许来自192.168.1.101的数据包进入INPUT链

• iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

#删除允许来自192.168.1.101的数据包进入INPUT链的规则

• iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT

#在INPUT链的第2条规则之前插入一条允许来自192.168.1.101的数据包进入的规则

• iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT

#将INPUT链中的第2条规则替换为拒绝来自192.168.1.101的数据包的规则

• iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP

#列出INPUT链中的所有规则

• iptables -L INPUT

#清空INPUT链中的所有规则

• iptables -F INPUT

#清空INPUT链的数据包和字节数统计

• iptables -Z INPUT

#将INPUT链的默认策略设置为DROP，即拒绝所有数据包

• iptables -P INPUT DROP

#将FORWARD链重命名为NFORWARD

• iptables -E FORWARD NFORWARD

#创建一个名为MYCHAIN的新规则链

• iptables -N MYCHAIN

#删除名为MYCHAIN的自定义规则链

• iptables -X MYCHAIN

匹配条件部分

• p 指定要匹配的 协议类型，例如TCP、UDP、ICMP等
• s 指定 源IP地址或地址范围
• d 指定 目标IP地址或地址范围
• i <网络接口> 指定 输入网络接口
• o<网络接口> 指定 输出网络接口
• m 指定 扩展模块，用于进一步定义匹配条件
• --icmp-type 指定ICMP类型
• --sport 指定源端口号或端口范围
• -- dport 指定目标端口号或端口范围

iptables -I INPUT -p icmp -j DROP

iptables -A FORWARD ! -p icmp -j ACCEPT //感叹号”!”表示取反

处理动作部分

• DROP 直接 丢弃数据包，不给出任何回应信息
• REJECT 拒绝数据包通过，会给数据发送端一个响应信息
• ACCEPT 允许数据包通过(默认)
• SNAT 修改数据包的源地址
• DNAT 修改数据包的目的地址
• LOG 在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则
• MASQUERADE 伪装成一个非固定公网IP地址

查看规则

iptables -vnL #查看所有规则表的规则

• v 详细信息
• n 数字形式显示
• L 查看规则列表

iptable -vnL -t [规则表] #查看规则表的规则链，默认filter表

扩展匹配条件（隐含扩展）

man iptables-extensions 查看扩展帮助

iptables 在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配

--sport和--dport 必须配合-p <协议类型>使用

--sport 源端口

--dport 目的端口

#可以是个别端口、端口范围，只能用于匹配连续的端口，以源端口匹配为例：

[root@localhost ~]#iptables -A INPUT -p tcp  --sport 10000:30000 -j REJECT 
#10000到30000 全部被拒

TCP标志匹配

TCP标记匹配: --tcp-flags

TCP标记：SYN,RST,ACK,SYN

#iptables允许通过来自ens33接口的,具有FIN、RST、ACK和SYN标志的TCP包

#丢弃SYN请求包，放行其他包

[root@localhost ~]#iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT

ICMP类型匹配

[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP         
#禁止其它主机ping本机
​
[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
#允许本机ping其它主机
​
[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT      
#当本机ping不通其它主机时提示目标不可达

显示扩展模块

显示扩展必须加 -m选项

multiport扩展 多端口

可用于匹配非连续的端口，以离散的方式匹配，最多支持15个端口。

iptables -A INPUT  -s 192.168.2.101 -p tcp -m multiport --dports 22,80,3306 -j REJECT 
#拒绝来自源IP地址为192.168.2.101的TCP流量，并且目标端口号为22、80和3306

iprange扩展 IP范围

iprange扩展功能模块用于在防火墙规则中匹配特定的IP地址范围。

基本格式

-m iprange --src-range IP范围

iptables -A INPUT  -m iprange --src-range 192.168.91.101-192.168.91.103 -j REJECT 
#拒绝来自源IP地址范围为192.168.91.101到192.168.91.103的所有流量，并且应用于INPUT链（也就是进入服务器的流量）

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包

mac扩展 MAC地址（一般不用）

mac模块用于匹配和处理MAC地址相关的防火墙规则，可以限制特定MAC地址的访问或过滤特定MAC地址的流量。（只有源MAC）

基本格式 -m mac --mac-source XX:XX:XX:XX:XX:XX

#根据源MAC地址匹配

string扩展 字符串

string模块用于在数据包的内容中搜索指定的字符串，并根据匹配结果执行相应的操作。

基本格式 -m string --string 字符串 --algo bm/kmp

#bm kmp为字符串检测算法

iptables -A INPUT -p tcp --dport 80 -m string --string "example" --algo bm -j DROP
#对于目标端口为80的TCP流量，在数据包的内容中搜索字符串"example"
#如果匹配成功，则使用DROP动作丢弃该数据包

time模块

time模块用于根据时间条件匹配数据包，可以限制特定时间段内进出防火墙的数据包。

基本格式

-m time --匹配选项 匹配条件

iptables -A INPUT -m time --timestart 08:00 --timestop 17:00 --datestart 2024-05-10 --datestop 2024-05-21 --days Mon-Fri -j ACCEPT
#在2024年5月10日至2024年5月21日期间的每个工作日的08:00至17:00之间，接受(ACCEPT)输入的数据
#如果不在指定的日期和时间范围内或不是工作日，则不匹配该规则

connlimit扩展 连接数量

connlimit扩展模块用于限制连接数量，根据活动连接数量的条件来控制数据包的流动。

基本格式

-m connlimit --connlimit-匹配选项 匹配条件

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT
#对于TCP协议、目标端口为80的数据包，如果活动连接的数量超过10个，则拒绝该连接

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 16 -j REJECT
#对于TCP协议、目标端口为22（SSH）的数据包
#如果同一子网的连接数量超过5个，拒绝连接

state 连接状态（重要）

基本格式

--state state 连接状态

iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
#对于输入的数据包，如果连接状态是NEW（新建连接）或ESTABLISHED（已建立连接），允许该数据包通过