一、iptables概述

Linux系统的防火墙：IP信息包过滤系统，它实际上由两个组件 netfilter 和 iptables 组成。
主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

1.netfilter 与 iptables 的关系

1）netfilter

netfilter 属于"内核态"（Kernel Space，又称为内核空间）的防火墙功能体系。
netfilter是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

2）iptables

iptables 属于"用户态"（User Space，又称为用户空间）的防火墙管理体系。
iptables 是一种用来管理Linux防火墙的命令程序，它使插入、修改、和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables 文件下。

2.四表五链

netfilter/iptables 后期简称为iptables，iptables 是基于内核的防火墙，其中内置了raw、mangle、nat 和 filter。

1）四表

• raw：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。
• mangle：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
• nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
• filter：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。

2）五链

• INPUT ：处理入站数据，匹配目标IP为本机的数据包。
• OUTPUT：处理出站数据，一般不在此链上做配置。
• FORWARD：处理转发数据，匹配流经本机的数据包。
• POSTROUTING：修改源IP。在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
• PREROUTING：修改目的IP，在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3）表的匹配优先级

raw表 → mangle表 → nat表 → filter表

4）规则链之间的匹配顺序

1. 入站数据 ：PREROUTING → INPUT → 本机的应用程序 \ \ \ \ \ \ 过滤数据包filter（INPUT）

2. 出站数据 ：本机的应用程序 → OUTPUT→ POSTROUTING \ \ \ \ \ \ 过滤数据包filter（OUTPUT）

3. 转发数据 ：PREROUTING → FORWARD → POSTROUTING \ \ \ \ \ \ 过滤数据包filter（FORWARD）

---

外网到内网修改目的IP nat（PREROUTING）
内网到外网修改源IP nat（POSTROUTING）

5）规则链内的匹配顺序

• 自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
• 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

二、iptables防火墙的安装及配置方法

1.iptables防火墙安装

Centos7默认使用 firewalld 防火墙，没有安装 iptables，若想使用 iptables 防火墙。必须先关闭 firewalld 防火墙，在安装iptables。

systemctl stop firewalld.services  ##关闭防火墙
systemctl disable firewalld.service  ##关闭防火墙的开机自启

yum install -y iptables iptables-service  ##下载iptables防火墙及服务
systemctl start iptables.service  ##开启iptables防火墙

2.iptables防火墙的配置方法

• 使用 iptables 命令行
• 使用system-config-firewall （Centos6可以使用）

1）iptables命令行配置方法

命令格式：
iptables 【-t 表名】 管理选项 【链名】 【匹配条件】 【-j 控制类型】

---

注意事项：
不指定表名时，默认指 filter 表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型的链名使用大小写字母，其余均为小写

---

2）常用的控制类型

• ACCEPT：允许数据包通过。
• DROP：直接丢弃数据包，不给出任何回应消息。
• REJECT：拒绝数据包通过，会给数据发送端一个响应消息。
• SNAT：修改数据包的源地址。
• DNAT：修改数据包的目的地址。
• MASQUERADW：伪装成一个非固定公网IP地址。
• LOG：在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

3）常用的管理选项

• -A：在指定链的末尾追加（–append）一条新的规则。
• -I：在指定链的开头插入（–insert）一条新的规则，未指定序号时默认作为第一条规则，也可以在链名后指定添加在第几行规则的上边。
• -R：修改、替换（–replace）指定链中的某一条规则，可指定规则序号或具体内容。
• -P：这是指定链的默认策略（–policy）
• -D：删除（–delete）指定链中的某一条规则，可指定规则序号或具体内容。
• -F：清空（–flush）指定链中的所有规则，若未指定链名，则清空表中的所有链。
• -L：列出（–list）指定链中的所有的规则，若未指定链名，则列出表中的所有链。
• -n：使用数字形式（–numeric）显示输出结果，如显示IP地址而不是主机名。
• -v：显示详细信息，包括每条规则的匹配包数量和匹配字节数。
• --line-numbers：查看规则时，显示规则的序号。

4）规则的增删改查

①查看规则

iptables 【-t 表名】 -n -L 【链名】【–line-numbers】

②增加规则

-A在指定链的末尾增加新的规则
iptables 【-t 表名】 -A 【链名】【匹配条件】 【-j 控制类型】

-I在指定链的末尾增加新的规则
iptables 【-t 表名】 -I【链名】【匹配条件】【-j 控制类型】

③删除规则

iptables 【-t 表名】 -D【链名】 【指定规则或编号】##-D删除指定链名内的指定规则

iptables 【-t 表名】 -F【链名】 ## -F 删除指定链名，清空链名内的所有规则，如果不指定链名则清空整个表内的规则

---

注意：
-F 仅仅是清空链中的规则，并不影响 -P 设置的默认规则，默认规则需要手动进行修改
-P 设置了DROP后，使用 -F 一定要小心
##防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可以重启主机解决。
如果不写表名和链名，默认清空filter表中所有链里的所有规则

④更改规则

iptables 【-t 表名】 -R <链名> <规则编号> <修改内容>

修改链的默认策略
iptables 【-t 表名】 -P <链名> <控制类型>

5）规则的匹配

1.通用匹配
可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配：-p 协议名
地址匹配：-s 源地址、-d 目的地址 #可以是IP、网段、域名、空（任何地址）
接口匹配：-i 入站网卡、-o 出站网卡

2.隐含匹配
要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配：–sport 源端口、–dport 目的端口
#可以是个别端口、端口范围
–sport 1000 ##匹配源端口是1000的数据包
–sport 1000:3000 ##匹配源端口是1000-3000的数据包
–sport :3000 ##匹配源端口是3000及以下的数据包
–sport 1000: ##匹配源端口是1000及以上的数据包
注意：–sport 和 --dport 必须配合 -p <协议类型> 使用

3.ICMP类型匹配
ICMP类型匹配：- -icmp-type ICMP类型#可以是字符串、数字代码。
“Echo-Request”（代码为8）表示 请求
“Echo-Reply”（代码为0）表示 回显
“Destination-Unreachable”（代码为3）表示 目标不可达
关于其他可用的ICMP协议类型，可以执行“iptables -p icmp -h”命令，查看帮助信息

#此时其它主机需要配置关于icmp协议的控制类型为 REJECT
iptables -A INPUT -p icmp -j REJECT

4.TCP标志位匹配：- -tacp-flags TCP标志位

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT

5.显示匹配
要求以“-m 扩展模块” 的形式明确指除类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

多端口匹配：
-m multiport - -sport 源端口列表
-m multiport - -dport 目的端口列表

IP范围匹配：
-m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP

MAC地址匹配：
-m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

状态匹配：
-m state --state 连接状态
常见的连接状态：
NEW ：主机连接目标主机，在目标主机上看到的第一个想要连接的包
ESTABLISHED ：主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进入该状态
RELATED ：主机已与目标主机进行通信，目标主机发起新的链接方式，一般与ESTABLISHED 配合使用
INVALID ：无效的封包，例如数据破损的封包状态

三、SNAT策略

SNAT策略简述：将从内网传给外网的数据包的源IP由私网IP转换成公网IP，并将从外网服务器响应返回到内网的数据包的目的IP由公网IP转换成私网IP

• SNAT 应用环境：局域网主机共享单个公网IP地址接入Internet（私有不能早Internet中正常路由）
• SNAT原理：修改数据包的源地址。
• SNAT转换前提条件：
  • 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
  • 2.Linux网关开启IP路由转发
    • 临时打开：echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forwared=1
    • 永久打开：
      • vim /etc/sysctl.conf
      • 加入内容：net.ipv4.ip_forward=1，保存退出
      • sysctl -p ##读取修改后的配置

SNAT环境准备：三台主机，一台私网主机、一台公网主机、一台做SNAT转换的网关服务器

首先我们在网关服务器上配置ip转换，配置文件为：/etc/sysctl.conf

--to(是--to-source的缩写)为转换后的地址也可以写一个地址范围比如192.168.60.100-192.168.60.200
iptables -t nat -A POSTROUTING -s 192.168.60.0.24 -o ens33 -j MASQUERADE ##非固定的公网IP地址（共享动态IP地址）

一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网

---

总结

SNAT 内网→外网 转换源地址

iptables -t nat -A POSTROUTING -s 源地址/网段 -o 出站网卡 -j SNAT --to 指定外网地址

四、DNAT策略

DNAT策略简述：将从外网发来的数据包的目的地址由公网IP/端口，转换成私网IP/端口

网关服务器再根据私网IP转发给内网服务器

将从内网服务器发来的应答响应数据包，的目的地址由私网IP/端口转换成公网IP/端口，然后继续转发给数据包发送过来时的源地址。

DNAT环境准备：三台主机，一台私网主机、一台公网主机、一台做DNAT转换的网关服务器

Linux抓包工具tcpdump

tcpdump抓包工具的使用方法
yum install -y tcpdump ##下载工具
tcpdump tcp -i ens32 -t -s 0 -c 100 and dst port ！22 and src net 192.168.60.0/24 -w xxx.cap保存
（1）tcp：ip icmp arp rarp 和 tcp udp icmp 只写协议选项等都要放到第一个参数的位置，用来过滤数据包的类型
（2）-i ens32：只抓经过接口ens33的包
（3）-t：不显示时间戳
（4）-s 0：抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓取完整的数据包
（5）-c 100：只抓取100个数据包
（6）and：表示“与”的意思可以不加
（7）dst port ！22：不抓取目标端口是22的数据包
（8）src net 192.168.60.0/24：数据包的源网段地址
（9）-w ./xxx.cap：保存成cap文件方便ethereal（即wireshark）分析

​

net：网段
host： IP地址
dst：目的
src：源
port：端口

---

我们跟着上面的DNAT来抓包看一下





直接用wireshark打开（直接双击就可以自动选择wireshark打开）

五、防火墙规则保存

将现有规则保存至文件：iptables-save > xxx
将保存规则的文件导入：iptables-restore < xxx
默认规则文件：/etc/sysconfig/iptables



想每次启动默认启用的规则可以保存到/etc/sysconfig/iptables 这个文件中或者将这个文件备份将我们保存的文件移动过来。