Linux防火墙之iptables

一. iptables防火墙的相关知识

1.1 防火墙的概念

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

硬件防⽕墙：通过硬件和软件的组合，基于硬件的防⽕墙保护整个内部网络安全。
软件防⽕墙：通过纯软件，单独使⽤软件系统来完成防⽕墙功能，保护安装它的系统。

另外：因为iptables是开源的，就安全系数来讲软件防火墙只能用于辅助硬件防火墙，无法做到真正的安全效果。此外软件防火墙也是需要占用硬件资源运行

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

Linux系统自带的软件防火墙：

iptables：Centos 5/6 系统默认防火墙
firewalld：Centos 7/8 系统默认防火墙

1.2 iptables的简介

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器，则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做数据包过滤时决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

1.3 netfilter/iptables 的关系

netfilter

属于的“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

两者之间的关系：

IPtable和netfilter共同组成了一个防火墙系统，iptables只是Linux防火墙的管理工具——命令行工具，或者也可以说是一个客户端的代理，netfilter是安全框架，并且真正实现防火墙功能的是 netfilter，它是Linux内核中的一部分。这两部分共同组成了包过滤防火墙，并且是免费使用，可以实现完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

二. iptables中的四表五链

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。
表中所有规则配置后，立即生效，不需要重启服务。

2.1 四表五链的关系

规则表的作用：容纳各种规则链
规则链的作用：容纳各种防火墙的规则
简单记忆就是：表中有链，链中有规则

2.2 iptables中的四表

表名	作用
raw	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle	修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口（通信五元素）。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

在iptables中 raw和mangle 表的运用相对较少

2.3 iptables中的五链

链名	作用
INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包。
PREROUTING	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

2.4 数据包到达防火墙的匹配流程

规则表中的优先顺序：raw >mangle>nat>filter

2.4.1 规则链之间的匹配顺序

类型1：主机型防火墙

入站数据（来自外界的数据包，且目标地址是防火墙本机）： PREROUTING --> INPUT -->本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING
类型2：网络型防火墙
转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

2.4.2 规则链内的匹配顺序

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

2.4.3 内核中数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。
如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

三. iptables的配置

3.1iptables命令行的使用（centos7和真实环境）

3.1.1iptables的安装

第一步：关闭 firewalld，且设置开机不自启

Centos 7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables 。

[root@localhost ~]#systemctl disable --now firewalld

第二步：安装 iptables ，启动服务

[root@localhost ~]#yum install -y iptables-services  iptables

[root@localhost ~]#systemctl start iptables

3.2.2 使用iptables命令行配置规则

命令格式：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型使用大写字母，其余均为小写

常用的控制类型：

控制类型	作用
ACCEPT	允许数据包通过(默认)
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

DROP 和REJECT的区别：前者是直接丢弃传输过来的数据包，并且不给予回应，使访问主机卡在访问页面没有任何提示。后者是拒绝该数据包的通过，并且给予访问主机提示，该访问被拒绝。

常用的管理选项：

常用的管理选项	作用
-A	在指定链的末尾追加(--append)一条新的规则
-I（大写i）	在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略(--policy)
-D	删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容
-F	清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

匹配的条件：

匹配的条件	作用
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
–sport	指定源端口号
–dport	指定目的端口号

四. iptables命令的规则配置运用

4.1 查看iptables的规则

4.1.1 粗略查看默认规则

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
#################
列出当前系统中所有iptables防火墙规则的命令。这个命令会显示所有的链（包括INPUT、OUTPUT和FORWARD）以及它们所包含的规则

[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

注意：当-nL同时使用时，n一定要在L 的前面，否则会报错，使用-vnL时也是如此，L要在最后面

4.1.2 指定表查看（指定表中链的查看）

[root@localhost ~]# iptables -t nat  -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
#####
iptables -t nat -vnL 是一个用于列出当前系统中所有iptables NAT（网络地址转换）规则的命令。这个命令会显示所有的链（包括PREROUTING、POSTROUTING和OUTPUT）以及它们所包含的规则。

[root@localhost ~]# iptables -t nat  -vnL  INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination      
###
iptables -t nat -vnL INPUT 是一个用于列出当前系统中所有iptables NAT（网络地址转换）规则中INPUT链的命令。这个命令会显示INPUT链所包含的规则。

4.2 添加规则

添加规则的两个常用选项：

-A，在末尾追加规则。
-I，在指定位置前插入规则。如果不指定，则在首行插入。

4.2.1 末尾追加规则（在指定的表和链中）

注意：iptables -F的清空虽然方便但是一定要在规则表的默认策略为允许的时候使用，如果
默认为drop会导致远程连接中止，只有重启原服务器才能解决
如果仅仅只需要清空一条链的规则，还要保存其他链的规则，就要指定链来清除（-t）

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@localhost ~]# iptables -t filter -A INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
############
iptables -F: 这个命令用于清空所有iptables规则，
即删除所有的输入、输出和转发链中的规则。

iptables -nL: 这个命令用于列出当前的iptables规则，其中
-n选项表示以数字形式显示IP地址和端口号，
-L选项表示列出规则。

iptables -t filter -A INPUT -p icmp -j REJECT: 
这个命令用于添加一条新的规则到INPUT链中。
-t filter指定要操作的表为filter表，
-A INPUT表示在INPUT链的末尾添加规则，
-p icmp表示匹配ICMP协议的数据包，
-j REJECT表示拒绝该数据包。

iptables -nL (再次执行): 这个命令再次列出当前的iptables规则，
可以看到已经添加了一条REJECT规则到INPUT链中，用于拒绝所有ICMP协议的数据包。

拒绝访问

删除规则

格式:

iptables -t 表名 -D 链名序号/内容
iptables -t 表名 -F [链名]

[root@localhost ~]# iptables -D INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
####
iptables: 这是 Linux 系统上用于配置防火墙规则的工具。
-D: 这个选项表示要删除一个规则。
INPUT: 这是 iptables 中的一个链，用于处理输入流量。
-p icmp: 这个选项指定要匹配的协议为 ICMP（Internet Control Message Protocol），即 Internet 控制报文协议。
-j REJECT: 这个选项指定如果匹配到符合条件的数据包，则执行拒绝操作。

修改规则

格式:

iptables -t 表名 -R 链名序号新规则内容
iptables -t 表名 -P 链名 ACCEPT/DROP/REJECT

[root@localhost ~]# iptables -t filter -nL --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ES
[root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 22 -j DROP
[root@localhost ~]# iptables -t filter -nL --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
9    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
10   INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
11   DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
12   REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
13   REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
####

查看规则

格式:iptables [-t 表名] -n -L [链名] [--line-numbers]
iptables -[vn]L
iptables -n -L --line-numbers

[root@localhost ~]# iptables -t filter -n -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
4    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
6    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
9    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
10   INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
11   DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
12   REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
13   REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
######
iptables: 这是Linux系统中的一个命令行工具，用于配置内核防火墙。
-t filter: 这个选项指定要操作的链为filter链，即过滤规则链。
-n: 这个选项表示以数字形式显示IP地址和端口号，而不是尝试将它们转换为主机名或服务名称。
-L INPUT: 这个选项表示要列出INPUT链中的规则。
--line-numbers: 这个选项表示在每条规则前面显示规则编号。

生产环境中通常使用白名单方式设置规则

格式:

iptables -t 表名 -A 链名匹配条件 -j ACCEPT
iptables -t 表名 -A 链名 -j DROP 或 iptables -t 表名 -P 链名 DROP

匹配条件

通用匹配：条件选项可直接使用

-p	协议
-s	源IP/网段/域名
-d	目的IP/网段/域名
-i	入站网卡接口
-o	出站网卡接口

隐含匹配：需要使用 -p 指定协议作为前提

-p tcp/udp --dport 目的端口/端口范围
-p tcp/udp --sport 源端口/端口范围
-p icmp --icmp-type 8(请求)/0(回显)/3(目标不可达)

显式匹配：需要使用 -m 指定模块

-m multiport --sport/--dport 端口列表
-m iprange --src-range/--dst-range IP范围
-m mac --mac-source 源MAC地址
-m state --state RELATED,ESTABLISHED[,NEW,INVALID] #RELATED,ESTABLISHED 用于放行返回的应答包进站

iptables规则修改后会立即生效！

保存，还原规则