“Shell“iptales防火墙设置-Toy模板网

这篇具有很好参考价值的文章主要介绍了“Shell“iptales防火墙设置。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

一.Linux防火墙基础

1.1Linux包过滤防火墙概述

Linux 系统的防火墙: IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上

netfilter/iptables 关系:

netfiter: 属于“内核态” (Kernel Space，又称为内核空间）的防火墙功能体系
是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”

iptables:属于“用户态”(user Space，又称为用户空间) 的防火墙管理体系。
是一种用来管理Linux防火墙的命今程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下

位于/sbin/iptables，用来管理防火墙规则的工具
称为Linux防火墙的“用户态“

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了 raw、mangle、 nat 和 filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

1.2四表五链

规则表的作用: 容纳各种规则链
规则链的作用: 容纳各种防火墙规则
总结:表里有链，链里有规则

四表：

（1）raw表；确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
（2）mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTEPUT、FORWARD、PREROUTING、POSTROUTING
（3）nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、REROUTING、POSTROUTING
（4）filter表：负责过滤数据包，确定是否放行该数据包 (过滤)。包含三个规则链，INPUT、FORMARD、OUTPUT。

在 iptables 的四个规则表中，mangle 表和 raw 表的应用相对较少。

五链：

（1）INPUT;处理入站数据包，匹配目标IP为本机的数据包
（2）OUTPUT;处理出数据包，一般不在此链上做配置；
（3）FORWARD;处理转发数据包，匹配流经本机机的数据包。
(4）PREROUTING;在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
（5）POSTROUTING;在进行路出选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路出器NAT转换功能实现内网主机通过一个公网IP地址上网

数据包到达防火墙时，规则表之间的优先顺序：
raw > mangle > nat > filter

1.3规则链之间的匹配顺序

“Shell“iptales防火墙设置
1.主机型防火墙：

入站数据（来自外界的数据包，且目标地址是防火墙本机）：
PREROUTING --> INPUT --> 本机的应用程序

出站数据（从防火墙本机向外部地址发送的数据包）：
本机的应用程序 --> OUTPUT --> POSTROUTING

2.网络型防火墙：

转发数据（需要经过防火墙转发的数据包）：
PREROUTING --> FORWARD -->POSTROUTING

1.4规则链内的匹配顺序

自上向下按顺序依次进行检查，找到相匹配的规则即停上 (LOG策略例外，表示记求相关日志)
若在该链内找不到相匹配的规则，则按该链的默认策略处理(未修改的状况下，默认策略为允许)

1.5总结

iptables防火墙：是Linux系统防火墙的一种 Centos7以前的默认防火墙

组件：
netfilter：属于内核态的功能体系，是一个内核模块，由多个规则表组成，其中包括过滤数据包的规则集
iptables：属于用户态的管理工具，是一个应用程序，用来管理防火墙的规则集

四表五链：
表中有链，链中有规则
四表：
1.raw(数据包状态跟踪)
2.mangle(修改数据包内容)
3.nat(地址转换)
4.filter(过滤数据包)
五链：
1.INPUT(处理入站数据)
2.OUTPUT(处理出战数据)
3.FORWARD(处理转发数据)
4.POSTROUTING(修改源IP)
5.PREROUTING(修改目的IP)

表的匹配优先级：
raw > mangle > nat > filter
链的匹配顺序：
入站数据 PREROUTING --> INPUT --> 本机的应用程序过滤数据包filter(INPUT)
出站数据本机的应用程序 -> OUTPUT -> POSTROUTING 过滤数据包filter(OUTPUT)
转发数据 PREROUTING -> FORWARD -> POSTROUTING 过滤数据包filter(EORWARD)
外网到内网修改目的IP nat (PREROUTING)
内网到小网修改源I nat(POSTROUTING)

二.编写防火墙规则

2.1iptables防火墙的配置方法

1、使用iptables 命令行。
2、使用system-config-firewal1
iptables 命令行配置方法:

命令格式：

ptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项:

不指定表名时，欺认指flter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型使用人写字母，其余均为小写

常用的控制类型：

名称	作用
ACCEPT	允许数据包通过
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUEERADE	伪装成一个非固定公网IP地址
LOG	在/ar/log/message文件中记录日志信息，然后将数据包传递给下一条规则。LOG是一种辅助动作，并没有真正处理数据包

“Shell“iptales防火墙设置

常用管理选项：

选项	解释
-A	在指定链的末尾追加（–append）一条新的规则
-I	在指定链的开头插入（–insert）一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换（–replace）指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略（–policy）
-D	删除（–delete）指定链中的某一条规则，可指定规则序号或具体内容
-F	清空（–flush）指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出（–list）指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式（–numeric）显示输出结果，如显示 IP 地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
–line–number	查看规则时，显示规则的序号

2.2规则的匹配

通用匹配：
可以直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配: -p 协议名
地址匹配：-s 源地址，-d 目的地址 //可以是ip，网段，域名，空（任何地址）
接口匹配：-i 入站网卡， -o 出站网卡

命令格式：

iptables   -A   FORWARD   !     -p    icmp       -j     ACCEPT
iptables   -A   INPUT     -s    192.168.80.11    -j     DROP
iptables   -I   INPUT     -i    ens33 -s    192.168.80.0/24    -j     DROP

隐含匹配

要求以特定的协议匹配作为前提，包括端口，tcp标记，icmp类型等条件

端口匹配： --sport 源端口， --dport 目的端口

命令格式：

--sport 1000                 //匹配源端口是1000的数据包
--sport 1000：3000           //匹配源端口是1000-3000的数据包
--sport ：3000               //匹配源端口是3000及以下的数据包
--sport 1000：               //匹配源端口是1000及以上的数据包

注意: --sport 和 --dport 必须配合 -p<协议类型> 使用

2.3命令使用

（1）添加新的规则

用其他主机来ping其地址

（2）清空规则：
注意：
1.-F 仅仅是清空链中的规则，并不影响 -P 设置的默认规则，默认规则需要手动进行修改
2.-P 设置了DROP后，使用 -F 一定要小心！
#防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决
3.如果不写表名和链名，默认清空filter表中所有链里的所有规则