一、Linux防火墙基础
1.Linux防火墙概术
Linux 系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口、协议等信息的处理上。
2.netfilter/iptables
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态"
iptables
- 位于/sbin/iptables,用来管理防火墙规则的工具
- 称为Linux防火墙的“用户态"
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat 和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
3.四表五链
规则表的作用: 容纳各种规则链
规则链的作用:容纳各种防火墙规则
总结:表中有链,链中有规则
四表:
- 在 iptables 的四个规则表中,mangle 表和 raw 表的应用相对较少。
- 数据包到达防火墙时,规则表之间的优先顺序:raw > mangle > nat > filter
| raw表: | 确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTTNG。 |
|---|---|
| mangle表: | 修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORMARD、PREROUTING、POSTROUTING。 |
| nat表: | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。 |
| filter表: | 负责过滤数据包,确定是否放行该数据包 (过滤)。包含三个规则链,INPUT、EORMARD、OUTPUT。 |
五链:
| INPUT: | 处理入站数据包,匹配目标IP为本机的数据包。 |
|---|---|
| OUTPUT: | 外理出站数据包,一般不在此链上做配置。 |
| FORWARD: | 处理转发数据包,匹配流经本机的数据包。 |
| PREROUDING链: | 在进行路由选择前处理数据包,用来修改目的地址,用来做DNA。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 |
| POSTROUZING链: | 在进行路由选择后处理数据包,用来修改源地址,用来做SAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。 |
4.规则链之间的匹配顺序
主机型防火墙:
- 入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING --> INPUT --> 本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序 --> OUTPUT -->POSTROUTING
网络型防火墙:
- 转发数据(需要经过防火墙转发的数据包) :PREROUTING --> EORWARD --> POSTROUTING
规则链内的匹配顺序:
- 自上向下按顺序依次进行检查,找到相匹配的规则即停止 (LOG策略例外,表示记录相关日志)
- 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
二、iptables 安装
CentOS 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装 iptables
systemctl stop firewalld.service
systemctl disable firewalld.service
yum -y install iptables iptables-services
systemctl start iptables.service
1.常用的控制类型
| 选项 | 说明 |
|---|---|
| ACCEPT: | 允许数据包通过。 |
| DROP: | 直接丢弃数据包,不给出任何回应信息。 |
| REJECT: | 拒绝数据包通过,会给数据发送端一个响应信息。 |
| SNAT: | 修改数据包的源地址。 |
| DNAT: | 修改数据包的目的地址。 |
| MASQUERADE: | 伪装成一个非固定公网IP地址。 |
| LOG: | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。 |
2.常用的管理选项
| 选项 | 说明 |
|---|---|
| -A: | 在指定链的末尾追加 (–append) 一条新的规则 |
| -I: | 在指定链的开头插入 (–insert) 一条新的规则,未指定序号时默认作为第一条规则 |
| -R: | 修改、替换(–replace) 指定链中的某一条规则,可指定规则序号或具体内容 |
| -P: | 设置指定链的默认策略 --policy) |
| -D: | 删除 (–delete) 指定链中的某一条规则,可指定规则序号或具体内容 |
| -F: | 清空(–flush) 指定链中的所有规则,若未指定链名,则清空表中的所有链 |
| -L: | 列出 (–list) 指定链中所有的规则,若未指定链名,则列出表中的所有链 |
| -n: | 使用数字形式(–numeric) 显示输出结果,如显示 IP 地址而不是主机名 |
| -v: | 显示详细信息,包括每条规则的匹配包数量和匹配字节数 |
| –line-numbers: | 查看规则时,显示规则的序号 |
三、示例演示
1.添加新的规则
iptables -t filter -A INPUT -p icmp -j REJECT
iptables -l INPUT 2 -p tcp --dport 22 -j ACCEPT
2.查看规则列表
iptables 【-t 表名】-n -L 【链名】【–line-numbers】
或 iptables -【vn】L
iptables -nL --line-numbers
#注意:不可以合写为 -Ln
3.删除规则
iptables -D INPUT 2 删除INPUT链中的第二个2规则 (按序号进行删除)
iptables -t filter -D INPUT -p icmp -j REJECT (完整格式删除)
注意!
- 若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
- 按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
- 按内容匹配删数时,确保规则存在,否则报错
4.清空规则
iptables 【-t 表名】 -F 【链名】
iptables -F INPUT 清空filter表中的INPUT链中所有规则
iptables -F 清空filter表中所有链中规则
注意!
- -F 仅仅是清空链中的规则,并不影响 -P 设置的默认规则,默认规则需要手动进行修改
- -P 设置了DROP后,使用 -F 一定要小心!
#防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决 - 如果不写表名和链名,默认清空filter表中所有链里的所有规则
四、规则的匹配
1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
协议匹配:-p 协议名
地址匹配:-s 源地址、-d 目的地址 #可以是IP、网段、域名、空(任何地址)
接口匹配:-i 入站网卡、-o 出站网卡
iptables -A FORWARD ! -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.80.11 -j DROP
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
端口匹配:–sport 源端口、–dport 目的端口
#可以是个别端口、端口范围
–sport 1000 匹配源端口是1000的数据包
–sport 1000:3000 匹配源端口是1000-3000的数据包
–sport :3000 匹配源端口是3000及以下的数据包
–sport 1000: 匹配源端口是1000及以上的数据包
注意!:–sport 和 --dport 必须配合 -p <协议类型> 使用
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP
3.显式匹配
要求以“-m 扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配:
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
IP范围匹配:-m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.142.100-192.168.142.200 -j DROP
#禁止转发源地址位于192.168.142.100-192.168.142.200的udp数据包
MAC地址匹配:-m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC 地址的数据包通过本机转发
状态匹配:-m state --state 连接状态
常见的连接状态:文章来源:https://www.toymoban.com/news/detail-465724.html
| 连接 | 状态 |
|---|---|
| NEW : | 与任何连接无关的,还没开始连接 |
| ESTABLISHED : | 响应请求或者已建立连接的,连接态 |
| RELATED : | 与已有连接有相关性的(如FTP 主被动模式的数据连接),衍生态,一般与ESTABLISHED 配合使用 |
| INVALID : | 不能被识别属于哪个连接或没有任何状态 |
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
#禁止转发与正常 TCP 连接无关的非–syn 请求数据包(如伪造的网络攻击数据包)
文章来源地址https://www.toymoban.com/news/detail-465724.html
到了这里,关于【Linux】iptables防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
