iptables防火墙
Linux防火墙概念
什么是Netfilter?
Netfilter是Linux内核中的一个网络数据包处理框架。
它位于内核网络协议栈的关键位置,提供了多个挂钩点(hook points),用于在数据包的不同生命周期阶段进行处理。
这些挂钩点允许开发者(或者工具)在数据包经过时"插入规则",比如放行、丢弃、修改、NAT 转换等。
什么是iptables?
iptables是Linux系统内置的一款 防火墙工具,用于设置、维护和检查内核中的 netfilter 包过滤规则。它主要负责控制网络数据包的进出(流入、流出和转发),起到类似“交通警察”的作用,决定哪些数据包能通过,哪些要丢弃或转发。
Linux防火墙
Netfilter和iptables的关系:
Netfilter = 内核里的执行引擎
iptables = 用户空间的控制面板
核心概念
1.Netfilter框架
- iptables 不是单独的软件,而是一个命令行工具。
- 规则真正的执行者是 Linux 内核中的netfilter,iptables只是用来操作它。
2.表(tables)
iptables 中的规则被组织在不同的“表”中,不同的表有不同的功能: - filter:默认表,用于包过滤(允许/拒绝)。
- nat:用于网络地址转换(NAT),常见于共享上网、端口映射。
- mangle:用于修改数据包的标志(QoS、流量整形)。
- raw:用于配置连接跟踪(Connection Tracking)的例外。
3.链(chains)
每个表由多个“链”组成,链表示数据包经过的不同阶段: - INPUT:进入本机的数据包。
- OUTPUT:从本机发出的数据包。
- FORWARD:经过本机转发的数据包。
- PREROUTING:在路由前处理数据包(常用于 DNAT)。
- POSTROUTING:在路由后处理数据包(常用于 SNAT)。
4.规则(rules)
每条规则定义了匹配条件(比如源 IP、目标 IP、端口、协议等),以及匹配后的动作(允许、拒绝、丢弃、转发等)。
防火墙的主要构成(四表五链)
四表:raw(追踪)、mangle(登记)、nat(转换)、filter(过滤)
五链:PREROUTING、POSTROUTIN、INPUT、OUTPUT、FORWARD
规则链详解:
INPUT: 当收到访问防火墙本机地址的数据包(入站)。
OUTPUT: 当防火墙本机向外发送数据包(出站)。
FORWARD: 当接收到需要通过防火墙中转发送给其它地址的数据包(转发)。
PREROUTING: 在对数据包做路由选择之前。
POSTROUTING: 在对数据包做路由选择之后。
温馨提示:INPUT、OUTPUT主要用于主机型防火墙,切是主要修改添加规则的地方(一般都应用于INPUT上)。FORWARD主要用于网络型防火墙。
如下图所示(一个电脑中防火墙最基础的配置布局)
数据包过滤匹配流程
匹配即停止:一旦找到一条相匹配的规则(使用LOG日志操作的规则除外),则不再检查本链内后续的其他规则
如果找不到与数据包匹配的规则,就按照规则链的默认策略处理
(一旦前面有同性质同地域限制之类的条件,那么后面的条件限制就不管,只匹配前面的)
比如:1.允许192.168.11.0网段进行访问 2.拒绝192.168.11.101访问(那么第一条说了该网段可以访问,那么第二条就不作数)
防火墙规则配置
命令格式:iptables -t 【表名】【选项】【链名】【规则】
iptables -t 表名(raw mangle nat filter) 选项(-A -I -n -L -D -P -F) 链名(PREROUTING、POSTROUTIN INPUT OUTPUT FORWARD) 条件(通用 隐含 显示) -j 控制类型(ACCEPT DROP REJECT LOG )
补充说明:
1.如果没有-t选项那么表名默认为filter链名默认为INPUT
2.不指定链名时,默认指表内的所有链。
3.除非设置链的默认策略,否则必须指定匹配条件。
4.选项、链名、控制类型使用大写字母,其余均为小写。
配置选项和参数
基本操作的选项:
| 类型 | 选项 | 用途 |
|---|---|---|
| 添加新的规则 | -A | 在链的末尾追加一条规则 |
| -I | 在链的开头(或指定序号)插入一条规则 | |
| 查看规则列表 | -L | 列出所有的规则条目 |
| -n | 以数字形式显示地址、端口信息 | |
| -v | 以更详细的方式显示规则信息 | |
| –line-numbers | 查看规则时,显示规则的序列号 | |
| 删除、清空规则 | -D | 删除链内指定序号(或内容)的一条规则 |
| -F | 清空所有的规则 | |
| 设置默认策略 | -P | 为指定的链设置默认规则 |
| -h | 查看帮助命令信息 (–help) | |
| -R | 修改、替换指定链中的某条规则,可以指定序列号或者具体内容 |
规则匹配条件选项:
| 类型 | 条件类型 | 用法 |
|---|---|---|
| 通用匹配 | 协议匹配 | -p 协议名 |
| 地址匹配 | -s 源地址、 -d目的地址 | |
| 接口匹配 | -i入站网卡、 -o出站网卡 | |
| 隐含匹配 | 端口匹配 | –sport源端口、 --dport目的端口 |
| TCP标记匹配 | –tcp-flags 检查范围,被设置的标记 | |
| ICMP类型匹配 | –icmp-type ICMP类型 | |
| 显示匹配 | 多端口匹配 | -m multiport --sports | --dports 端口列表 |
| IP范围匹配 | -m iprange --src-range IP范围 | |
| MAC地址匹配 | -m mac --mac-source MAC地址 | |
| 状态匹配 | -m state --state 连接状态 |
数据包的常见控制类型
- ACCEPT:允许数据包通过。
- DROP:直接丢弃数据包,不给出任何回应信息。
- REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息。
- LOG:在 /var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。
- SNAT:修改数据包的源地址。
- DNAT:修改数据包的目的地址。
- MASQUERADE:伪装成一个非固定公网 IP 地址。
开始配置第一条规则
我们先查看已有的规则,再进行规则配置
iptables -nL
【示例】允许192.168.100.0/24网段使用TCP协议访问内部80端口。
iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 80 -j ACCEPT
通用匹配
通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。
- 协议匹配:
-p 协议名 - 地址匹配:
-s 源地址、-d 目的地址(可以是 IP、网段、域名、空(任何地址)) - 接口匹配:
-i 入站网卡、-o 出站网卡
1.协议匹配
【示例】
# 拒绝ICMP协议的数据包
iptables -I INPUT -p icmp -j DROP
# 允许UDP协议的数据包
iptables -A FORWARD -p udp -j ACCEPT
# 允许TCP协议的数据包
iptables -A FORWARD -p tcp -j ACCEPT
2.地址匹配
【示例】
# 拒绝来自192.168.80.11的数据包
iptables -A INPUT -s 192.168.80.11 -j DROP
# 允许来自192.168.100.0/24网段的数据包
iptables -A INPUT -s 192.168.100.0/24 -j ACCEPT
# 允许发往192.168.101.0/24网段的数据包
iptables -A FORWARD -d 192.168.101.0/24 -j ACCEPT
3.接口匹配
【示例】
# 拒绝从ens33网卡进入的来自192.168.80.0/24网段的数据包。
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
隐含匹配
隐含匹配要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
1.端口匹配
主要使用--sport 源端口、--dport 目的端口选项(可以是个别端口或者端口范围)。
端口格式要求:
--sport 1000:匹配源端口是 000的数据包--sport 1000:2000:匹配源端口是1000-2000的数据包--sport :2000:匹配源端口是2000及以下的数据包--sport 1000::匹配源端口是1000及以上的数据包
【示例】
# 允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# 拒绝源端口范围1000-3000的tcp数据包
iptables -A INPUT -p tcp --sport 1000:3000 -j REJECT
# 许转发目标网段192.168.100.0/24源端口53的udp数据包
iptables -A FORWARD -d 192.168.100.0/24 -p udp --sport 53 -j ACCEPT
2.TCP标记匹配
使用--tcp-flags TCP标记选项进行TCP标记匹配。
【示例】
# 丢弃SYN请求包,放行其他包
iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
3.ICMP类型匹配
使用--icmp-type ICMP类型选项(可以是字符串或者数字代码)
- Echo-Request(代码为 8):表示请求
- Echo-Reply(代码为 0):表示回显
- Destination-Unreachable(代码为 3):表示目标不可达
【示例】
# 实现我可以ping别人,别人不能ping我
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptbales -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -j REJECT
显示匹配
显式匹配要求以-m 扩展模块的形式明确指出类型,包括多端口、MAC 地址、IP 范围、数据包状态等条件。
1.多端口匹配
使用-m multiport --sport 源端口列表和-m multiport --dport 目的端口列表选项。
【示例】
# 允许目标端口为 80,22,8080,53 的 tcp 数据包
iptables -A INPUT -p tcp -m multiport --dport 80,22,8080,53 -j ACCEPT
2.IP范围匹配
使用-m iprange --src-range IP范围选项。
【示例】
# 禁止转发源地址位于192.168.100.100到192.168.100.200范围的udp数据包
iptables -A FORWARD -p udp -m iprange --src-range 192.168.100.100-192.168.100.200 -j DROP
3.MAC地址匹配
使用-m mac --mac-source MAC地址选项。
【示例】
# 禁止来自ac:07:75:21:53:37这个MAC地址的数据包通过本机转发
iptables -A FORWARD -m mac --mac-source ac:07:75:21:53:37 -j DROP
4.状态匹配
使用-m state --state 连接状态选项
状态列表:
- NEW:与任何连接无关的,还没开始连接。
- ESTABLISHED:响应请求或者已建立连接的,连接态。
- RELATED:与已有连接有相关性的(如 FTP 主被动模式的数据连接),衍生态,一般与 ESTABLISHED 配合使用。
- INVALID:不能被识别属于哪个连接或没有任何状态。
【示例】
# 只要主动建立过连接(比如你访问外网网站),返回的数据包会被放行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
网络型防火墙
以下是内网与外网的网络架构图:
我们往往需要在内网和外网之间添加一个防火墙来做内网和外网之间的安全连接。那么我们就可以使用一台服务器来做防火墙服务器,起到控制入口和出口网络的安全控制。
【示例】把192.168.12.0/24网段的ip以eth0网卡为出站口转化为192.168.11.21为公网进行外部上网。
1.开启路由转发功能
首先需要修改内核参数,使该服务器拥有路由功能。修改配置文件:/etc/sysctl.conf
net.ipv4.ip.forward = 1 # 开启路由转发功能
读取配置文件看是否修改成功。
$ sysctl -p
......
net.ipv4.ip.forward = 1
......
2.清除全部防护墙规则
查看默认的的防火墙规则:
iptables -nL
删除全部默认的防火墙:
iptables -F # 不添加链名默认删除全部
3.开始配置规则
配置nat链在POSTROUTING上做端口转换防火墙并且配置FORWARD链上的规则使来回数据能够通行,这样才能发送请求并且回复。
防火墙中nat转换nat链的配置命令:
iptables -t nat -I POSTRUTING -s 192.168.12.0/24 -o eth0 -j SNAT --to-source 192.168.11.21
配置FORWARD链上的规则使来回数据通行命令:
iptables -A FORWARD -s 192.168.12.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.12.0/24 -j ACCEPT
配置INPUT链上的过滤规则,把默认设置成DROP丢出,这样可以添加允许语句进行判断,使得服务器更加安全。
iptables -A INPUT -p tcp --dport 22 -s 192.168.11.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -P INPUT DROP
DNAT策略的应用
DNAT策略:端口映射
外网想要访问内网的服务器,这个时候就需要DNAT策略来实现,相当于端口映射。
【示例】把192.168.12.101服务器的80端口映射从eth0为入站口也就是映射到192.168.11.21这个IP,别人从这个IP对内进行访问
iptables -t nat -A PREROUTING -i eth0 -d 192.168.11.21 -p tcp --dprot 80 -j DNAT --to-destination 192.168.12.101
安全DNAT策略
安全的DNAT策略就是修改访问的端口,不让别人使用默认的端口进行访问。
【示例】修改的端口号,别人会用2346端口进行访问该服务的22号端口
iptables -t nat -A PREROUTING -i eth0 -d 192.168.11.21 -p tcp --dprot 2346 -j DNAT --to-destination 192.168.12.101:22