目录
Linux防火墙基础
iptables的表链结构
规则表
规则链
数据包过滤的匹配流程
规则表之间的顺序
规则链之间的顺序
规则链内部各条防火墙规则之间的顺序
编写防火墙规则
iptables的安装
基本语法,数据包控制类型
添加,查看,删除规则等基本操作
添加新的规则
查看规则列表
删除,清空规则
设置默认策略
规则的匹配条件
通用匹配
协议匹配
地址匹配
网络接口匹配
隐含匹配
端口匹配
ICMP类型匹配
显示匹配
多端口匹配
IP范围匹配
MAC地址匹配
状态匹配
Linux防火墙基础
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用在许多安全技术资料中,netfilter和iptables都用来指Linux防火墙,往往使读者产生迷惑netfilter和iptables的主要区别如下
netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,
属于"内核态"(KernelSpace,又称为内核空间)的防火墙功能体系
iptables:指的是用来管理Linux防火墙的命令程序,通常位于/sbin/iptables目录下,属
于"用户态"(UserSpace,又称为用户空间)的防火墙管理体系...
iptables的表链结构
iptables的作用是为包过滤机制的实现提供规则(或称为策路),通过各种不同的规则,告诉
netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则,iptables采用了"表"和"链"的的分层结构,如图
其中,每个规则"表"相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表;在
每个"表"容器内包括不同的规则"链",根据处理数据包的不同时机划分为五种链;而决定是否过滤或
处理数据包的各种规则,则是按先后顺序存放在各规则链中
规则表
为了从规则集的功能上有所区别,iptables管理着四个不同的的规则表,其功能分别由独立的内核模块实现。这四个表的名称、包含的链及各自的用途如下
filter表:filter表用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据包。
filter表对应的内核模块为iptable_filter,表内包含三个链,即INPUT、FORWARD、OUTPUT
nat表:nat(Network AddressTranslation,网络地址址转换)表主要用来修改数据包的IP地
址、端口号等信息。nat表对应的内核模块为iptable_nat,表内包含三个链,即PREROUTING、POSTROUTING、OUTPUT
mangle表:mangle表用来修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期),或者为数据包设置Mark标记,以实现流量整形、策略路由等高级应用。mangle表对应的内核模块为iptable_mangle,表内包含五个链,即PREROUTING. POSTROUTING、INPUT、OUTPUTFORWARD。
raw表:raw表是自1.2.9以后版本的iptables新增的表,1主要用来决定是否对数据包进行状态跟踪。raw表对应的内核模块为iptable_raw,表内包含两个链,即OUTPUTPREROUTING
规则链
在处理各种数据包时,根据防火墙规则的不同介入时机,iptables默认划分为五种不同的规则链。这五种链的名称、各自的介入时机如下
INPUT链:当收到访问防火墙本机地址的数据包(入站)时,应用此链中的规则
OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则
FORWARD链:当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时,应用此链中的规则
PREROUTING 链:在对数据包做路由选择之前,应用此链中的为规则
POSTROUTING链:在对数据包做路由选择之后,应用此链中的规则
其中,INPUT、OUTPUT链主要用在"主机型防火墙"中,即主要针对服务器本机进行保护的防火墙;而FORWARD、PREROUTING、POSTROUTING 链多用在"网络型防火墙"中,如使用Linux防火墙作为网关服务器,在公司内网与Internet之间进行安全控制
数据包过滤的匹配流程
iptables管理着四个默认表和五种链,各种防火墙规则依次存放在链中
规则表之间的顺序
当数据包抵达防火墙时,将依次应用 raw表、mangle表、rnat表和filter表中对应链内的规则(如果存在),应用顺序为raw→mangle→nat→filter
规则链之间的顺序
根据规则链的划分原则,不同链的处理时机是比较固定的,因此比规则链之间的应用顺序取决于数据包的流向
入站数据流向:来自外界的数据包到达防火墙后,首先被PREROUTIING链处理(是否修改数据包地址等),然后进行路由选择(判断该数据包应发往何处):如果果数据包的目标地址是防火墙本机(如Internet用户访问网关的Web服务端口),那么内核将其传递给IINPUT 链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序如httpd服务器)进行响应
转发数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING链处理,然后再进行路由选择;
如果数据包的目标地址是其他外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给
FORWARD链进行处理(允许转发或拦截、丢弃),最后交给POSTROUTING链(是否修改数据包的地址等)进行处理
出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网DNS服务时),首先
进行路由选择,确定了输出路径后,再经由OUTPUT链处理,最后再交给POSTROUTING链(是否修改
5数据包的地址等)进行处理
规则链内部各条防火墙规则之间的顺序
当数据包经过每条规则链时,依次按第一条规则、第二条规则则......的顺序进行匹配和处理。链内的过滤逍循"匹配即停止"的原则,一旦找到一条相匹配的规则(使用LOG日志操作的规则除外,2.2.3节会介绍),则不再检查本链内后续的其他规则。如果比对完整个链,也找不到与数据包相匹配的规则,就按照该规则链的默认策略进行处理
编写防火墙规则
在使用iptables防火墙之前,需要将firewalld防火墙先关掉,以免受到影响
[root@localhost ~]# systemctl stop firewalld.serviece
[root@localhost ~]# systemctl disable firewalld.serviceiptables的安装
Open Euler24.03的操作系统默认已经安装过iptables防火墙,如果未安装,可以使用如下方法进行安装
[root@localhost ~]# dnf -y install iptables iptables-services启动iptables防火墙设置开机自启动
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]# systemctl enable iptables.seervice
Created symlink from /etc/systemd/system/basic.tcarget.wants/iptables.service to
/usr/lib/systemd/system/iptables.service.
基本语法,数据包控制类型
防火墙规则基本格式
iptables[-t表名]管理选项[链名][匹配条件][-j控制类型]
其中,表名、链名用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表;管理选项表示iptables规则的操作方式,如插入、增加、删除、查看等;匹配条件用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;控制多类型指的是数据包的处理方式,如允许、拒绝、丢弃等
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在iptables防火墙体系中,最常用的几种控制类型如下
ACCEPT:允许数据包通过
DROP:直接丢弃数据包,不给出任何回应信息
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则
[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT此操作是其他主机无法ping通本机
添加,查看,删除规则等基本操作
在熟练编写各种防火墙规则之前,首先需要掌握如何查看规则则、添加规则、删除规则、清空链内规则等基本操作。下面将介绍iptables命令中常用的几个管理选项,如下表所示
| 类别 | 选项 | 用途 |
| 增加 | -A | 追加到最后一行 |
| -I | 插入到第一行(或指定序号) | |
| 查看 | -L | 列出所有规则 |
| -n | 以数字形式显示 | |
| -v | 详细信息 | |
| --line(--line-numbers) | 显示序号 | |
| 删除 | -D | 删除一条(指定序号或内容) |
| -F | 清空所有 | |
| 修改 | -R | 替换某条规则 |
| 设置默认 | -P | 设置默认规则 |
添加新的规则
添加新的防火墙规则时,使用管理选项"-A"、"-I",前者用来追加规则,后者用来插入规则。例如,若要在filter表INPUT链的末尾添加一条防火墙规则,可可以执行以下操作(其中"-p协议名"作为匹配条件)
[root@localhost ~]# iptables -t filter -A INPUT -j ACCEPT
当使用管理选项"-I"时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条。例如,
以下操作添加的两条规则将分别位于filter表的第一条、第二条(其中省略了"-tfilter"选项,默
认使用filter表)
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT查看规则列表
查看已有的防火墙规则时,使用管理选项"-L",结合"--1ine-numbers"选项还可显示各条规则在链内的顺序号。例如,若要查看filter表INPUT 链中的所有规则,并显示规则序号,可以执行以下操作
[root@localhost ~]# iptables -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- anywhere anywhere
2 ACCEPT icmp -- anywhere anywhere
3 REJECT icmp -- anywhere anywhere reject-with id
mp-port-unreachable
4 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
5 ACCEPT icmp -- anywhere anywhere
6 ACCEPT all -- anywhere anywhere
7 ACCEPT tcp -- anywhere anywhere state NEW tcp
dpt:ssh
8 REJECT all -- anywhere anywhere reject-witth ic
mp-host-prohibited
9 ACCEPT tcp -- anywhere anywhere当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。例如,若要以数字地址形式我查看filter表INPUT链中的所有规则,可以执行以下操作
[root@localhost ~]# iptables -n -L INPUT
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
REJECT icmp -- 0.0.0.0/0 0.0.0/0 reject-witth icmp-port-unreachable
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0删除,清空规则
删除一条防火墙规则,使用-D选项
[root@localhost ~]# iptables -D INPUT 3
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0删除所有规则使用选项-F
[root@localhost ~]# iptables -F INPUT
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination使用选项-F时,允许省略链名而清空指定所有链的规则
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]# iptables -t mangle -F设置默认策略
iptables的各条链中,默认策略是规则匹配的最后一个环节
--当找不到任何一条能够匹配数据包的规则时,则执行默认策略。默认策略的控制类型为ACCCEPT(允许)、DROP(丢弃)两种。例如,执行以下操作可以将filter表中FORWARD链的默认策略设为丢弃,OUTPUT链的默认策略设为允许
[root@localhost ~]# iptables -t filter -P FORWARDDROP
[root@localhost ~]# iptables -P OUTPUT ACCEPT规则的匹配条件
在编写防火墙规则时,匹配条件的设置起着决定性的作用。只有清晰、准确地设置好匹配条件,防火墙才知道要对符合什么条件的数据包进行处理,避免"误杀"'。对于同一条防火墙规则,可以指定多个匹
配条件,表示这些条件必须都满足规则才会生效。根据数据包的各种特征,结合iptables的模块结构,匹配条件的设置包括三大类:通用匹配、隐含匹配、显式匹配
通用匹配
通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。常见的通用匹配包括协议匹配、地址匹配、网络接口匹配
协议匹配
编写 iptables规则时使用"-p协议名"的形式指定,用来检查数据包所使用的网络协议
(--protocol),如tcp、udp、icmp和all(针对所有IP数据包)等,可用的协议类型存放于Linux
系统的/etc/procotols文件中。例如,若要丢弃通过 icmp协议访问防火墙本机的数据包,允许转发经过防火墙的除icmp协议之外的数据包,可以执行以下操作
[root@localhost ~]# iptables -I INPUT -p icmp -j DROP
[root@localhost ~]# iptables -A FORWARD ! -p icmp-j ACCEPT地址匹配
编写iptables规则时使用"-s源地址"或"-d目标地址"的形式指定,用来检查数据包的源地
址(--source)或目标地址(--destination)。IP地址、网段地址等都是可以接受的,但不建议使用主机名、域名地址(解析过程会影响效率)。例如,若要拒绝转发源地址为192.168.1.11的数据,允许转发源地址位于192.168.7.0/24网段的数据,可以执行此操作
[root@localhost ~]# iptables -A FORWARD -s 192.168.1.11 - j REJECT
[root@localhost ~]# iptables -A FORWARD -s 192.168.168.17.0/24 - j ACCEPT当遇到小规模的网络扫描或攻击时,封锁IP地址是比较没有效的方式。例如,若检测到来自某个网段(如10.20.30.0/24)的频繁扫描、登录穷举等不良企图,可立即添加防火墙规则进行封锁
[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 - j DROP
[root@localhost ~]# iptables -I FORWARD -s 10.2030.0/24 -j DROP网络接口匹配
编写 iptables规则时使用"-i接口名"和"-0接口名"的形式,用于检查数据包从防火墙的哪
个接口进入或发出,分别对应入站网卡(--in-interface)、出站网卡(--out-interface)
例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行此操作
[root@localhost ~]# iptables -A INPUT -i ens33 -s 10.69.0.0/8 - j DROP
[root@localhost ~]# iptables -A INPUT -i ens33 -:s 172.16.0.0/16 -j DROP
[root@localhost ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP隐含匹配
这种匹配方式要求以指定的协议匹配作为前提条件,相当于子条件,因此无法独立使用,其对应的功能由iptables在需要时自动(隐含)载入内核。常见的隐含匹配包括端口匹配、TCP标记匹配、ICMP类型匹配
端口匹配
编写iptables规则时使用"--sport源端口"或"--dport目标端口"的形式,针对的协议为
TCP或UDP,用来检查数据包的源端口(--source-port)或目标端口(--destination-port)。单个端口号或者以冒号":"分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式。例如,若要允许为网段192.168.4.0/24转发DNS查询数据包,可以执行此操作
[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 - j ACCEPT
[root@localhost ~]# iptables -A FORWARD -d 192.1684.0/24 -p udp --sport 53 - j ACCEPT构建Vsftpd服务器时,若要开放20、21端口,以以及用于被动模式的端口范围为24500
24600,可以参考以下操作设置防火墙规则。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:221 - J ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 - j ACCEPTICMP类型匹配
编写iptables规则时使用"--icmp-type ICMP类型"的形式,铁对的协议为ICMP,用来检查ICMP数据包的类型(--icmp-type)。ICMP类型使用字符串或数字代码表示,如"Echo-Request"(代码为8)、"Echo-Reply"(代码为0)、"Destination-Unreaachable"(代码为3),分别对应ICMP协议的请求、回显、目标不可达。例如,若要禁止从其他主机pin本机,但是允许本机ping其他主机,可以执行以下操作
[root@localhost ~]# iptables -A INPUT -p icmp --icmpp-type 8 -j DROP
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type0 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp --ісmp --icmpp-type 3 - j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP关于可用ICMP协议类型,可执行iptables -p icmp -h命令
[root@localhost~]# iptables -p icmp -h
Valid ICMP Types:
any
echo-reply (pong)
destination-unreachable
network-unreachable
host-unreachable显示匹配
这种匹配方式要求有额外的内核模块提供支持,必须手动以"m模块名称"的形式调用
相应的模块,然后方可设置匹配条件。添加了带显式匹配条件的的规则以后,可以执行"Ismodgrepxt_"命令查看到相关的内核扩展模块(如xt_multiport、xtt_iprange、xt_mac、xt_state)常见的显式匹配包括多端口匹配、IP范围匹配、MAC地址匹配己、状态匹配
多端口匹配
编写iptables规则时使用"-mmultiport--dports端口列表"、"-mmultiport--sports 端口列表"的形式,用来检查数据包的源端口、目标端口,多个端口之间以逗号进行分隔。例如,若要允许本机开放25、80、110、143端口,以便提供电子邮件服务,可执行此操作
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 j ACCEPTIP范围匹配
编写iptables规则时使用"-miprange--src-rangeIP范围"、"-m iprange --dst-range
IP范围"的形式,用来检查数据包的源地址、目标地址,其中IP范围采用"起始地址-结束地址"的形式表示。例如,若要禁止转发源IP地址位于192.168.4.21与192.168.4.28之间的TCP数据包,可执行此操作
[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange - -src-range192.168.4.21-192.168.4.28 j DROPMAC地址匹配
编写iptables规则时使用
"-mmac--mac-source MAC地址"的形式,用来检查数敢据包的源MAC
地址。由于MAC地址本身的局限性,此类匹配条件一般只适用于内部网络。例如,若要根据MAC地址封锁主机,禁止其访问本机的任何应用,可以执行此操作
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP状态匹配
编写iptables规则时使用"-mstate--state连接状态"的的形式,基于iptables的状态跟踪
机制用来检查数据包的连接状态(State)。常见的连接状态包括NEW(与任何连接无关的)、ESTABLISHED(响应请求或者已建立连接的)和RELATED(与已有连接有)相关性的,如FTP数据连接)。例如,若要禁止转发与正常TCP连接无关的非--syn请求数据包(如伪造的的网络攻击数据包),可以执行此操作
[root@localhost ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn - j DROP 若只开放本机的Web服务(80端口),但对发给本机的TCP应答数据包子以放行,其他
入站数据包均丢弃,则对应的入站控制规则可执行此操作
[root@localhost ~]# iptables -I INPUT -p tcp -m multipport --dport 80 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp -m state ---state ESTABLISHED - j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP