防火墙篇之iptables

目录

一.防火墙的概述

二.iptables基本原理

1.iptables防火墙具有4表5链

2.iptables命令的基本使用方法

三.filter过滤和转发控制

2.网络型防火墙案例

四.防火墙扩展规则

1.根据MAC地址过滤

2.基于多端口设置过滤规则

3.根据IP地址范围设置规则

五.配置SNAT实现共享上网

1.配置SNAT策略的概述

2.搭建内外网案例

---

一.防火墙的概述

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用。相同点： firewalld 和 iptables 防火墙都属于典型的包过滤防火墙或称之为网络层防火墙， firewalld 和 iptables 都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能， 内部结构都指向 netfilter 这一强大的网络过滤子系统（属于内核态）以实现包过滤放火墙功能

不同点：**iptables：**是一种为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的地的或具有某些协议特征的数据包应该如何处理，iptables 采用了“表” 和 “链” 的分层结构。配置文件位于/etc/sysconfig/iptables ；它一种静态防火墙 ；需要全部刷新策略否则丢失连接。

firewalld： firewalld 防火墙是CentOS 7 版本系统默认的防火墙管理工具，取代了之前的 iptables 防 火墙， firewalld 防火墙最大的优点在于支持动态更新以及加入了防火墙 “zone”（区）的概念，firewalld防火墙同时支持IPv4地址和IPv6地址。可以通过字符管理工具 firewall-config 和 图形化管理工具firewall-config 进行管理。优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用默认配置文件 /usr/lib/firewalld 中的数据。它有两种配置方法:运行时配置（不需要刷新）；永久配置（需要刷新）。

二.iptables基本原理

1.iptables防火墙具有4表5链

        4表分别是filter表、nat表、raw表、mangle表，

        5链分别是INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链。防火墙规则要求写在特定表的特定链中

熟悉iptables框架
1）iptables的4个表（区分大小写）：
    iptables默认有4个表，
    nat表（地址转换表）
    filter表（数据过滤表）
    raw表（状态跟踪表）
    mangle表（包标记表）。
2）iptables的5个链（区分大小写）：
    INPUT链（入站规则）
    OUTPUT链（出站规则）
    FORWARD链（转发规则）
    PREROUTING链（路由前规则）
    POSTROUTING链（路由后规则）

2.iptables命令的基本使用方法

 1）iptabels语法格式
 iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]

[root@proxy ~]# iptables  -t  filter  -I  INPUT -p  icmp  -j  REJECT
[root@proxy ~]# iptables -F    #清空所有规则
[root@proxy ~]# iptables -t filter -I  INPUT   -p  icmp  -j  ACCEPT
[root@proxy ~]# iptables  -I  INPUT  -p  icmp  -j  REJECT

注意事项与规律：

         //icmp协议（ping）

        可以不指定表，默认为filter表

        可以不指定链，默认为对应表的所有链

        按顺序匹配，匹配即停止，如果没有找到匹配条件，则执行防火墙默认规则

        选项/链名/目标操作用大写字母，其余都小写

目标操作：

        ACCEPT：允许通过/放行

        DROP：直接丢弃，不给出任何回应

        REJECT：拒绝通过，必要时会给出提示

        LOG：记录日志，然后传给下一条规则

iptables防火墙规则的条件 iptables防火墙可以根据很多规则进行过滤行为，具体常用的过滤条件 

2）iptables命令的使用案例

[root@proxy ~]# iptables -F           #清空所有规则（不指定表默认filter）
#-t 依次删除4个表的规则，如：iptables -t nat -F 
[root@proxy ~]# iptables  -t  filter  -A  INPUT  -p tcp  -j  ACCEPT
#追加规则至filter表中的INPUT链的末尾，允许任何人使用TCP协议访问本机

[root@proxy ~]# iptables  -I  INPUT  -p  udp  -j  ACCEPT(不写t默认filter)
-I与-A的区别：排序-I在前加，-A在后加
#插入规则至filter表中的INPUT链的开头，允许任何人使用UDP协议访问本机

[root@proxy ~]# iptables  -I  INPUT 2  -p  icmp  -j  ACCEPT
#插入规则至filter表中的INPUT链的第2行，允许任何人使用ICMP协议访问本机
查看iptables防火墙规则
[root@proxy ~]# iptables  -nL  INPUT                    #仅查看INPUT链的规则（指定链，不指定链默认所有）前面加- t指定哪一个表的链接，如：iptables  -t nat -nL OUTPUT 
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
防火墙自上而下匹配即停止

[root@proxy ~]# iptables  -L  INPUT  --line-numbers        #查看规则，显示行号
num  target     prot opt source         destination
1    ACCEPT     udp   --  anywhere     anywhere
2    ACCEPT     icmp --   anywhere     anywhere
3    ACCEPT     tcp  --   anywhere     anywhere

删除规则，清空所有规则
[root@proxy ~]# iptables  -D  INPUT  3
#删除filter表中INPUT链的第3条规则

[root@proxy ~]# iptables  -nL  INPUT                #查看规则，确认是否删除
[root@proxy ~]# iptables  -F
#清空filter表中所有链的防火墙规则

[root@proxy ~]# iptables  -t  nat  -F
#清空nat表中所有链的防火墙规则

[root@proxy ~]# iptables  -t  mangle  -F
#清空mangle表中所有链的防火墙规则

[root@proxy ~]# iptables  -t  raw  -F
#清空raw表中所有链的防火墙规则
设置防火墙默认规则
[root@proxy ~]# iptables  -t  filter  -P  INPUT  DROP     #设置INPUT链默认规则为DROP
[root@proxy ~]# iptables  -nL
Chain INPUT (policy DROP)
… …
[root@proxy ~]# iptables  -t  filter  -P  INPUT  ACCEPT     #设置INPUT链默认规则为ACCEPT

三.filter过滤和转发控制

根据防火墙保护的对象不同，防火墙可以分为主机型防火墙与网络型防火墙

主机型防火墙，主要保护的是服务器本机（过滤威胁本机的数据包）。

网络防火墙，主要保护的是防火墙后面的其他服务器，如web服务器、FTP服务器等。

 1.主机型防火墙案例

[root@proxy ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
[root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables  -A  INPUT -s  192.168.2.0/24  -j  DROP
#丢弃192.168.2.0/24网络中所有主机发送给本机的所有数据包
[root@proxy ~]# iptables -A  INPUT -s  114.212.33.12  -p tcp --dport 22 -j  REJECT
#拒绝114.212.33.12使用tcp协议远程连接本机ssh（22端口）

2.网络型防火墙案例

1）网络型防火墙案例准备

2）client主机配置IP、添加网关（网卡名称仅供参考，不能照抄）

[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
#修改/etc/sysctl.conf配置文件，可以实现永久有效规则，开启路由转发

3）在web1主机上启动http服务

[root@proxy ~]# iptables  -A  INPUT  -p icmp  \
 --icmp-type echo-request  -j  DROP
#仅禁止入站的ping请求，不拒绝入站的ping回应包

注意：关于ICMP的类型，可以参考help帮助，参考命令如下：

[root@proxy ~]# iptables -p icmp --help

四.防火墙扩展规则

iptables在基本过滤条件的基础上还扩展了很多其他条件，在使用时需要使用-m参数来启动这些扩展功能，语法如下： iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作 

1.根据MAC地址过滤

1）根据IP过滤的规则，当对方修改IP后，防火墙会失效

[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -s 192.168.4.10 -p tcp --dport 22 -j DROP
#设置规则禁止192.168.4.10使用ssh远程本机

但是，当client主机修改IP地址后，该规则就会失效，注意因为修改了IP，对client主机的远程连接会断开。 根据MAC地址过滤，可以防止这种情况的发生。

[root@client ~]# ip link show eth0                    #查看client的MAC地址
eth0:  mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff

[root@proxy ~]# iptables  -A  INPUT  -p tcp --dport 22\
 -m   mac --mac-source  52:54:00:00:00:0b  -j  DROP
#拒绝52:54:00:00:00:0b这台主机远程本机

2.基于多端口设置过滤规则

1）一次需要过滤或放行很多端口时会比较方便

[root@proxy ~]# iptables  -A  INPUT  -p tcp   \
 -m  multiport --dports  20,25,80,110,143,16501:16800  -j  ACCEPT
#一次性开启20,25,80,110,143,16501到16800所有的端口

提示，多端口还可以限制多个源端口，但因为源端口不固定，一般不会使用，限制多个源端口的参数是--sports.

3.根据IP地址范围设置规则

1）允许从 192.168.4.10-192.168.4.20 主机ssh远程登录本机

[root@proxy ~]# iptables  -A  INPUT  -p tcp  --dport  22  \
 -m  iprange  --src-range  192.168.4.10-192.168.4.20   -j  ACCEPT

注意，这里也可以限制多个目标IP的范围，参数是--dst-range,用法与--src-range一致。

2）禁止从 192.168.4.0/24 网段其他的主机ssh远程登录本机

[root@proxy ~]# iptables -A INPUT -p tcp --dport 22  -s 192.168.4.0/24  -j  DROP
查看模块帮助：man iptables-extensions

五.配置SNAT实现共享上网

1.配置SNAT策略的概述

 

  1）当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。 
   2）如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。 
   3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出

2.搭建内外网案例

1）环境

 这里，我们设定192.168.2.0/24网络为外部网络，192.168.4.0/24为内部网络。 现在，在外部网络中有一台web服务器192.168.2.100，因为设置了网关，client已经可以访问此web服务器了。但，如果查看web1的日志就会发现，日志里记录的是192.168.4.10在访问网页。 我们需要实现的效果是，client可以访问web服务器，但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP，希望访问外网，就需要伪装为公司的外网IP后才可以)。

 

2） 设置防火墙规则，实现IP地址的伪装（SNAT源地址转换）

1）确保proxy主机开启了路由转发功能
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            #开启路由转发
2）设置防火墙规则，实现SNAT地址转换
[root@proxy ~]# iptables  -t  nat  -A POSTROUTING \
 -s  192.168.4.0/24 -p tcp --dport 80  -j SNAT  --to-source 192.168.2.5
3）登陆web主机查看日志
[root@web1 ~]# tail  /var/log/httpd/access_log
.. ..
192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

通过日志会发现，客户端是先伪装为了192.168.2.5之后再访问的web服务器

4）动态伪装IP

[root@proxy ~]# iptables  -t  nat  -A POSTROUTING \
 -s  192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE

最后，所有iptables规则都是临时规则，如果需要永久保留规则需要执行如下命令:
安装iptables-services并启动服务，保存防火墙规则。
 

[root@proxy ~]# yum -y install iptables-services
[root@proxy ~]# systemctl start iptables.service
[root@proxy ~]# systemctl enable iptables.service
[root@proxy ~]# iptables -F
[root@proxy ~]# service  iptables save           #保存防火墙规则
ADSL: 家庭带宽

部分图片来自：https://www.cnblogs.com/fengdejiyixx/p/12506945.html