iptables防火墙-EW帮帮网

功能：iptables 是 Linux 内核中用于配置 IPv4 数据包过滤规则的工具，可以实现数据包的过滤、NAT 转换和端口转发等功能。
结构：iptables 使用表（tables）和链（chains）的概念来组织规则。常见的表包括 filter、nat 和 mangle，而预定义的链包括 INPUT、OUTPUT 和 FORWARD 等。
语法：iptables 的命令行语法相对复杂，需要指定规则的匹配条件、动作和目标等信息。管理员可以通过添加规则来允许或拒绝特定类型的网络流量。
状态跟踪：iptables 可以与连接跟踪（conntrack）一起使用，帮助实现状态相关的数据包过滤，如保持连接的状态或根据连接状态进行过滤。

nftables

功能：nftables 是 iptables 的继任者，提供了更灵活、更强大的数据包过滤和网络地址转换功能。它支持 IPv4 和 IPv6，并逐渐取代 iptables 成为主流的包过滤工具。
结构：nftables 使用表（tables）、链（chains）和规则（rules）的概念，以一种更简洁和直观的语法来配置网络流量规则。
语法：nftables 的语法更加现代化和易读，支持更丰富的操作符和表达式，使得管理员能够更轻松地编写复杂的规则。
性能：nftables 被设计为比 iptables 更高效，并具有更好的性能。它更适合于处理大规模的网络流量和复杂的过滤需求。

三.四表五链

四个主要的表

filter 表：
用于控制数据包的转发和最终目的地。在此表中添加的规则通常用于实现基本的数据包过滤功能，如允许或拒绝特定端口的流量。
nat 表：
用于执行网络地址转换（NAT），可以修改数据包的源地址或目的地址，实现端口转发等功能。此表通常用于实现网络地址转换和端口映射。
mangle 表：
用于修改数据包的内容，如修改数据包的 TTL（生存时间）、标记数据包、更改服务类型等。该表通常被用于进行高级的数据包处理。
raw 表：
用于配置数据包的连接状态跟踪规则，可以影响数据包如何被连接跟踪机制处理。一般情况下，该表用于配置连接跟踪机制。

优先级由高到低的顺序为：

security -->raw-->mangle-->nat-->filter

五个预定义的链

INPUT 链：
用于处理进入本机的数据包，即目的地址为本机的数据包经过此链。
OUTPUT 链：
用于处理由本机发出的数据包，即源地址为本机的数据包经过此链。
FORWARD 链：
用于处理需要进行转发的数据包，即既不是来自本机也不是发往本机的数据包经过此链。
PREROUTING 链：
用于在数据包进入路由之前进行处理，即数据包到达本机之前经过此链。
POSTROUTING 链：
用于在数据包离开路由之后进行处理，即数据包离开本机之后经过此链。

规则链之间的匹配顺序报文流向：

流入本机：PREROUTING --> INPUT-->用户空间进程

流出本机：用户空间进程 -->OUTPUT--> POSTROUTING

转发：PREROUTING --> FORWARD --> POSTROUTING

四.iptables

1.iptables安装启动

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

[root@localhost ~]# systemctl  stop  firewalld
[root@localhost ~]# setenforce 0
[root@localhost ~]# yum install iptables iptables-services  -y
[root@localhost ~]# systemctl start iptables.service

2.iptables配置方式

使用iptables命令行

基本格式：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

-t nat filter 如果不指定默认是filter

注意事项：
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

iptables语法总结：

iptables	table	command	chain	parameter	target
	-t filter	-A	INPUT FORWARD OUTPUT PREROUTING POSTROUTING	--p -s -d -i -o --sport --dport	-j ACCEPT -j DROP -j REJECT
		-D
		-I
		-R
		-L
		-F
		-Z
		-N
		-X
		-P

数据包常见的控制类型

控制类型	作用
- ACCEPT	允许数据包通过。
- DROP	直接丢弃数据包，不给出任何回应信息。
- REJECT	拒绝数据包通过，必要时会给数据发送端一个响应信息。
- LOG	在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。
- SNAT	修改数据包的源地址。
- DNAT	修改数据包的目的地址。
- MASQUERADE	伪装成一个非固定公网IP地址。

常见的管理选项

管理选项	用法示例
-A	在指定链末尾追加一条 iptables -A INPUT （操作）
-I	在指定链中插入一条新的，未指定序号默认作为第一条 iptables -I INPUT （操作）
-P	指定默认规则 iptables -P OUTPUT ACCEPT （操作）
-D	删除 iptables -t nat -D INPUT 2 （操作）
-p	服务名称 icmp tcp
-R	修改、替换某一条规则 iptables -t nat -R INPUT （操作）
-L	查看 iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL （查看）
-v	查看时显示更详细信息，常跟-L一起使用（查看）
--line-number	规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F	清除链中所有规则 iptables -F （操作）
-N	新加自定义链
-X	清空自定义链的规则，不影响其他链 iptables -X
-Z	清空链的计数器（匹配到的数据包的大小和总和）iptables -Z
-S	看链的所有规则或者某个链的规则/某个具体规则后面跟编号
-E	修改自定义链的名称

常见的参数

参数	说明
-p	指定协议（如TCP、UDP、ICMP等）
-s	指定源IP地址或IP地址范围。
-d	指定目标IP地址或IP地址范围
-i	指定进入网络接口。
-o	指定离开网络接口。
--sport	指定源端口号或端口范围。
--dport	指定目标端口号或端口范围。

示例：

（1）查看规则表

-L	查看 iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL （查看）
-v	查看时显示更详细信息，常跟-L一起使用（查看）
--line-number	规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number

查看filter 表 INPUT 链中的所有规则（注意选项L需要写在后面）

查看filter 表 INPUT 链中的所有规则，并显示规则序号

（2）清除链中所有规则 iptables -F （操作）

（3）添加新的防火墙规则

1>使用A选项添规则

添加一条规则不允许任何主机ping本主机（-p 协议名作为匹配条件）

方法一：REJECT控制类型

测试结果（有提示信息）

方法二：DROP控制类型

测试结果（没有提示信息）

2>使用I选项插入规则

插入一条规则允许任何主机通过ssh端口连接本机

测试结果

（4）替换规则

添加一条规则阻止来自IP地址为192.168.91.101的源地址的流量，即丢弃该流量。

测试，通过该地址主机ping本机

替换这条规则为允许该地址所有流量通过（1为该规则的序号）

测试结果

（5）删除规则

可以找到指定规则进行删除

iptables [-t 表名] -D [链名] [匹配条件] [-j 控制类型]

也可以找到规则的序号进行删除

iptables [-t 表名] -D 序号

（6）设置默认策略

格式：iptables [-t表名] -P <链名> <控制类型>

示例：

将主机型防火墙控制类型设置为DROP

-P设置了DROP后，使用-F仅仅是清空链中的规则并不会影响设置的默认规则，如果使用-F，那么所有的规则清除后，则使用默认策略DROP，将会使远程连接断连。使用重启服务器解决 systemctl restart iptables 或者重启服务器

五.通用匹配和隐含扩展

1.通用匹配

直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件

-p 参数：表示匹配的是数据包的协议类型，例如TCP、UDP、ICMP等。可以使用-p all表示匹配所有协议。
--sport 和 --dport 参数：分别表示源端口和目标端口。可以用于过滤特定的TCP或UDP连接，也可以用于限制访问某些服务的端口。
-s 和 -d 参数：分别表示源IP地址和目标IP地址。可以用于限制特定IP地址的访问、阻止来自某些IP地址的攻击等。
-i 和 -o 参数：分别表示进入和离开的网络接口。可以用于限制特定网络接口的数据流量。
--state 参数：表示匹配已经建立、相关或者新建的连接状态。可以用于限制特定连接状态的数据流量。
-m 参数：表示使用特定的匹配模块。iptables提供了多种匹配模块，例如mac、geoip、comment等，可以根据需要选择不同的模块进行匹配。
! 参数：表示反向匹配。可以用于排除某些匹配条件。

示例：

（1）允许所有回环地址的流量通过，匹配输入接口为lo（即本地回环接口）的数据包

2.隐藏扩展

man iptables-extensions //查看扩展帮助

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件

端口匹配: --sport 源端口、--dport 目的端口可以是个别端口、端口范围

[!] --source-port, --sport port[:port]：匹配报文源端口,可为端口连续范围
[!] --destination-port,--dport port[:port]：匹配报文目标端口,可为连续范围
[!] --tcp-flags mask comp
     mask 需检查的标志位列表，用,分隔 , 例如 SYN,ACK,FIN,RST
     comp 在mask列表中必须为1的标志位列表，无指定则必须为0，用,分隔tcp协议的扩展选项

--tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个，其中SYN必须为1，余下的必须为0，第一次握手
--tcp-flags SYN,ACK,FIN,RST SYN,ACK 第二次握手
#错误包

--tcp-flags ALL ALL  
--tcp_flags ALL NONE
--sport 1000          匹配源端口是1000的数据包
--sport 1000:3000     匹配源端口是1000-3000的数据包
--sport :3000         匹配源端口是3000及以下的数据包
--sport 1000:         匹配源端口是1000及以上的数据包
注意: --sport和--dport 必须配合-p <协议类型>使用
端口可以使用的范围  0-65535

示例：

（1）拒绝100到300源端口流量通过

（2）丢弃SYN请求包，放行其他包

3.ICMP类型匹配

格式：--icmp-type ICMP类型，可以是字符串、数字代码

"Echo- Request" (代码为8)表示请求

"Echo- Reply" (代码为0)表示回复

"Dest ination-Unreachable" (代码为3)表示目标不可达

关于其它可用的ICMP协议类型，可以执行“iptables -p icmp -h”命令，查看帮助信息

示例：

（1）禁止其他主机ping本机

（2）允许本机ping其他主机

（3）当本机ping不通其它主机时提示目标不可达

4.显示扩展模块

显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块

[-m matchname [per-match-options]]

4.1 multiport 扩展

以离散方式定义多端口匹配,最多指定15个端口

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 50,80,53,21,22,20 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

示例：

开放50,80,53,21,22,20多个端口

4.2 IP范围匹配 iprange扩展

指明连续的（但一般不是整个网络）ip地址范围

--src-range from[-to] 源IP地址范围
--dst-range from[-to] 目标IP地址范围

示例：

禁止192.168.240.10-192.168.240.20范围内的主机icmp协议的流量通过

4.3 mac地址匹配

mac 模块可以指明源MAC地址,，适用于：PREROUTING, FORWARD，INPUT chains

格式：-m mac --mac-source mac地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

禁止来自某MAC地址的数据包通过本机转发

示例：

禁止来自00:0C:29:45:B4:44mac地址的数据包通过

4.4 state 状态匹配

状态类型：

NEW：新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求
ESTABLISHED：NEW状态之后，连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED：新发起的但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系
INVALID：无效的连接，如flag标记不正确
UNTRACKED：未进行追踪的连接，如：raw表中关闭追踪

格式：
 --state state
 ipatables  -A INPUT -m state --state   NEW            -j  REJECT
ipatables  -A INPUT  -m state --state  ESTABLISHED    -j   ACCEPT
//新用户不可以访问   旧用户可以访问

示例：

六. 规则优化，实践

安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条，效率更高
谨慎放行入站的新请求
有特殊目的限制访问功能，要在放行规则之前加以拒绝
同类规则（访问同一应用，比如：http ），匹配范围小的放在前面，用于特殊处理
不同类的规则（访问不同应用，一个是http，另一个是mysql ），匹配范围大的放在前面，效率更高
应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率
设置默认策略，建议白名单（只放行特定连接）

A:iptables -P，不建议，容易出现“自杀现象”

B:规则的最后定义规则做为默认策略，推荐使用，放在最后一条

七.永久保存规则

用脚本保存各个iptables命令；让此脚本开机后自动运行

在 .bashrc文件添加

在/etc/rc.d/rc.local文件添加

iptables-save > /opt/iptables
vim ~/.basrc
iptables-restore < /opt/iptables

[root@centos7 ~]#yum -y install iptables-services
[root@centos7 ~]#cp /etc/sysconfig/iptables{,.bak}
#保存现在的规则到文件中方法1
[root@centos7 ~]#/usr/libexec/iptables/iptables.init save
#保存现在的规则到文件中方法2
[root@centos7 ~]#iptables-save > /etc/sysconfig/iptables
#开机启动
[root@centos7 ~]#systemctl enable iptables.service    
[root@centos7 ~]#systemctl mask firewalld.service nftables.service

iptables防火墙

一.Linux防火墙基础

二.iptables 和 nftables包过防火墙

iptables