iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。
Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:网络地址转换(Network Address Translate),数据包内容修改以及数据包过滤的防火墙功能!
iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架!
netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,一般Linux系统是默认自带启动的。
查看是否启动:sysctl -p 从指定的文件加载系统参数,如不指定即从/etc/sysctl.conf中加载!
iptables是按照规则来办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
iptables传输数据包的过程
当我们启用了防火墙功能时,报文需要经过如下关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。也就是说,根据实际情况的不同,报文经过"链"可能不同。
所以,根据上图,我们能够想象出某些常用场景中,报文的流向:
到本机某进程的报文:PREROUTING --> INPUT
由本机转发的报文:PREROUTING --> FORWARD --> POSTROUTING
由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING
链(chains)
我们知道,防火墙的作用就在于对经过的报文匹配"规则",然后执行对应的"动作",所以,当报文经过这些关卡的时候,则必须匹配这个关卡上的规则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当我们把这些规则串到一个链条上的时候,就形成了"链",每个经过这个"关卡"的报文,都要将这条"链"上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。
5种链
5种链的说明如下:
PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后,目的地不为本机OUTPUT:由本机产生,向外转发POSTROUTHING:发送到网卡接口之前
表(tables)
每个"链"上都放置了一串规则,但是这些规则有些很相似,我们把实现相同功能的规则放在一起;我们把具有相同功能的规则的集合叫做"表",所以说,不同功能的规则,我们可以放置在不同的表中进行管理。
iptables已经为我们定义了4个表: filter表、nat表、mangle表和raw表:每个表对应了不同的功能,而我们定义的规则也都逃脱不了这4种功能的范围。
filter表:负责过滤功能,防火墙; 内核模块:iptables_filter
nat表:network address translation,网络地址转换功能; 内核模块:iptable_nat
mangle表:拆解报文,做出修改,并重新封装的功能; 内核模块: iptable_mangle
raw表:关闭nat表上启用的连接追踪机制; 内核模块:iptable_raw
表链关系
某些"链"中注定不会包含"某类规则",让我们看看每个"链"上的规则都存在于哪些"表"中:
PREROUTING链 的规则可以存在于:raw表,mangle表,nat表。INPUT 链的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。FORWARD链 的规则可以存在于:mangle表,filter表。OUTPUT链 的规则可以存在于:raw表,mangle表,nat表,filter表。POSTOUTING链 的规则可以存在于:mangle表,nat表。
但是,我们在实际的使用过程中,往往是通过"表"作为操作入口,对规则进行定义的,之所以按照上述过程介绍iptables,是因为从"关卡"的角度更容易从入门的角度理解,但是为了以便在实际使用的时候,更加顺畅的理解它们,我们还要将各"表"与"链"的关系罗列出来:
表(功能)<--> 链(钩子):filter表<-->三个链:INPUT、FORWARD、OUTPUT作用:过滤数据包 内核模块:iptables_filter.
Nat表<-->三个链:PREROUTING、POSTROUTING、OUTPUT作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
Mangle表<-->五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块
Raw表<-->两个链:OUTPUT、PREROUTING作用:决定数据包是否被状态跟踪机制处理
iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下
优先级次序(由高而低):raw --> mangle --> nat --> filter
优先级次序(由高而低):raw --> mangle --> nat --> filter
iptables操作
查看filter的详细规则:filter表<-->三个链:INPUT、FORWARD、OUTPUT
————————————————
[root@xing Desktop]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
注:OUTPUT 出站链
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED(三次握手状态)
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22(目标端口22)
2 318 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited(默认拒绝所有)
———————
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
注:FORWARD转发规则链(当源IP地址以及目标IP地址都不是本机的时候使用的规则)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
———————
Chain OUTPUT (policy ACCEPT 4 packets, 240 bytes)
注:OUTPUT 出站链
pkts bytes target prot opt in out source destination
————————————————
iptables的基本语法格式
iptables [-t 表名] 命令选项 [链名] [匹配条件] [-j 控制类型]
iptables 【-t filter】 -I 【INPUT】 【-p tcp --dport 80】 【-j ACCEPT】
命令选项:
————
添加新的规则
- -A 在链的末尾追加一条规则
- -I 在链的开头(或指定序号)插入一条规则
————
查看规则列表
- -L 列出所有规则条目
- -n 数字的形式显示地址、端口信息
- -v 以更详细的方式显示规则信息
- --line-number 查看规则时,显示规则的序号
[root@xing Desktop]# iptables -t filter -nvL --line-number
————
删除、清空规则
- -D 删除链内指定序号(或内容)的一条规则
- -F 清空所有的规则
[root@xing Desktop]# iptables -D FORWARD 2
[root@xing Desktop]# iptables -F(清空所有规则)
[root@xing Desktop]# service iptables restart
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
iptables: Applying firewall rules: [ OK ]
————
设置默认策略
-P :设置默认策略的(默认策略一般只有两种。默认是关的/默认是开的)
iptables -P INPUT (DROP|ACCEPT)
[root@xing Desktop]# iptables -P FORWARD DROP
———————
控制类型
ACCEPT 允许通过
DOROP 直接丢弃,不给出任何提示
REJECT 拒绝通过,必要时给出提示
LOG 记录日志信息,然后传给下一条规则继续匹配
———————
匹配条件【参数】
通用匹配:
协议匹配 -p [协议名]
地址匹配 -s [源地址] -d [目的地址]
接口匹配 -i [入站网卡] 、-o [出站网卡]
隐含匹配(需配合通用匹配一起使用):
端口匹配 --sport [源端口]、--dport [目的端口]
TCP标记端口 --tcp-flags [检查范围] [被设置的标记]
ICMP类型匹配 --icmp-type [ICMP类型]
常见的显示匹配条件
多端口匹配 -m multiport -- sport [源端口列表]、-m multiport -- sport [目的端口列表]
IP范围匹配 -m iprange --src-range [IP范围]
MAC地址匹配 -m mac --mac-source [MAC地址]
———————
注意事项:
不指定表名时,默认指向filter表
不指定链名时,默认表内所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
————————————————
[root@xing Desktop]# iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
注:命令严格区分大小写
———————
辅助命令:watch(可以帮你监测一个命令的运行结果)
格式:watch (选项) (参数)
选项
-n:指定指令执行的间隔时间(秒);
-d:高亮显示指令输出信息不同之处;
-t:不显示标题。
参数
指令:需要周期性执行的指令。
watch -n1 iptables -t filter -nvL
————————————————
规则备份与还原
iptables-save工具:可结合重定向输出保存到指定文件
将当前状态保存到一个桌面的文件中
[root@xing Desktop]# iptables-save > /root/Desktop/ipt.txt
将备份规则文件导入:
[root@xing Desktop]# iptables-restore < /root/Desktop/ipt.txt
将当前状态保存为默认规则
[root@xing Desktop]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
恢复到默认规则
[root@xing Desktop]# service iptables restart
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
iptables: Applying firewall rules: [ OK ]
————————————————
[root@xing Desktop]# iptables -t nat -nvL --line-number
[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j SNAT --to-source 12.34.56.89
[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j MASQUERADE