Linux防火墙过滤技术iptables:原理与操作命令详解

admin 技术 2023-11-18 13:52 44

iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。

Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:网络地址转换(Network Address Translate),数据包内容修改以及数据包过滤的防火墙功能!

iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架!

netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,一般Linux系统是默认自带启动的。

查看是否启动:sysctl -p 从指定的文件加载系统参数,如不指定即从/etc/sysctl.conf中加载!

iptables是按照规则来办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables传输数据包的过程

当我们启用了防火墙功能时,报文需要经过如下关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。也就是说,根据实际情况的不同,报文经过"链"可能不同。

所以,根据上图,我们能够想象出某些常用场景中,报文的流向:

到本机某进程的报文:PREROUTING --> INPUT

由本机转发的报文:PREROUTING --> FORWARD --> POSTROUTING

由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING

链(chains)

我们知道,防火墙的作用就在于对经过的报文匹配"规则",然后执行对应的"动作",所以,当报文经过这些关卡的时候,则必须匹配这个关卡上的规则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当我们把这些规则串到一个链条上的时候,就形成了"链",每个经过这个"关卡"的报文,都要将这条"链"上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。

5种链

5种链的说明如下:

PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后,目的地不为本机OUTPUT:由本机产生,向外转发POSTROUTHING:发送到网卡接口之前

表(tables)

每个"链"上都放置了一串规则,但是这些规则有些很相似,我们把实现相同功能的规则放在一起;我们把具有相同功能的规则的集合叫做"表",所以说,不同功能的规则,我们可以放置在不同的表中进行管理。

iptables已经为我们定义了4个表: filter表、nat表、mangle表和raw表:每个表对应了不同的功能,而我们定义的规则也都逃脱不了这4种功能的范围。

filter表:负责过滤功能,防火墙; 内核模块:iptables_filter

nat表:network address translation,网络地址转换功能; 内核模块:iptable_nat

mangle表:拆解报文,做出修改,并重新封装的功能; 内核模块: iptable_mangle

raw表:关闭nat表上启用的连接追踪机制; 内核模块:iptable_raw

表链关系

某些"链"中注定不会包含"某类规则",让我们看看每个"链"上的规则都存在于哪些"表"中:

PREROUTING链 的规则可以存在于:raw表,mangle表,nat表。INPUT 链的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。FORWARD链 的规则可以存在于:mangle表,filter表。OUTPUT链 的规则可以存在于:raw表,mangle表,nat表,filter表。POSTOUTING链 的规则可以存在于:mangle表,nat表。

但是,我们在实际的使用过程中,往往是通过"表"作为操作入口,对规则进行定义的,之所以按照上述过程介绍iptables,是因为从"关卡"的角度更容易从入门的角度理解,但是为了以便在实际使用的时候,更加顺畅的理解它们,我们还要将各"表"与"链"的关系罗列出来:

表(功能)<--> 链(钩子):filter表<-->三个链:INPUT、FORWARD、OUTPUT作用:过滤数据包 内核模块:iptables_filter.

Nat表<-->三个链:PREROUTING、POSTROUTING、OUTPUT作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat

Mangle表<-->五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块

Raw表<-->两个链:OUTPUT、PREROUTING作用:决定数据包是否被状态跟踪机制处理

iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下

优先级次序(由高而低):raw --> mangle --> nat --> filter

优先级次序(由高而低):raw --> mangle --> nat --> filter

iptables操作

查看filter的详细规则:filter表<-->三个链:INPUT、FORWARD、OUTPUT

————————————————

[root@xing Desktop]# iptables -t filter -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

注:OUTPUT 出站链

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED(三次握手状态)

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22(目标端口22)

2 318 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited(默认拒绝所有)

———————

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

注:FORWARD转发规则链(当源IP地址以及目标IP地址都不是本机的时候使用的规则)

pkts bytes target prot opt in out source destination

0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

———————

Chain OUTPUT (policy ACCEPT 4 packets, 240 bytes)

注:OUTPUT 出站链

pkts bytes target prot opt in out source destination

————————————————

iptables的基本语法格式

iptables [-t 表名] 命令选项 [链名] [匹配条件] [-j 控制类型]

iptables 【-t filter】 -I 【INPUT】 【-p tcp --dport 80】 【-j ACCEPT】

命令选项:

————

添加新的规则

  • -A 在链的末尾追加一条规则
  • -I 在链的开头(或指定序号)插入一条规则

————

查看规则列表

  • -L 列出所有规则条目
  • -n 数字的形式显示地址、端口信息
  • -v 以更详细的方式显示规则信息
  • --line-number 查看规则时,显示规则的序号

[root@xing Desktop]# iptables -t filter -nvL --line-number

————

删除、清空规则

  • -D 删除链内指定序号(或内容)的一条规则
  • -F 清空所有的规则

[root@xing Desktop]# iptables -D FORWARD 2

[root@xing Desktop]# iptables -F(清空所有规则)

[root@xing Desktop]# service iptables restart

iptables: Setting chains to policy ACCEPT: filter [ OK ]

iptables: Flushing firewall rules: [ OK ]

iptables: Unloading modules: [ OK ]

iptables: Applying firewall rules: [ OK ]

————

设置默认策略

-P :设置默认策略的(默认策略一般只有两种。默认是关的/默认是开的)

iptables -P INPUT (DROP|ACCEPT)

[root@xing Desktop]# iptables -P FORWARD DROP

———————

控制类型

ACCEPT 允许通过

DOROP 直接丢弃,不给出任何提示

REJECT 拒绝通过,必要时给出提示

LOG 记录日志信息,然后传给下一条规则继续匹配

———————

匹配条件【参数】

通用匹配:

协议匹配 -p [协议名]

地址匹配 -s [源地址] -d [目的地址]

接口匹配 -i [入站网卡] 、-o [出站网卡]

隐含匹配(需配合通用匹配一起使用):

端口匹配 --sport [源端口]、--dport [目的端口]

TCP标记端口 --tcp-flags [检查范围] [被设置的标记]

ICMP类型匹配 --icmp-type [ICMP类型]

常见的显示匹配条件

多端口匹配 -m multiport -- sport [源端口列表]、-m multiport -- sport [目的端口列表]

IP范围匹配 -m iprange --src-range [IP范围]

MAC地址匹配 -m mac --mac-source [MAC地址]

———————

注意事项:

不指定表名时,默认指向filter表

不指定链名时,默认表内所有链

除非设置链的默认策略,否则必须指定匹配条件

选项、链名、控制类型使用大写字母,其余均为小写

————————————————

[root@xing Desktop]# iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

注:命令严格区分大小写

———————

辅助命令:watch(可以帮你监测一个命令的运行结果)

格式:watch (选项) (参数)

选项

-n:指定指令执行的间隔时间(秒);

-d:高亮显示指令输出信息不同之处;

-t:不显示标题。

参数

指令:需要周期性执行的指令。

watch -n1 iptables -t filter -nvL

————————————————

规则备份与还原

iptables-save工具:可结合重定向输出保存到指定文件

将当前状态保存到一个桌面的文件中

[root@xing Desktop]# iptables-save > /root/Desktop/ipt.txt

将备份规则文件导入:

[root@xing Desktop]# iptables-restore < /root/Desktop/ipt.txt

将当前状态保存为默认规则

[root@xing Desktop]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

恢复到默认规则

[root@xing Desktop]# service iptables restart

iptables: Setting chains to policy ACCEPT: filter [ OK ]

iptables: Flushing firewall rules: [ OK ]

iptables: Unloading modules: [ OK ]

iptables: Applying firewall rules: [ OK ]

————————————————

[root@xing Desktop]# iptables -t nat -nvL --line-number

[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j SNAT --to-source 12.34.56.89

[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j MASQUERADE

相关推荐
关闭

用微信“扫一扫”