基本概念
有一些同学知道,linux除了防火墙firewell以外,还有一个iptables可以实现对服务器端口访问的限制
那iptables是啥呢
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter
iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架
netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,它可以完成封包过滤、封包重定向和网络地址转换等功能
Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:
- 网络地址转换(Network Address Translate)
- 数据包内容修改
- 数据包过滤的防火墙功能
所以说,虽然我们使用service iptables start启动iptables”服务”,但是其实准确的来说,iptables并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能
外界请求服务器中的服务时,先从网卡进入,然后经过内核空间,规则链INPUT,去到用户空间对应地址的逻辑中,用户空间的程序处理好了请求进行返回的时候,也是从用户空间先进入内核空间,经过规则链OUTPUT,最后走网卡出去
这里INPUT和OUTPUT说的就是iptables的规则链,如果我们对这些规则链配置规则,就能够在请求经过规则链的时候对请求进行匹配,请求如果匹配上了规则,则会进行相应的处理,没有匹配上的话就按默认规则进行处理
确切的说,请求进入服务器,及返回离开服务器时,经过的规则链是这样的
如果我们的服务器不是作为被请求的目标,而是作为转发服务器,那也会经过iptables规则链,只不过经过的规则链不太一样
这样我们就已经看到了所有的预置iptables规则链,他们分别是PREROUTING、INPUT、OUTPUT、FORWARD
规则链
刚才说他们四个是规则链,为什么我们要称其为规则链呢
执行iptables -L -n可以查看服务器上的iptables规则链,我这里用INPUT举例
规则链的匹配方式为从上到下,也就是说当一个请求开始匹配INPUT规则链时,他会按照我们这里所见的顺序从上往下一条一条规则去判断,直到匹配中某条规则,或者所有规则都没有匹配中,则按照默认规则执行
比如我现在有一个来自127.0.0.1的对6379端口的请求
从上往下匹配的话,第一条规则就会匹配中,第一条规则我们写的是ACCEPT,也就是直接放行,所以这个请求就会离开INPUT规则链,不去管后面的所有规则,被直接放行
再比如我现在有一个来自192.168.22.10的对6379端口的请求
第一条规则匹配不中,于是会检查第二条规则
第二条规则会匹配所有ip对6379端口的访问,规则为REJECT,也就是拒绝包
所以这个请求会匹配中第二条规则,然后离开INPUT规则链,并且此请求的包被拒绝,有必要的话会向请求来源发送一个拒绝信息
虽然这个规则匹配的是所有ip对6379端口的访问,但是如果是127.0.0.1访问6379,则这个请求会先匹配中第一条规则然后被放行,根本就不会到这第二条规则来,所以截图中这种设置方式能够实现6379端口只允许127.0.0.1访问,禁止其余ip访问
再再比如我现在有一个来自192.168.22.10的对8000端口的请求
这个请求无法匹配中规则1和规则2
所以他会在走完INPUT规则链后执行INPUT规则链的默认规则,也就是截图中第一行括号里的内容,ACCEPT
我们甚至可以把规则链写成switch
swtich 请求 {
case 请求6379端口 && 请求来自127.0.0.1:
return ACCEPT
case 请求6379端口 && 请求来自0.0.0.0:
return REJECT
default:
return ACCEPT
}
除了【ACCEPT放行】和【REJECT拒绝】以外,还有几种处理方式,可按需选用
| 处理 | 效果 |
|---|---|
| ACCEPT | 放行 |
| REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息 |
| DROP | 直接丢弃数据包,不给任何回应信息,这时候客户端一般就会等待直到超时 |
| SNAT | 源地址转换,解决内网用户用同一个公网地址上网的问题 |
| MASQUERADE | 是SNAT的一种特殊形式,适用于动态的、临时会变的ip上 |
| DNAT | 目标地址转换 |
| REDIRECT | 在本机做端口映射 |
| LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配 |
注意规则链并不只有上面讲到的四个,比如DOCKER会自己注册规则链,用于对docker服务的管理,如果你要对docker服务写iptables规则,只能在DOCKER规则链写,写INPUT之类的地方是不会生效的【详情见iptables配置docker服务端口访问限制】,具体可以执行iptables -L -n命令来查看你服务器上目前所有的规则链
命令语法
查询规则
查询服务器上所有规则链
iptables -L -n
查询服务器上所有规则链,并带有编号【编号可用于删除、修改、插入等操作】
iptables -L -n --line-number
查询指定规则链的规则
iptables -L 规则链
新增规则
在规则链头部新增规则的命令模板
iptables -I 规则链 -s 匹配ip -p 通信协议 --dport 匹配端口 -j 执行规则
下面是范例命令
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT
| 参数 | 效果 |
|---|---|
| -I 规则链 | 本条规则添加到指定规则链的头部,也就是优先匹配,如果你要连续写好几条规则的话,那就是【先写后匹配】 |
| -I 规则链 规则编号 | 如果在使用 -I 时在规则链后加上规则编号,则代表要将本条规则插入到指定规则链的指定位置,原位置的规则会下移 |
| -A 规则链 | 本条规则添加到指定规则链的尾部,也就是最后匹配,如果你要连续写好几条规则的话,那就是【先写先匹配】 |
| -D 规则链 规则编号 | 删除规则;详情见下文 |
| -R 规则链 规则编号 | 修改规则,修改指定编号的规则,会直接替换原规则;其余参数语法与-I相同 |
| 参数 | 效果 |
|---|---|
| -s 匹配ip | 设置本条规则要匹配的ip;如果写0.0.0.0或者直接不写此参数则匹配所有ip |
| -p 通信协议 | 设置匹配的通信协议,常见的值有tcp、udp、icmp、all |
| --dport 目标端口 | 设置本条规则匹配的目标端口【本机上被访问的端口】 |
| --sport 来源端口 | 设置本条规则匹配的请求来源端口【请求方向我们发出请求的端口】 |
| -j 执行规则 | 设置本条匹配规则匹配中了以后的行为,具体可参照上一章的处理方式表格 |
删除规则
因为一台服务器上的iptables规则可能很多,所以为了便于删除,我们在删除之前先使用iptables -L -n --line-number命令查看带编号的iptables规则,然后再删除指定编号的规则
查看规则编号的命令
iptables -L -n --line-number
删除规则的命令模板
iptables -D 规则链 规则编号
下面是范例命令
iptables -D INPUT 2
设置默认规则
设置默认规则的命令模板
iptables -P 规则链 执行规则
下面是范例命令
iptables -P INPUT ACCEPT
默认规则就是第一行括号里的规则,在本规则链匹配结束,都没有匹配中的情况下采用
强烈建议默认规则都写ACCEPT
如果默认规则写的是REJECT,然后人不小心用iptables -F清空了所有规则,那你连ssh都连不上服务器
重命名规则
iptables -E oldname newname
很好理解,就不多解释了
清空全部规则
iptables -F
想清楚了再执行就行
参考文档
Linux:CentOS7下配置 iptables
iptables详解(1):iptables概念
CentOS 7 iptables的安装及使用
Linux服务器如何删除iptables指定的规则?
