一、Linux 防火墙概述
Linux 防火墙实际指的是 Linux 下的 Netfilter/Iptables。Netfilter/Iptables 是2.4.x/2.6.x 版本 Linux 内核集成的 IP 信息包过滤系统。Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制。属于典型的包过滤防火墙。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此获得广泛的应用。
Netfilter/Iptables 信息包过滤系统可以当成一个整体。
netfilter Iptables
netfilter 是内核的模块实现。 iptables 是对上层操作工具。
Netfilter 是 Linux 核心中的一个通用架构,工作于内核空间。 iptables 是一个管理内核包过滤的工具,可以用来配置核心包过滤表格中的规则。运行于用户空间。
Netfilter 支持以下方式对数据包进行分类:源IP地址、目标IP地址、使用接口、使用协议、端口号、连接状态。其提供了一系列的表(tables),每个表由若干个链(chains)组成,每条链可以由一条或若干条规则(rules)组成,其规则由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
(1)chain 的本质是 Netfilter 定义的不同过滤点。总共定义了5个过滤点:INPUT、ORWARDING、OUTPUT、PREROUTING、POSTROUTIONG。
(2)Table 的本质是 Netfilter 定义的不同功能的划分。
filter 用于执行基本过滤。
nat 是对数据IP进行修改。
mangle 是对数据包进行高级修改。
不同的 Table 只能用于特定的 Chain。
二、iptables 的四表五链结构
iptables 的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉 netfilter 对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables 采用了表和链的分层结构。
其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
(1)iptables 管理着4个不同的规则表:
表名 作用 说明
filter(常用) 根据具体的规则要求决定如何处理一个数据包 顾名思义是用来进行封包过滤的处理动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。
nat(常用) 用来修改数据包的 ip 地址,端口号等信息 主要功能为进行一对一、一对多、多对多等网址转译工作(SNAT、DNAT),由于转译工作的特性,需进行目的地址转译的封包,就不需要进行来源地址转译,反之亦然,因此为了提升改写封包的率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作地址转译外,请不要做其它用途。
mangle 用来修改数据包的服务类型、生命周期,或者设置mark标记实现流量整形等高级应用
raw 主要用来决定是否对数据包进行状态跟踪
(2)在处理各种数据包时,根据防火墙规则的不同介入时机,iptables 默认划分为五种不同的规则链:
链名 作用 说明
INPUT 当收到访问防火墙本机地址的数据包时,应用此链中的规则
OUTPUT 当防火墙本机向外发送数据包时,应用此链中的规则
FORWARD 当接收到需要通过防火墙中转发送给其他地址的数据包时,应用此链中的规则
PREROUTING 在对数据包做路由选择之前,应用此链中的规则 位于nat表,用于修改目的地址(DNAT),要把别人的公网IP换成你们内部的IP,才让访问到你们内部受防火墙保护的机器。
PREOUTING 链不支持 ”流出接口”-o 参数
POSTROUTING 在对数据包做路由选择之后,应用此链中的规则 位于nat表,用于修改源地址(SNAT),要把你的内网地址转换成公网地址才能让你上网。对于每个网卡数据流入的时候必然经过pre,数量流出必然经过post。他们之间是相对的关系。
POSTROUTING 链不支持”流入接口”-i 参数。
(3)每个规则表中对应哪些规则链,如图所示:
三、包过滤的匹配流程
当一个数据包到达防火墙以后,会优先选择哪一个表、哪一个链中的规则呢?
(1)规则表应用顺序:raw→mangle→nat→filter
(2)规则链的应用顺序取决于数据的流向:
• 入站数据流向:PREROUTING→路由选择→INPUT→应用程序
• 转发数据流向:PREROUTING→路由选择→FORWARD→POSTROUTING
• 出站数据流向:OUTPUT→路由选择→POSTROUTING
(3)规则链内部的处理规则:
按第一条规则……第二条规则的顺序进行匹配处理,遵循“匹配即停止”的原则,
一旦找到一条匹配规则将不再检查后续的其他规则,如果一直找不到匹配的规则,就按默认规则处理。
四、Linux防火墙基本原理
Linux 防火墙的原理主要是对数据包的控制,etfilter 五条链相互关系,即 iptables 数据包转发流程图。
(1)数据包进入网卡时,先进入 PREROUTING(路由前)链,之后做路由判断数据包应发往何处,本机或其他机器。
(2)若数据包原目标地址是本机的,数据包会前往INPUT链。到达 INPUT 链后,任何进程都会收到它。
(3)本机程序发送出数据包,数据包会经过 OUTPUT 链,然后到达 POSTROUTING 链输出。
(4)若数据包原目标地址非本机,则需要转发出去的,且内核允许转发,数据包前往 FORWARD 链,然后到达POSTROUTING(路由后)链输出。
Netfilter 在五个链上,使用 HOOK 技术做规则检查。
五、 iptables 命令基本语法
1、基本语法
语法格式:iptables【-t 表名】管理选项【链名】【匹配条件】【-j 控制类型】
注:【-t 表名】如果不指定表名,默认是 filter 表
2、管理选项
参数 作用 用法
-P 指定默认规则 iptables –P
-A 在指定链末尾追加一条 iptables -A INPUT -j DROP
-D 删除指定规则 ptables -D INPUT -j DROP
-I 在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT 5
-R 修改、替换某一条规则 iptables -t nat -R INPUT
-X 删除指定用户自定义链 iptables –X
-F 清除所有规则 iptables –F
iptable -t nat -F
-Z 将指定链(如未指定,则认为是所有链)的所有计数器归零 iptables –Z
iptables -t nat -Z
-n 以数字形式显示 iptables -L -n,iptables -nL
-L 列出所有规则条目 iptables -L -t nat
-n --line-number 规则带编号 iptables -L -n --line-number -t nat
例如:
iptables -nvxL
iptables -t nat -nvxL
-n:以数字形式显示规则。如果没有-n,规则中可能会出现 anywhere,有了-n,它会变成0.0.0.0/0。
-v :列出更多的信息,包括通过该规则的数据包总位数、相关的网络接口等
3、匹配条件
匹配选项指定数据包与规则匹配所具有的特征,包括源地址,目的地址,传输协议和端口号,如下所示:
参数 说明
-i --in-interface 指定数据包从哪个网络接口进入
-o --out-interface 指定数据包从哪个网络接口输出
-p --proto 指定数据包匹配的协议,如TCP、UDP和ICMP等
-s --source 指定数据包匹配的源地址
--sport 指定数据包匹配的源端口号
-d --destination 目标地址或子网,指定数据包匹配的目标地址
--dport 指定数据包匹配的目的端口号
-m --match 指定数据包规则所使用的过滤模块
4、常用封包比对参数
(1)参数 -p, --protocol
范例:iptables -A INPUT -p tcp
说明:比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含udp、icmp……等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。
(2)参数 -s, --src, --source
范例:iptables -A INPUT -s 192.168.1.1
说明:用来比对封包的来源IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24;比对IP时可以使用 ! 运算子进行反向比对,例如:-s ! 192.168.0.0/24。
(3)参数 -d, --dst, --destination
范例:iptables -A INPUT -d 192.168.1.1
说明:用来比对封包的目的地 IP,设定方式同上。
(4)参数 -i, --in-interface
范例:iptables -A INPUT -i eth0
说明:用来比对封包是从哪个网卡进入,可以使用通配字符+来做大范围比对,例如:-i eth+ 表示所有的 ethernet 网卡,也可以使用 ! 运算子进行反向比对,例如:-i ! eth0。
(5)参数 -o, --out-interface
范例:iptables -A FORWARD -o eth0
说明:用来比对封包要从哪个网卡送出,设定方式同上。
(6)参数 --sport, --source-port
范例:iptables -A INPUT -p tcp --sport 22
说明:用来比对封包的来源端口号,可以比对单一端口,或是一个范围,例如:--sport 22:80,表示从22到80端口之间都算是符合条件,如果要比对不连续的多个端口,则必须使用--multiport 参数,详见后文。比对端口号时,可以使用 ! 运算子进行反向比对。
(7)参数 --dport, --destination-port
范例:iptables -A INPUT -p tcp --dport 22
说明:用来比对封包的目的地端口号,设定方式同上。
(8)参数 --tcp-flags
范例:iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明:比对TCP封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号,第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)、PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时,可以使用 ! 运算子行反向比对。
(9)参数 --syn
范例:iptables -p tcp --syn
说明:用来比对是否为要求联机之TCP封包,与iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。
(10)参数 -m multiport --source-port
范例:iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 j ACCEPT
说明:用来比对不连续的多个来源端口号,一次最多可以比对15个端口,可以使用 ! 运算子进行反向比对。
(11)参数 -m multiport --destination-port
范例:iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 -j ACCEPT
说明:用来比对不连续的多个目的地端口号,设定方式同上。
(12)参数 -m multiport --port
范例:iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 -j ACCEPT
说明:这个参数比较特殊,用来比对来源端口号和目的端口号相同的封包,设定方式同上。注意:在本范例中,如果来源端口号为 80 目的地端口号为 110,这种封包并不算符合条件。
(13)参数 --icmp-type
范例:iptables -A INPUT -p icmp --icmp-type 8
说明:用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可用。
(14)参数 -m limit --limit
范例:iptables -A INPUT -m limit --limit 3/hour
说明:用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次3个封包。除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封数量的比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,以避免因骇客使用洪水攻击法,导致服务被阻断。
(15)参数 --limit-burst
范例:iptables -A INPUT -m limit --limit-burst 5
说明:用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过5个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。
(16)参数 -m mac --mac-source
范例:iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01-j ACCEPT
说明:用来比对封包来源网络接口的硬件地址,这个参数不能用在OUTPUT和Postrouting 规则链上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以iptables在进行封包比对时,并不知道封包会送到哪个网络接口去。
(17)参数 --mark
范例:iptables -t mangle -A INPUT -m mark --mark 1
说明:用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最多不可以超过 4294967296。
(18)参数 -m owner --uid-owner
范例:iptables -A OUTPUT -m owner --uid-owner 500
说明:用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
(19)参数 -m owner --gid-owner
范例:iptables -A OUTPUT -m owner --gid-owner 0
说明:用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上。
(20)参数 -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明 用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上。
(21)参数 -m owner --sid-owner
范例:iptables -A OUTPUT -m owner --sid-owner 100
说明:用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时机同上。
(22)参数 -m state --state
范例:iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明:用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。
ESTABLISHED 表示该封包属于某个已经建立的联机。
NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。
RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机。
5、常用的处理动作
-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、DNAT、SNAT、REDIRECT、MASQUERADE、LOG、MIRROR、QUEUE、RETURN、MARK。
(1)参数 ACCEPT
说明:将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链。
(2)参数 REJECT
范例:iptables -A FORWARD -p tcp --dport 22 -j REJECT --reject-with tcp-reset
说明:拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
(3)参数 DROP
说明:弃封包不予外理,进行完处理动作后,将不再比对其它规则,直接中断过滤程序。
(4)参数 SNAT
范例:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
说明:改写封包来源 IP为某特定IP或 IP范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则。
(5)参数 DNAT
范例:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
说明:改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则链(filter: input 或 filter: forward)。
(6)参数 REDIRECT
范例:iptables -t nat -A PREROUTING -p tcp —dport 80 -j REDIRECT —to-ports 8080
说明:将包重新导向到另一个端口(PNAT),进行完此处理动作后,将会继续比对其它规则。 这个功能可以用来实作通透式porxy 或用来保护web 服务器。
(7)参数 MASQUERADE
范例:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE —to-ports 1024-31000
说明:改写数据包来源 IP为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨号连接时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。
(8)参数 LOG
范例:iptables -A INPUT -p tcp -j LOG —log-prefix “INPUT packets”SNAT
说明:将封包相关信息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 配置文件,进行完此处理动作后,将会继续比对其规则。
(9)参数 MIRROR
说明:镜像数据包,也就是将来源IP与目的地IP对调后,将数据包送回,进行完此处理动作后,将会中断过滤程序。
(10)参数 QUEUE
说明:中断过滤程序,将数据包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费…….等。
(11)参数 RETURN
说明:结束在目前规则链中的过滤程序,返回主规则链继续过滤,如果把自订规则链看成是一个子程序,那么这个动作,就相当提早结束子程序并返回到主程序中。
(12)参数 MARK
范例:iptables -t mangle -A PREROUTING -p tcp —dport 22 -j MARK —set-mark 2
说明:将数据包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:
6、使用总则
(1)所有链名必须大写
INPUT / OUTPUT / FORWARD / PREROUTING / POSTROUTING
(2)所有表名必须小写
filter / nat / mangle
(3)所有动作必须大写
ACCEPT / DROP / SNAT/DNAT / MASQUERADE
(4)所有匹配必须小写
-s/-d/-m <module_name>/-p
六、iptables 安装
1、关闭防火墙
[root@localhost ~]# systemctl status firewalld
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@localhost ~]# systemctl list-unit-files | grep firewalld
firewalld.service disabled
2、查看 iptables 是否安装
iptables 是基于内核的,和 iptables-services 没有关系,不用安装任何工具包就可以使用 iptable 命令添加的防火墙规则,只是添加的规则是临时的,基于内存的,在系统重启后会消失,所以需要 iptables.service 服务来对添加的规则进行保存来对添加的规则进行保存,这样在系统重启后重载对应的防火墙规则。将规则保存在/etc/sysconfig/iptables文件中,并且在iptables服务启动时自动加载这些规则。
[root@localhost ~]# rpm -qa iptables
iptables-1.4.21-34.el7.x86_64 # 查看是否有安装,正常系统默认装有 iptables
[root@localhost ~]# yum install iptables # 有新版本会安装最新版
[root@localhost ~]# yum install iptables-services # 安装 iptables-services
[root@localhost ~]# rpm -qa iptables-services # 查看是否有安装成功
3、启动 iptables
设置 iptables 开机启动。
[root@localhost ~]# systemctl enable iptables.service # 设置 iptables 开机启动
[root@localhost ~]# systemctl list-unit-files | grep iptables.service
iptables.service enabled
[root@localhost ~]# systemctl start iptables # 启动 iptables.service
[root@localhost ~]# systemctl status iptables # 查看 iptables 状态
● iptables.service - IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
Active: active (exited) since Fri 2023-10-06 13:05:53 CST; 2s ago
Process: 3141 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
Main PID: 3141 (code=exited, status=0/SUCCESS)
Oct 06 13:05:53 localhost.localdomain systemd[1]: Starting IPv4 firewall with iptables...
Oct 06 13:05:53 localhost.localdomain iptables.init[3141]: iptables: Applying firewall rules: [ OK ]
Oct 06 13:05:53 localhost.localdomain systemd[1]: Started IPv4 firewall with iptables.
七、应用实例
(1)实例1:如何做网关,适用于内网用户上网(重点)
网卡eth0接外网,eth1:10.0.10.1./24下接交换机。
# 启动临时路由转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
# 启动永久路由转发功能
修改/etc/sysctl.conf,net.ipv4.ip_forward=1
# 地址伪装 SNAT/ MASQUERADE
将源地址为10.0.10.0/24(即内网IP地址段)的IP,并且流出端口为ppp0 (即路由下一条端口),通过nat 进行源地址NAT转换为【外网地址】
iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -o ppp0 -j SNAT --to 120.1.112.123 #我的外网IP为:120.1.112.123
或者
iptables -t nat -A POSTROUTING -s 10.0.10.1/24 -o ppp0 -j MASQUERADE
注:-j MASQUERADE,动态源地址转换(动态IP的情况下使用)
如果在FORWARD的默认策略为DROP情况下还需要放通策略
iptables -A FORWARD -d 10.0.10.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
(2)实例2:对外服务端口转发
iptables -A PREROUTING -p tcp -m tcp --dport 88 -j DNAT --to-destination 10.1.10.10:8080 #对外端口88转发到内网服务器的8080端口,就是对外发布内网服务器的服务。
注意转发后放通:
iptables -A POSTROUTING -s 10.0.10.0/24 -j MASQUERADE ##端口转发状态记录,并允许返回.
iptables -A FORWARD -s 10.0.10.0/24 -j ACCEPT ##转发后,放通
(3)实例3:
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT ##允许SSH连接本服务器
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##本机上网允许返回,默认为DROP需要加本条
iptables -A INPUT -p icmp -j ACCEPT ##允许PING
最后可以导入导出配置:
保存配置:iptables-save >/root/iptables.sh
导入配置:iptables-restore < /root/iptables.sh
