iptables详解

什么是防火墙

• 防火墙时位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出

• 火墙是系统内核上的一个模块netfilter（数据包过滤机制）
• 通过netfilter来管理kernel space（内核空间）的策略

• 没有火墙时，流量直接访问内核管理的服务
• 有火墙时，会在内核上开一个内核空间（记录了什么流量可以通过，什么流量不可以通过）。负责往内核空间里面写东西的是netfilter
• 一个linux内核上有2个网卡，只有开启内核路由转发功能，2个网卡才能通信

#临时开启内核路由转发
[root@server1 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

分类

• 硬件防火墙：由厂商设计好的主机硬件，其操作系统主要以提供数据包数据的过滤机制为主，并去掉不必要的功能
• 软件防火墙：保护系统网络安全的一套软件

netfilter（数据包过滤）

定义

• netfilter是一个工作在Linux内核的网络数据包处理框架，用于分析进入主机的网络数据包
• 将数据包的头部数据（硬件地址，软件地址，TCP，UDP，ICMP等）提取出来进行分析，来决定该连接为放行还是抵挡
• netfilter分析OSI七层协议的2，3，4层

netfilter分析内容

• 拒绝让Internet的数据包进入主机的某些端口
• 拒绝某些来源IP的数据包进入
• 拒绝让带有某些特殊标志（flag）的数据包进入，如：带有SYN的主动连接标志
• 分析硬件地址（MAC地址）决定是否连接
• 可以做nat地址转换

防火墙无法完成的任务

• 防火墙并不能杀毒或清除木马程序（假设主机开放了www服务，那么防火墙的设置一定是要将www服务的port开放给client端。假设www服务器有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙时阻止不了的）
• 防火墙无法阻止来自内部的攻击（防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络滥用的情况）

netfilter策略管理工具

• netfilter这个内核网络栈过滤框架的使用需要通过iptables或nftables来进行

与netfilter进行交互工具常用种类

• iptables服务使用iptables交互，rhel6之前系统默认使用此服务，管理手段丰富，配置比较复杂
• firewalld服务使用nftables交互，rhel6之后的版本默认使用此服务，配置类似windows火墙，功能模块度高，使用简单

• iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的管理工具，即只是一种服务，而真正使用规则干活的是内核的netfilter

netfilter的5类hook函数

• hook函数也叫规则链

• 电脑是客户端

• input链：位于流量经过路由之后，并且目的ip是本机ip
• output链：由本机发出的流量，并且在路由之前
• forward链：位于在流量路由之后，目的ip不是本机ip
• prerouting链：位于路由之前，流量一致性检查之后
• postrouting链：所有即将离开本机的流量

防火墙规则

• 通（放行）
• 堵（阻止，拒绝）
  • 拒绝：返回信息后拒绝
  • 阻止：直接丢包

策略匹配原则

• 防火墙会从上至下的顺序来读取配置的策略
• 在找到匹配项后就立即结束配置工作并去执行匹配项中定义的行为（即放行或阻止）
• 如果在读取完所有的策略后没有匹配项，就去执行默认的策略

iptables

• iptables会从上至下的顺序来读取配置的策略
• 在找到匹配项后就立即结束配置工作并去执行匹配项中定义的行为（即放行或阻止）
• 如果在读取完所有的策略后没有匹配项，就去执行默认的策略
• iptables的规则默认保存在内存中，如果需要永久保存需要把策略保存到/etc/sysconfig/iptables中

#永久保存
[root@server1 ~]# service iptables save

iptables流量处理动作

当规则链匹配后应采用以下几种动作来处理匹配的流量

• accept：允许流量通过
• reject：拒绝流量通过，拒绝后回复拒绝信息
• log：记录日志信息
• drop：拒绝流量通过，流量丢弃不回复

iptables表

• 表中可以有多种hook函数，每个规则链中里可以有多个策略

5种规则表

• raw表：第一优先级的表，不会对数据包进行跟踪和nat转换，使用output，prerouting，对应的动作为notrack
• mangle表：第二优先级的表，主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time To Live，生存周期)值以及为数据包设置Mark标记，以实现Qos以及策略路由等
  • 由于需要相应的路由设备支持，因此应用并不广泛，包含全部5个规则链
• nat表：第三优先级的表，网络地址转换表，用于修改源和目的地址，分snat（源地址转换）和dnat（目的地址转换）。包含三个规则链：output，prerouting，postrouting（和内核无关的数据包，主要做地址转换）
• filter表：第四优先级的表，用于对数据包过滤（外网进入内网时），根据具体的规则决定是否放行该数据包（如drop，accept，reject），包含三个规则链：input，forward，forward（经过内核处理过的所有网络包：input，output，forward）
  • 所谓的防火墙其实基本上是指这张表上的过滤规则，常用
• security表：最不常用的表
  • 通常我们说的iptables只有4张表，security表是新加入的特性，用于在数据包上应用selinux

安装iptables

• RHEL9，Centos7中默认使用的是firewalld，且与iptables之间有冲突，如果需要使用iptables需要先停止firewalld再进行安装

[root@server1 ~]# systemctl stop  firewalld[root@server1 ~]# systemctl disable  firewalld#锁服务，解锁服务使用unmask
[root@server1 ~]# systemctl mask firewalld.service

[root@server1 ~]# yum  install iptables-services -y

[root@server1 ~]# systemctl enable --now iptables[root@server1 ~]# systemctl is-active iptables
active

iptables策略文件

规则链存储文件在/etc/sysconfig/iptables

• 前三行为注释
• 显示的是filter表的规则链

[root@server1 ~]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

iptables命令的语法格式以及常用参数

• 永久保存策略

[root@server1 ~]# service  iptables save   #保存设置的规则
# 注意：保存设置的规则，否则重启后会恢复默认设置

格式

[root@server1 ~]# iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作#-A添加策略
#-I在指定位置添加策略
#-D删除策略
#-R修改策略
#-j控制动作

参数

参数	作用
-t	对指定的表进行操作，表必须是raw，nat，filter，mangle，security中的一个，默认是filter
-p	指定要匹配的数据包协议类型
-s	匹配源地址ip/mask，当后面没有mask，源ip是一个地址（比如192.168.1.1）；当有mask时，表示一个网段（比如192.168.1.0/24）
-d	匹配目的地址ip/mask
-i 网卡名	匹配从这块网卡流入的数据，只对input，forward，prerouting链起作用。如果没有指定此选项，则表示可以流入任何一个网卡
-o 网卡名	匹配从这块网卡流出的数据，只对nat表中的链起作用。如果没有指定此选项，则表示可以从任何一个网卡流出
-L	列出规则链（chain）上的所有规则，如果没有指定链，列出表上所有链的所有规则
-A	在指定规则链的末尾加入新策略
-I num	在指定规则链的指定位置插入策略，如果num为1，表示在头部插入，num为2，表示在第二条策略位置处插入
-D num	删除指定位置的策略
-R num	替换/修改第几条策略
-P	设置指定链的默认策略，只有内置的链才可以设置，用户自定义的链不允许设置
-F	清空所有策略
-N	创建新链
-X	删除指定的链，这个链必须没有被其它任何策略引用，而且这条链上必须没有任何策略。如果没有指定链名，则会删除该表中所有非内置的链
-E	修改链名
-Z	把指定链，或者表中的所有链上的所有计数器清零
-j	满足某条件时该执行什么样的动作
-h	显示帮助信息

示例

查看策略iptables -nL --line

[root@server1 ~]# iptables -t filter -nL --line# -n：显示源# -L：写在最后，列出所有规则# --line：增加行号

[root@server ~]# iptables -nvxL --line
# 参数释义# -n：显示源# -v：详细信息# -x：单位自动转换为KB\MB# -L：写在最后，列出所有规则# --line：增加行号

[root@server ~]# iptables -nvxL --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1         159    24271 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2           0        0 ACCEPT     1    --  *      *       0.0.0.0/0            0.0.0.0/0
3           0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
4           0        0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5          19     1843 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1           0        0 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT 143 packets, 12422 bytes)
num      pkts      bytes target     prot opt in     out     source
destination# 显示释义# num：规则的行号# pkts：数据包数量# bytes：数据包字节数# target：动作（放行、拒绝）# port：端口# in：入站网卡# out：出站网卡

清空规则

# 清空内存中的规则（清空所有表的所有链）
[root@server ~]# iptables  -F      

修改策略

• -R修改策略

[root@server1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  -- !172.25.254.100       0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

[root@server1 ~]# iptables -R INPUT 1 -p tcp -s 172.25.254.100 --dport 80 -j REJECT[root@server1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --  172.25.254.100       0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

修改默认策略

• -P修改默认策略

[root@server1 ~]# iptables -nL

[root@server1 ~]# iptables -P FORWARD DROP[root@server1 ~]# iptables -nL

添加链

• -N添加链

[root@server1 ~]# iptables -N huazi[root@server1 ~]# iptables -nL

修改链名

• -E修改链名

[root@server1 ~]# iptables -E huazi HUAZI[root@server1 ~]# iptables -nL

删除链

• -X删除链

[root@server1 ~]# iptables -X HUAZI[root@server1 ~]# iptables -nL

部署nginx，拒绝访问80端口

[root@server1 ~]# yum install nginx -y#先清空策略
[root@server1 ~]# iptables -F#添加策略
[root@server1 ~]# iptables -A INPUT -p tcp --dport 80 -j REJECT[root@server1 ~]# iptables -nL

[root@server1 ~]# echo hello world > /usr/share/nginx/html/index.html[root@server1 ~]# systemctl enable --now nginx

[root@server1 ~]# curl 172.25.254.100
curl: (7) Failed to connect to 172.25.254.100 port 80: 拒绝连接

#删除策略后
[root@server1 ~]# iptables -D INPUT 1[root@server1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destinationChain FORWARD (policy ACCEPT)
target     prot opt source               destinationChain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@server1 ~]# curl 172.25.254.100
hello world

拒绝来源为172.25.254.100访问80端口

#先清空
[root@server1 ~]# iptables -F[root@server1 ~]# iptables -A INPUT -p tcp -s 172.25.254.100 --dport 80 -j REJECT[root@server1 ~]# iptables -nL

[root@server1 ~]# curl 172.25.254.100
curl: (7) Failed to connect to 172.25.254.100 port 80: 拒绝连接

#删除策略
[root@server1 ~]# iptables -D INPUT 1

[root@server1 ~]# curl 172.25.254.100
hello world

只能让来源为172.25.254.100访问80端口

• !取反

[root@server1 ~]# iptables -F[root@server1 ~]# iptables -A INPUT -p tcp ! -s 172.25.254.100 --dport 80 -j REJECT[root@server1 ~]# iptables -nL

[root@server1 ~]# curl 172.25.254.100
hello world

#删除
[root@server1 ~]# iptables -D INPUT 1

[root@server1 ~]# curl 172.25.254.100
hello world

iptables的状态跟踪(只能访问22和80端口)

• 在没有状态跟踪之前

[root@server1 ~]# iptables -F
[root@server1 ~]# iptables -A INPUT -i lo -j ACCEPT
[root@server1 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@server1 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@server1 ~]# iptables -A INPUT -j REJECT

[root@server1 ~]# iptables -F

• 但是这样写会消耗大量的cpu等资源，我们应该对流量进行状态跟踪，只对第一次访问的流量做检测

[root@server1 ~]# iptables -F

[root@server1 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@server1 ~]# iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
[root@server1 ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
[root@server1 ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
[root@server1 ~]# iptables -A INPUT -j REJECT

[root@server1 ~]# iptables -nL

利用iptables搭建Linux路由器

准备2台主机

• 一台server1，一个nat网卡，一个仅主机网卡
• 一台server2，一个仅主机网卡

• server1充当server2的路由器

• server1ip配置

[root@server1 ~]# cat /etc/NetworkManager/system-connections/eth0.nmconnection
[connection]
id=eth0
uuid=3fe4f788-e5f3-4046-8a3e-6cdfb8098aab
type=ethernet
interface-name=eth0[ethernet][ipv4]
address=172.25.254.100/24,172.25.254.2
dns=114.114.114.114;
method=manual[ipv6]
addr-gen-mode=default
method=auto[proxy][root@server1 ~]# cat /etc/NetworkManager/system-connections/eth1.nmconnection
[connection]
id=eth1
type=ethernet
interface-name=eth1[ethernet][ipv4]
address=192.168.0.100/24
method=manual[ipv6]
addr-gen-mode=default
method=auto[proxy]

[root@server1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.25.254.2    0.0.0.0         UG    100    0        0 eth0
172.25.254.0    0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     101    0        0 eth1

• server2ip配置

[root@server2 ~]# cat /etc/NetworkManager/system-connections/eth0.nmconnection
[connection]
id=eth0
uuid=3fe4f788-e5f3-4046-8a3e-6cdfb8098aab
type=ethernet
interface-name=eth0[ethernet][ipv4]
address=192.168.0.200/24,192.168.0.100
dns=114.114.114.114;
method=manual[ipv6]
addr-gen-mode=default
method=auto[proxy]

[root@server2 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.100   0.0.0.0         UG    100    0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eth0

• server1开启内核路由功能

#临时开启
[root@server1 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

• 内网访问外网

[root@server1 ~]# iptables -F
[root@server1 ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.100

[root@server1 ~]# iptables -t nat -nL

#这时server2就可以上网了
[root@server2 ~]# ping www.baidu.com
PING www.a.shifen.com (110.242.68.4) 56(84) 比特的数据。
64 比特，来自 110.242.68.4 (110.242.68.4): icmp_seq=1 ttl=127 时间=106 毫秒
64 比特，来自 110.242.68.4 (110.242.68.4): icmp_seq=2 ttl=127 时间=35.3 毫秒
64 比特，来自 110.242.68.4 (110.242.68.4): icmp_seq=3 ttl=127 时间=70.6 毫秒

• 外网访问内网

[root@server1 ~]# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 192.168.0.200

[root@server1 ~]# iptables -t nat -nL