Linux防火墙之iptables（上）

IPtable和netfilter共同组成了一个防火墙系统，iptables只是Linux防火墙的管理工具——命令行工具，或者也可以说是一个客户端的代理，netfilter是安全框架，并且真正实现防火墙功能的是 netfilter，它是Linux内核中的一部分。这两部分共同组成了包过滤防火墙，并且是免费使用，可以实现完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

2. iptables中的四表五链

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。

表中所有规则配置后，立即生效，不需要重启服务。

2.1 四表五链的关系

规则表的作用：容纳各种规则链

规则链的作用：容纳各种防火墙的规则

简单记忆就是：表中有链，链中有规则

2.2 iptables中的四表

表名	作用
raw	确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING
mangle	修改数据包内容，用来做流量整形，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口（通信五元素）。包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING
filter	负责过滤数据包，确定是否放行该数据包(过滤)。包含三个规则链，INPUT、 FORWARD、 OUTPUT

在iptables中 raw和mangle 表的运用相对较少

2.3 iptables中的五链

链名	作用
INPUT	处理入站数据包，匹配目标IP为本机的数据包。
OUTPUT	处理出站数据包，一般不在此链上做配置。
FORWARD	处理转发数据包，匹配流经本机的数据包。
PREROUTING	在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTING	在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

2.4 数据包到达防火墙的匹配流程

规则表中的优先顺序：raw >mangle>nat>filter

2.4.1 规则链之间的匹配顺序

类型1：主机型防火墙

入站数据（来自外界的数据包，且目标地址是防火墙本机）： PREROUTING --> INPUT -->本机的应用程序

出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING

类型2：网络型防火墙

转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

2.4.2 规则链内的匹配顺序

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）

若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

2.4.3 内核中数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。
如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

3. iptables的配置

3.1 centos6的图形化界面设置

图形化界面的设置（centos6）

使用图形化管理工具system- config- firewall

3.2 iptables命令行的使用（centos7和真实环境）

3.2.1 iptables的安装

第一步：关闭 firewalld，且设置开机不自启

Centos 7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables 。

[root@localhost ~]#systemctl disable --now firewalld

第二步：安装 iptables ，启动服务

[root@localhost ~]#yum install -y iptables-services  iptables

[root@localhost ~]#systemctl start iptables

3.2.2 使用iptables命令行配置规则

命令格式：
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项：

不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
控制类型使用大写字母，其余均为小写

常用的控制类型：

控制类型	作用
ACCEPT	允许数据包通过(默认)
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，会给数据发送端一个响应信息
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。LOG只是一种辅助动作，并没有真正处理数据包

DROP 和REJECT的区别：前者是直接丢弃传输过来的数据包，并且不给予回应，使访问主机卡在访问页面没有任何提示。后者是拒绝该数据包的通过，并且给予访问主机提示，该访问被拒绝。

常用的管理选项：

常用的管理选项	作用
-A	在指定链的末尾追加(--append)一条新的规则
-I（大写i）	在指定链的开头插入(--insert)一条新的规则，未指定序号时默认作为第一条规则
-R	修改、替换(--replace) 指定链中的某一条规则，可指定规则序号或具体内容
-P	设置指定链的默认策略(--policy)
-D	删除(--delete) 指定链中的某一条规则，可指定规则序号或具体内容
-F	清空(--flush)指定链中的所有规则，若未指定链名，则清空表中的所有链
-L	列出(--list) 指定链中所有的规则，若未指定链名，则列出表中的所有链
-n	使用数字形式(--numeric) 显示输出结果，如显示IP地址而不是主机名
-v	显示详细信息，包括每条规则的匹配包数量和匹配字节数
--line-numbers	查看规则时，显示规则的序号

匹配的条件：

匹配的条件	作用
-p	指定要匹配的数据包的协议类型
-s	指定要匹配的数据包的源IP地址
-d	指定要匹配的数据包的目的IP地址
-i	指定数据包进入本机的网络接口
-o	指定数据包离开本机做使用的网络接口
–sport	指定源端口号
–dport	指定目的端口号

4. iptables命令的规则配置运用

4.1 查看iptables的规则

4.1.1 粗略查看默认规则

[root@localhost ~]#iptables   -L

[root@localhost ~]#iptables   -nL

注意：当-nL同时使用时，n一定要在L 的前面，否则会报错，使用-vnL时也是如此，L要在最后面

4.1.2 指定表查看（指定表中链的查看）

[root@localhost ~]#iptables -t nat  -vnL

[root@localhost ~]#iptables -t nat  -vnL  INPUT

4.2 添加规则

添加规则的两个常用选项：

-A，在末尾追加规则。

-I，在指定位置前插入规则。如果不指定，则在首行插入。

4.2.1 末尾追加规则（在指定的表和链中）

注意：iptables -F的清空虽然方便但是一定要在规则表的默认策略为允许的时候使用，如果

默认为drop会导致远程连接中止，只有重启原服务器才能解决

如果仅仅只需要清空一条链的规则，还要保存其他链的规则，就要指定链来清除（-t）


[root@localhost ~]#iptables -F
[root@localhost ~]#iptables  -nL
[root@localhost ~]#iptables  -t filter  -A INPUT   -p icmp  -j REJECT 
[root@localhost ~]#iptables  -nL

测试结果：

同样的，当我将拒绝icmp的规则设置在OUTPUT链时，同样无法ping通，而且没有提示的回复信息，因为数据包在回返的路上被拒绝通过.

4.2.2 在指定链的序号上追加规则


[root@localhost ~]#iptables  -t filter  -A INPUT   -p icmp  -j REJECT 
[root@localhost ~]#iptables  -t filter  -I  INPUT   -p icmp  -j ACCEPT 
[root@localhost ~]#iptables  -nL  --line-numbers 
[root@localhost ~]#iptables  -t filter  -I  INPUT 2   -p icmp  -j DROP
[root@localhost ~]#iptables  -nL  --line-numbers

测试：使用icmp协议ping防火墙主机

调换规则顺序再次测试：

测试结果：

4.3 删除规则

-D删除：

1.根据序号删除内容

2.精准匹配设置的规则进行删除，按照内容删除，如果有两个重复的规则，则删除序号较小的

4.3.1 序号删除

注意：按照序号删除时一定要保证删除的序号为已有序号，否则报错

[root@localhost ~]#iptables -D INPUT 2

4.3.2 内容匹配删除（有两个相同的则作用为去重）

第一次匹配删除：


[root@localhost ~]#iptables  -nL  --line-numbers 
 
[root@localhost ~]#iptables -D INPUT -p icmp  -j DROP
[root@localhost ~]#iptables  -nL  --line-numbers

第二次匹配删除：

[root@localhost ~]#iptables -D INPUT -p icmp  -j DROP

总结注意：按照内容匹配删除规则，只能每次删除内容相同序号较小的规则，直到删除最后一条时，才能将该规则全部清除。且一定要报错该匹配的内容存在，不然报错

4.4 修改规则（不推荐使用）

-R 直接修改。

为了保险起见，我们可以尝试着先添加一条新的规则，确保新规则不会带来任何不利的影响再删除旧的规则（也能达到替换的效果）

[root@localhost ~]#iptables -R INPUT 1 -p icmp -j ACCEPT

4.5 修改默认策略

如图，默认策略是指四表五链中链的默认策略，本图中表示INPUT ，FORWARD,OUTPUT， filter三条链的默认值为ACCEPT

就像是设定黑名单一样，默认其他的协议操作都是允许的，只有指定加入的且声明权限的为（DROP 或 REJECT）是拒绝禁止的对象。

而当我们将其修改为REJECT或则DROP，就类似于白名单（只要加入且声明权限为ACCEPT）是允许操作的协议对象，其他均为禁止对象

[root@localhost ~]#iptables -P INPUT DROP

此时的解决方案有三种：

第一种：我的防火墙设置只是临时设置，并为保存，重启服务器即可

第二种：操作服务器，重启iptables服务

第三种：进入机房操作该服务器（将设置恢复，重新修改规则）

xshell可重新连接：

总结

1. 熟知iptables防火墙数据包进入的流程，且清楚掌握四表五链的关系

2. 灵活运用iptables增删改查命令制定相应安全策略规则

3.使用清空规则（和修改默认策略），一定要慎用。要反复确认服务器的业务和远程连接等服务器需要进行的操作不受干扰和的情况使用

相关阅读:
嵌入式Linux裸机开发（三）SDK移植及BSP管理
 【通信原理】确知信号的性质分析与研究
 GDPU 数据结构天码行空9
Jmeter redis连接测试
 MATLAB实战：人工大猩猩部队GTO优化共振稀疏分解RSSD超参数
 【Redis学习1】Redis持久化机制详解
 Windows 批量部署简易脚本
 tomcat在idea上的配置
 【Linux】JREE项目部署与发布
 Java Stream流 List＜ T ＞转换Map方法汇总合集（大概是最全吧）
原文地址：https://blog.csdn.net/qq_62462797/article/details/126851757