iptables防火墙指南

防火墙概念

1. 从逻辑上将&＃xff0c;防火墙大体可以分为主机防火墙和网络防火墙。
   主机防火墙&＃xff1a;针对于单个主机进行防护
   网络防火墙&＃xff1a;往往处于网络入口或边缘&＃xff0c;针对于网络入口进行防护&＃xff0c;服务于防火墙背后的本地局域网

2. 从物理上讲&＃xff0c;防火墙可以分为硬件防火墙和软件防火墙
   硬件防火墙&＃xff1a;在硬件级别实现部分防火墙功能&＃xff0c;另一部分功能基于软件实现&＃xff0c;性能高&＃xff0c;成本高
   软件防火墙&＃xff1a;应用软件处理逻辑运行与通用硬件平台上的防火墙&＃xff0c;性能低&＃xff0c;成本低

iptables

iptables并不是真正的防火墙&＃xff0c;我们可以把它理解成一个客户端代理&＃xff0c;用户通过iptables这个代理&＃xff0c;将用户的安全设定执行到对应的“安全框架”中&＃xff0c;这个“安全框架”才是真正的防火墙&＃xff0c;而这个框架的名字叫做netfilter。
netfilter才是防火墙真正的安全框架&＃xff0c;它位于内核空间。
然而&＃xff0c;iptables只是一个命令行工具&＃xff0c;位于用户空间&＃xff0c;我们借助这个工具操作真正的框架。

iptables基础

我们知道iptables是按照规则来办事的&＃xff0c;而规则&＃xff08;rules&＃xff09;其实就是网络管理员预定义的条件&＃xff0c;规则一般的定义为“如果数据包头符合这样的条件&＃xff0c;就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中&＃xff0c;这些规则分别指定了源地址、目的地址、传输协议&＃xff08;如TCP、UDP、ICMP&＃xff09;和服务类型&＃xff08;如HTTP、FTP和SMTP&＃xff09;等。当数据包与规则匹配时&＃xff0c;iptables就根据规则所定义的方法来处理这些数据包&＃xff0c;如放行&＃xff08;accept&＃xff09;、拒绝&＃xff08;reject&＃xff09;和丢弃&＃xff08;drop&＃xff09;等。配置防火墙的主要工作就是添加、修改和删除这些规则。

防火墙存在着“四表五链”&＃xff0c;下面我们来谈谈表和链的概念

链

1. 当客户端访问服务器的web服务时&＃xff0c;客户端发送报文到网卡&＃xff0c;而tcp/ip协议栈是属于内核的一部分&＃xff0c;所以&＃xff0c;客户端的信息会通过内核的TCP协议传输到用户空间中的web服务中&＃xff0c;而此时&＃xff0c;客户端报文的目标终点为web服务所监听的套接字&＃xff08;IP&＃xff1a;port&＃xff09;上&＃xff0c;当web服务需要响应客户端请求时&＃xff0c;web服务发出的响应报文的目标重点则为客户端&＃xff0c;这个时候&＃xff0c;web服务所监听的IP与端口反而变成了原点。所以&＃xff0c;如果我们想要防火墙能够达到“防火”的目的&＃xff0c;则需要在内核中设置关卡&＃xff0c;所有进出的报文都要通过这个关卡&＃xff0c;经过检查后&＃xff0c;符合放行条件的才能放行&＃xff0c;符合阻拦条件的则需要被阻止。于是&＃xff0c;就出现了INPUT关卡和OUTPUT关卡&＃xff0c;而这些关卡在iptables中被称之为“链”。
2. 另一种情况&＃xff0c;客户端发来的报文访问的目标地址可能并不是本机&＃xff0c;而是其他服务器&＃xff0c;当本机的内核支持IP_FORWARD时&＃xff0c;我们可以将报文给其他服务器&＃xff0c;所以这个时候&＃xff0c;我们就会提到iptables中的其他“关卡”&＃xff0c;也就是其他“链”&＃xff0c;他们就是“路由前”、“转发”、“路由后”&＃xff0c;他们的英文名称为&＃xff1a;PREROUTING、FORWARD、POSTROUTING。

   总结&＃xff1a;当我们启用了防火墙功能时&＃xff0c;报文需要经过关卡&＃xff0c;也就是说&＃xff0c;根据实际情况的不同&＃xff0c;报文经过“链”可能不同。如果报文需要转发&＃xff0c;那么报文则不会经过INPUT链发往用户空间&＃xff0c;而是直接在内核空间经过FORWARD链和POSTROUTING链转发出去。

由此我们可以总结出报文的流向

1. 到本机某进程的报文&＃xff1a;PREROUTING --> INPUT
2. 由本级转发的报文&＃xff1a;PREROUTING --> FORWARD --> POSTROUTING
3. 有本机的某进程发出的报文&＃xff08;通常为响应报文&＃xff09;&＃xff1a;OUTPUT --> POSTROUTING

表

当我们对每个“链”上都放置了一串规则&＃xff0c;但是这些规则是有些很相似&＃xff0c;比如&＃xff0c;A类规则都是对IP或者端口的过滤&＃xff0c;B类规则是修改报文&＃xff0c;那么这个时候&＃xff0c;我们就需要把实现相同功能的规则放在一起。
我们把具有相同功能的规则的集合叫做“表”。所以说&＃xff0c;不同功能的规则&＃xff0c;我们可以放置在不同的表中进行管理。而iptables已经为我们定义了4中表&＃xff0c;每种表对应了不同的功能&＃xff0c;而我们定义的规则也都逃脱不了这4中功能的范围&＃xff0c;也就是说&＃xff0c;所有的规则都存在于这4张“表”中。
iptables为我们提供的表的分类&＃xff0c;如下&＃xff1a;

1. filter表&＃xff1a;负责过滤功能&＃xff0c;烦恼歌×××&＃xff1b;内核模块&＃xff1b;iptables_filter
2. nat表&＃xff1a;网络地址转换功能&＃xff1b;内核模块&＃xff1b;iptables_nat
3. mangle表&＃xff1a;拆解报文&＃xff0c;做出修改&＃xff0c;并重新封装的功能&＃xff1b;iptables_mangle
4. raw表&＃xff1a;关闭nat表上启用的连接追踪机制&＃xff1b;iptables_raw

表链关系

链的规则存放于哪些表中&＃xff08;从链到表的对应关系&＃xff09;

PREROUTING 的规则可以存在于&＃xff1a;raw表、mangle表、nat表。
INPUT 的规则可以存在于&＃xff1a;mangle表、filter表 &＃xff08;centos7中还有nat表&＃xff0c;centos6中没有&＃xff09;。
FORWARD 的规则可以存在于&＃xff1a;mangle表、filter表。
OUTPUT 的规则可以存在于&＃xff1a;raw表、mangle表、nat表、filter表。
POSTROUTING 的规则可以存在于&＃xff1a;mangle表、nat表。

表中的规则可以被哪些链使用&＃xff08;从表到链的对应关系&＃xff09;

raw 表中的规则可以被哪些链使用&＃xff1a;PREROUTING、OUTPUT
mangle 表中的规则可以被哪些链使用&＃xff1a;PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING
nat 表中的规则可以被哪些链使用&＃xff1a;PREROUTING、OUTPUT、POSTROUTING&＃xff08;centos7中还有INPUT&＃xff0c;centos6中没有&＃xff09;
filter 表中的规则可以被哪些链使用&＃xff1a;INPUT、FORWARD、OUTPUT

注意&＃xff1a;当数据包经过一个“链”的时候&＃xff0c;会将当前链的所有规则都匹配一遍&＃xff0c;但是匹配时要按照顺序&＃xff0c;一条一条的去匹配。

处理动作

  ACCEPT&＃xff1a;允许数据包通过
  DROP&＃xff1a;直接丢弃数据包&＃xff0c;不给任何回应信息&＃xff0c;这时候客户端会感觉自己的请求石沉大海了&＃xff0c;过了超时时间才会有反应。
  REJECT&＃xff1a;拒绝数据包通过&＃xff0c;必要时会给数据发送端一个相应的信息&＃xff0c;客户端刚请求就会收到拒绝的信息。
  SNAT&＃xff1a;源地址转换&＃xff0c;解决内网用户用同一个公网地址上网的问题。
  MASQUERADE&＃xff1a;是SNAT的一种特殊形式&＃xff0c;适用于动态的、临时会变的IP上。
  DNAT&＃xff1a;目标地址转换。
  REDIRECT&＃xff1a;在本机做端口映射。
  LOG&＃xff1a;在/var/log/messages文件中记录日志信息&＃xff0c;然后将数据包传递给下一条数据&＃xff0c;也就是说除了记录以外不对数据包做任何其他操作&＃xff0c;仍然让下一条规则去匹配。

iptables命令参数

-n&＃xff1a;以数字格式显示地址和端口号
-v&＃xff1a;显示详细信息
-vv&＃xff1a;更详细
-L&＃xff1a;查看规则

[root&＃64;CentOS7-2 ~]#iptables -vnL
Chain INPUT (policy ACCEPT 14412 packets, 1265K bytes)pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 22 packets, 1848 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 1154 packets, 139K bytes)pkts bytes target prot opt in out source destination

-t&＃xff1a;指定表

[root&＃64;CentOS7-2 ~]#iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 154 packets, 21417 bytes)pkts bytes target prot opt in out source destinationChain INPUT (policy ACCEPT 139 packets, 20247 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination

-A&＃xff1a;添加规则
  -p&＃xff1a;指定协议、--dport&＃xff1a;指定目标端口、--sport&＃xff1a;指定源端口

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.104 -p icmp -j REJECT
[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.1 -j ACCEPT

--line-numbers&＃xff1a;查看规则序列号

[root&＃64;CentOS7-2 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination0 0 REJECT icmp -- * * 192.168.36.100 0.0.0.0/0 reject-with icmp-port-unreachable120 8148 ACCEPT all -- * * 192.168.36.1
....

-R&＃xff1a;替换指定链上的指定规则编号

[root&＃64;CentOS7-2 ~]#iptables -R INPUT 1 -s 192.168.36.100 -p icmp -j REJECT
[root&＃64;CentOS7-2 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 56 packets, 5013 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT icmp -- * * 192.168.36.100 0.0.0.0/0 reject-with icmp-port-unreachable
....

-Z&＃xff1a;置零&＃xff0c;将计数器清零

[root&＃64;CentOS7-2 ~]#iptables -Z INPUT
[root&＃64;CentOS7-2 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 9 packets, 662 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT icmp -- * * 192.168.36.100 0.0.0.0/0 reject-with icmp-port-unreachable
....

-S&＃xff1a;以命令格式显示

[root&＃64;CentOS7-2 ~]#iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N TEST
-A INPUT -s 192.168.36.100/32 -p icmp -j REJECT --reject-with icmp-port-unreachable

-I&＃xff1a;插入&＃xff0c;要指明插入至的规则编号

[root&＃64;CentOS7-2 ~]#iptables -I INPUT 3 -j REJECT

-D&＃xff1a;删除规则&＃xff0c;要指明规则编号

规则删除&＃xff0c;后面的规则编号自动进行排序
[root&＃64;CentOS7-2 ~]#iptables -D INPUT 1
[root&＃64;CentOS7-2 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 193 13252 ACCEPT all -- * * 192.168.36.1 0.0.0.0/0
2 679 62517 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

-N&＃xff1a;new, 自定义一条新的规则链

[root&＃64;CentOS7-2 ~]#iptables -N TEST
[root&＃64;CentOS7-2 ~]#iptables -vnL
...
Chain TEST (0 references)pkts bytes target prot opt in out source destination

-X&＃xff1a;delete&＃xff0c;删除自定义的空的规则链

[root&＃64;CentOS7-2 ~]#iptables -X TEST-M

-P&＃xff1a;Policy&＃xff0c;设置默认策略&＃xff1b;对filter表中的链而言&＃xff0c;其默认策略有&＃xff1a;ACCEPT&＃xff1a;接受、DROP&＃xff1a;丢弃

[root&＃64;CentOS7-2 ~]#iptables -P INPUT DROP
[root&＃64;CentOS7-2 ~]#iptables -vnL
Chain INPUT (policy DROP 0 packets, 0 bytes)

-E&＃xff1a;重命名自定义链&＃xff1b;引用计数不为0的自定义链不能够被重命名&＃xff0c;也不能被删除

[root&＃64;CentOS7-2 ~]#iptables -E TEST TEST-M
[root&＃64;CentOS7-2 ~]#iptables -vnL
....
Chain TEST-M (0 references)pkts bytes target prot opt in out source destination

-F&＃xff1a;清空指定的规则链&＃xff0c;不指定链则清空当前表

[root&＃64;CentOS7-2 ~]#iptables -F -t filter

iptables的显示扩展&＃xff1a;必须使用-m选项指明要调用的扩展模块的扩展机制&＃xff0c;要手动加载扩展模块

multiport扩展

以离散方式定义多端口匹配,最多指定15个端口

1. --source-ports,--sports port[,port|,port:port]... 指定多个源端口
2. --destination-ports,--dports port[,port|,port:port]... 指定多个目标端口
3. --ports port[,port|,port:port]... 多个源或目标端口

例题&＃xff1a;拒绝192.1688.36.100主机访问192.168.36.104&＃xff08;本机&＃xff09;的20,21,22,80端口

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.100 -d 192.168.36.104 -p tcp -m multiport --dport 20:22,80 -j REJECT

iprange扩展

指明连续的&＃xff08;但一般不是整个网络&＃xff09;ip地址范围

1. --src-range from[-to] 源IP地址范围
2. --dst-range from[-to] 目标IP地址范围

例题&＃xff1a;禁止192.168.36.90-192.168.36.101主机访问192.168.36.104主机的80端口

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -d 192.168.36.104 -p tcp --dport 80 -m iprange --src-range 192.168.36.90-192.168.36.101 -j REJECT

mac扩展

指明源MAC地址
适用于&＃xff1a;PREROUTING, FORWARD&＃xff0c;INPUT链

1. --mac-source XX:XX:XX:XX:XX:XX

例题&＃xff1a;指明源MAC地址&＃xff0c;可以通过icmp协议访问本机

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.100 -p icmp -m mac --mac-source 00:0C:29:5A:43:B7 -j ACCEPT
[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.100 -j REJECT

string扩展

对报文中的应用层数据做字符串模式匹配检测

1. --algo {bm|kmp} 字符串匹配检测算法
   bm&＃xff1a;Boyer-Moore
   kmp&＃xff1a;Knuth-Pratt-Morris
2. --from offset 开始偏移
3. --to offset 结束偏移
4. --string pattern 要检测的字符串模式
5. --hex-string pattern要检测字符串模式&＃xff0c;16进制格式

例题1&＃xff1a;对访问的地址进行限制

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.100 -p tcp --dport 80 -m string --algo bm --string "mage" -j REJECT

例题2&＃xff1a;对web站点页面中任何包含magedu的字符串的页面进行规则限制

请求报文中不会包含mage&＃xff0c;一半来讲只包含访问某个页面&＃xff0c;那么请求内容无非包含了请求某个链接而已。
响应报文中会封装页面的内容信息&＃xff0c;因此网页内容会出现在响应报文中&＃xff0c;而不是请求报文。
所以&＃xff0c;对web页面内容进行规则限制需要在OUTPUT链进行规则设定[root&＃64;CentOS7-2 ~]#iptables -A OUTPUT -d 192.168.36.100 -p tcp --sport 80 -m string --algo bm --string "magedu" -j REJECT

例题3&＃xff1a;拒绝含有“OOXX”字样的报文进入主机

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -m string --algo bm --string "OOXX" -j REJECT

time扩展

根据将报文到达的时间与指定的时间范围进行匹配

1. --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
2. --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
3. --timestart hh:mm[:ss] 时间
4. --timestop hh:mm[:ss]
   4.1 [!] --monthdays day[,day...] 每个月的几号
   4.2 [!] --weekdays day[,day...] 星期几&＃xff0c;1 – 7 分别表示星期一到星期日
   4.3 [!] --kerneltz&＃xff1a;内核时区&＃xff0c;不建议使用&＃xff0c;CentOS7系统默认为UTC
   注意&＃xff1a; centos6 不支持kerneltz &＃xff0c;--localtz指定本地时区(默认)

例题1&＃xff1a;禁止192.168.36.0/24网段主机在08:00~18:00时间段内访问主机80端口

[root&＃64;CentOS7-2 ~]#iptables -A INPUT -s 192.168.36.0/24 -d 192.168.36.104 -p tcp --dport 80 -m time --timestart 08:00 --timestop 18:00 --kerneltz -j DROP

例题2&＃xff1a;周六日不能访问80端口

[root&＃64;CentOS7-2 ~]#iptables -A OUTPUT -p tcp --dport 80 -m time --weekdays 6,7 -j DROP

connlimit扩展模块

使用connlimit扩展模块&＃xff0c;可以限制每个IP地址同时链接到server端的连接数量&＃xff0c;注意&＃xff1a;不需要指定IP&＃xff0c;此模块默认就是针对“每个客户端IP”&＃xff0c;即对单IP的并发连接数限制。

1. --connlimit-upto #&＃xff1a;连接的数量小于等于#时匹配
2. --connlimit-above #&＃xff1a;连接的数量大于#时匹配
3. --connlimit-mask #&＃xff1a;某网段范围内的IP匹配

例题1&＃xff1a;每个IP地址最多只能占用两个ssh链接远程到本机

[root&＃64;CentOS7-2 ~]#iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j
REJECT

例题2&＃xff1a;24网段的IP地址限制server端ssh最多连接10个

[root&＃64;CentOS7-2 ~]#iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j REJECT

limit扩展模块

限制单位时间内流入的包的数量&＃xff0c;基于收发报文的速率做匹配

1. --limit #[/second|/minute|/hour|/day]
2. --limit-burst number &＃xff1a;指出“空闲时可放行的包的数量”&＃xff0c;默认值为5

例题&＃xff1a;每分钟生成放行10个icmp包

[root&＃64;CentOS7-2 ~]#iptables -t filter -I INPUT -p icmp -m limit --limit-burst 3 --limit 10/minute -j ACCEPT
[root&＃64;CentOS7-2 ~]#iptables -t filter -A INPUT -p icmp -j REJECT

state扩展

conntrack机制&＃xff1a;追踪本机上的请求和响应之间的关系
状态有如下几种&＃xff1a;

1. NEW&＃xff1a;新发出请求&＃xff1b;连接追踪信息库中不存在此连接的相关信息条目&＃xff0c;因此&＃xff0c;将其识别为第一次发出的请求
2. ESTABLISHED&＃xff1a;NEW状态之后&＃xff0c;连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
3. RELATED&＃xff1a;新发起的但与已有连接相关联的连接&＃xff0c;如&＃xff1a;ftp协议中的数据连接与命令连接之间的关系
4. INVALID&＃xff1a;无效的连接&＃xff0c;如flag标记不正确
5. UNTRACKED&＃xff1a;未进行追踪的连接&＃xff0c;如raw表中关闭追踪

例题1&＃xff1a;让已经建立的连接允许通过

[root&＃64;node2 ~]# iptables -R FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

例题2&＃xff1a;开启连接追踪放行响应的报文

[root&＃64;node2 ~]# iptables -I CLASS -m state --state ESTABLISHED,RELATED -j ACCEPT

网络防火墙实现

方法一&＃xff1a;通过请求(--icmp-type&＃61;8)与响应包(--icmp-type&＃61;0)进行iptables策略的配置

[root&＃64;LVS ~]#iptables -I FORWARD -s 192.168.36.0/24 -p icmp --icmp-type 8 -j ACCEPT
[root&＃64;LVS ~]#iptables -I FORWARD -d 192.168.36.0/24 -p icmp --icmp-type 0 -j ACCEPT

方法二&＃xff1a;通过报文状态跟踪进行判断

[root&＃64;LVS ~]#iptables -I FORWARD -s 192.168.36.0/24 -p icmp --icmp-type 8 -j ACCEPT
[root&＃64;LVS ~]#iptables -R FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root&＃64;LVS ~]#iptables -vnL
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED91 7644 ACCEPT icmp -- * * 192.168.36.0/24 0.0.0.0/0 icmptype 816 1344 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

SNAT

SNAT解决局域网访问互联网&＃xff0c;本地网络中的主机通过某一特定的地址访问外部网络&＃xff0c;实现地址伪装。请求报文&＃xff1a;修改源IP---POSTROUTING

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE

DNAT

DNAT解决内网私有地址可以被互联网访问&＃xff0c; 指数据包从网卡发送出去的时候&＃xff0c;修改数据包中的目的IP&＃xff0c;表现为如果你想访问A&＃xff0c;可是因为网关做了DNAT&＃xff0c;把所有访问A的数据包的目的IP全部修改为B&＃xff0c;那么&＃xff0c;你实际上访问的是B。请求报文&＃xff1a;修改目的IP---PREROUTING

iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22