一、iptables防火墙

概述

• linux系统的防火墙：IP信息包过滤系统，它实际上由两个组件.NETfilter 和 iptables 组成
• 主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。

netfilter 和 iptables

netfilter

• netfilter属于“内核态”（Kernel Space，又称为内核空间）的防火墙功能体系。
• 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

• iptables属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
• 是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

netfilter/iptables

• netfilter/iptables后期简称为iptables。
• iptables是基于内核的防火墙，其中内置了raw、mangle、nat和 filter 四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

四表五链

• 规则表的作用：容纳各种规则链
• 规则链的作用：容纳各种防火墙规则
• 总结：表里有链，链里有规则

四表

• raw表：确定是否对该数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING。
• mangle表：修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
• nat表：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
• filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链，INPUT、FORWARD、OUTPUT。
  • 在 iptables 的四个规则表中，mangle 表和 raw 表的应用相对减少。

五链

• INPUT：处理入站数据包，匹配目标IP为本机的数据包。
• OUTPUT：处理出站数据包，一般不在此链上做配置。
• FORWARD：处理转发数据包，匹配流经本机的数据包。
• PREROUTING链：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。
• POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

规则表的匹配顺序

raw > mangle > nat > filter

规则链之间的匹配顺序

• 主机型防火墙
  • 入站数据（来自外界的数据包，且目标地址是防火墙本机）
    • PREROUTING --> INPUT --> 本机的应用程序
  • 出站数据（从防火墙本机向外部地址发送的数据包）
    • 本机的应用程序 --> OUTPUT --> POSTROUTING
• 网络型防火墙
  • 转发数据（需要经过防火墙转发的数据包）
    • PREROUTING --> FORWARD --> POSTROUTING
• 规则链内的匹配顺序
  • 自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
  • 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

iptables的安装

• centos 7默认使用firewalld防火墙，没有安装 iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装 iptables

#关闭防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
#安装并开启iptables服务
yum -y install iptables iptables-services
systemctl start iptables.service

iptables防火墙的配置方法

命令行配置格式

注意事项

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 选项、链名、控制类型使用大写字母，其余均为小写

常用的控制类型

常用的管理选项

匹配条件

• 直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

协议匹配：-p 协议名
地址匹配：-s 源地址、-d 目的地址	#可以是IP、网段、域名、空（任何地址）
接口匹配：-i 入站网卡、-o 出站网卡

例：
iptables -A FORWARD ! -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.80.11 -j DROP
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP

• 以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。
• 端口匹配

端口匹配：--sport 源端口、--dport 目的端口
#可以是个别端口、端口范围
--sport 1000			匹配源端口是1000的数据包
--sport 1000:3000		匹配源端口是1000-3000的数据包
--sport :3000			匹配源端口是3000及以下的数据包
--sport 1000:			匹配源端口是1000及以上的数据包
注意：--sport 和 --dport 必须配合 -p <协议类型> 使用
例：
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP

• TCP标记匹配

TCP标记匹配：--tcp-flags TCP标记
iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
#丢弃SYN请求包，放行其他包

• ICMP类型匹配

ICMP类型匹配：--icmp-type ICMP类型		
#可以是字符串、数字代码、、目标不可达
“Echo-Request”（代码为 8）表示 请求
“Echo-Reply”（代码为 0）表示 回显
“Destination-Unreachable”（代码为 3）表示 目标不可达
关于其它可用的 ICMP 协议类型，可以执行“iptables -p icmp -h”命令，查看帮助信息

• 要求以“-m 扩展模块”的形式明确指出类型，包括多端口、mac地址、IP范围、数据包状态等条件。
• 多端口匹配

多端口匹配：-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例：
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

• IP范围匹配

IP范围匹配：-m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP			
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包

• 状态匹配

状态匹配：-m state --state 连接状态
常见的连接状态：
NEW ：与任何连接无关的，还没开始连接
ESTABLISHED ：响应请求或者已建立连接的，连接态
RELATED ：与已有连接有相关性的（如FTP 主被动模式的数据连接），衍生态，一般与ESTABLISHED 配合使用
INVALID ：不能被识别属于哪个连接或没有任何状态
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
#禁止转发与正常 TCP 连接无关的非--syn 请求数据包（如伪造的网络攻击数据包）

SNAT原理与应用

SNAT应用环境

• 局域网主机共享单个公网IP地址接入Internet（私有IP不能在Internet中正常路由）

SNAT原理

• 修改数据包的源地址。

SNAT转换前提条件

• 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
• Linux网关开启IP路由转发

路由转发开启方式

临时打开：
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

永久打开：
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 	#将此行写入配置文件

sysctl -p 		#读取修改后的配置

SNAT转换

SNAT转换1：固定的公网IP地址：
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
									内网IP	      出站 外网网卡                   外网IP或地址池		

SNAT转换2：非固定的公网IP地址（共享动态IP地址）：
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

知识扩展

• 一个IP地址做SNAT转换，一般可以让内网 100到200 台主机实现上网。

DNAT原理与应用

DNAT 应用环境

在Internet中发布位于局域网内的服务器

DNAT原理

修改数据包的目的地址。

DNAT转换前提条件

• 局域网的服务器能够访问Internet
• 网关的外网地址有正确的DNS解析记录
• Linux网关开启IP路由转发

DNAT转换

1、发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
                             入站 外网网卡  外网IP											   内网服务器IP
 
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20
-------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------	
	
2、发布时修改目标端口			
#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools 		#若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

知识扩展

• 主机型防火墙：主要使用 INPUT、OUTPUT 链，设置规则时一般要详细的指定到端口
• 网络型防火墙：主要使用 FORWARD 链，设置规则时很少去指定到端口，一般指定到IP地址或者到网段即可

防火墙规则的备份和还原

导出（备份）所有表的规则

iptables-save > /opt/ipt.txt

导入（还原）规则

iptables-restore < /opt/ipt.txt

将iptables规则文件保存在 /etc/sysconfig/iptables 中，iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables			#停止iptables服务会清空掉所有表的规则
systemctl start iptables			#启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则