【Linux】防火墙iptables详解
一、防护墙概述
防火墙是一种网络安全设备,用于监控和控制数据包在网络中的流动,以保护网络免受未经授权的访问、恶意攻击和其他安全威胁。防火墙可以是软件、硬件或组合体,其主要功能包括:
- 封端口封ip
- 实现NAT功能
- 共享上网
- 端口映射(端口转发),ip映射
二、防火墙
2.1名词
- 表(table):用来存放链的容器,防火墙最大的概念。
- 链(chain):用来存放规则的容器。
- 规则(policy):准许或拒绝规则,未来书写的防火墙条件就是各种防火墙规则。
2.2使用规则
1. 防⽕墙是 层层过滤 的,实际是按照配置规则的 顺序从上到下 ,从前到后进⾏过滤的。 2. 如果 匹配成功 规则,即明确表示是 拒绝 (DROP) 还是接收 (ACCEPT) , 数据包就不再向下匹配新的规则 。 3. 如果规则中没有明确表明是阻⽌还是通过的,也就是没有匹配规则,向下进⾏匹配,直到 匹配默认规则 得到明确的阻⽌还是通过。 4. 防⽕墙的 默认规则 是 所有规则都匹配完才会匹配的。
那么问题来了,如果是拒绝的规则,我们应该放在哪里呢?
回答:为了能够最快速的筛掉不必要的数据包,我们的拒绝规则肯定是要放在前面的,接受的放在后面。
2.3表与链
2.3.1简介
iptables分成4表五链。 4表:raw表、mangle表、filter表、nat表 五链:INPUT、OUTPUT、FORWARD 、PREROUTING、POSTROUTING 表全是小写字母,链全是大写字母。
2.3.2每个表说明
我们这里主要介绍filter表和nat表,其他的几乎用不到。
1)filter表
实现防⽕墙功能 : 屏蔽或准许 端⼝ ip
filter表 | 强调:主要和主机⾃身相关,真正负责主机防⽕墙功能的(过滤流⼊流出主机的数据包)filter表示iptables默认使⽤的表,这个表定义了三个链(chains) 企业⼯作场景:主机防⽕墙 |
|---|---|
INPUT | 负责过滤所有⽬标地址是本机地址的数据包 通俗来说: 就是过滤进⼊主机的数据包 ( 能否让数据包进⼊服务器) |
OUTPUT | 路过 : 负责转发流经主机的数据包。起转发的作⽤,和 NAT 关系很⼤,后⾯会详细介绍 LVS NAT模式, net.ipv4.ip_forward=0 |
FORWARD | 处理所有源地址是本机地址的数据包 通俗的讲:就是处理从主机发出去的数据包 |
2)nat表
实现 nat 功能:
- 实现共享上⽹(内⽹服务器上外⽹)
- 端⼝映射和ip映射
nat表 | 负责⽹络地址转换的,即来源与⽬的 IP 地址和 port 的转换。 应⽤:和主机本身无关,⼀般⽤于局域⽹共享上⽹或者特殊的端⼝转换服务相关。 ⼯作场景: 1. ⽤于企业路由( zebra )或网关( iptables ),共享上⽹( POSTROUTING ) 2. 做内部外部 IP 地址⼀对⼀映射( dmz ),硬件防⽕墙映射 IP 到内部服务器, ftp 服务 ( PREROUTING ) 3. WEB ,单个端⼝的映射,直接映射 80 端口( PREROUTING ) 这个表定义了 3 个链, nat 功能相当于⽹络的 acl 控制。和⽹络交换机 acl 类似 |
|---|---|
OUTPUT | 和主机放出去的数据包有关,改变主机发出数据包的⽬的地址。 |
PROROUTING | 在数据包到达防⽕墙时,进⾏路由判断之前执⾏的规则, 作⽤是改变数据包的⽬的地址、 ⽬的端口等 就是收信时,根据规则重写收件⼈的地址 例如:把公⽹ IP : xxx.xxx.xxx.xxx 映射到局域⽹的 xx.xx.xx.xx 服务器上。 如果是 web 服务,可以报 80 转换为局域⽹的服务器 9000 端⼝上 10.0.0.61 8080( ⽬标端⼝ ) ----nat---à 10.0.0.7 22 |
POSTROUTING | 在数据包离开防⽕墙时进⾏路由判断之后执⾏的规则,作⽤改变数据包的源地址,源端⼝等。 写好发件⼈的地址,要让家⼈回信时能够有地址可回。 例如。默认笔记本和虚拟机都是局域⽹地址,在出⽹的时候被路由器将源地址改为了公⽹地址。 ⽣产应⽤: 局域⽹共享上⽹ 。 |
流程图:
2.4环境的配置
我们需要有root权限(本文测试都是在root用户环境下)
//下载iptables [root@VM-8-13-centos ~]# yum install -y iptables-services //将配置文件永久写入文件 cat >>/etc/rc.local<<EOF modprobe ip_tables modprobe iptable_filter modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_state EOF //检查文件是否已经了iptables [root@VM-8-13-centos ~]# lsmod |egrep 'filter|nat|ipt'
//关闭防火墙 [root@VM-8-13-centos ~]# systemctl disabled firewalld [root@VM-8-13-centos ~]# systemctl disable firewalld //开启iptables服务 [root@VM-8-13-centos ~]# systemctl start iptables.service [root@VM-8-13-centos ~]# systemctl enable iptables.service //查看iptables服务状态 [root@VM-8-13-centos ~]# systemctl status iptables.service
//查看filter中的规则 [root@VM-8-13-centos ~]# iptables -nL
2.5iptables的命令参数
参数 | 含义 |
|---|---|
查看表 | |
-L | 显示表中的所有规则 |
-n | 不要把端⼝ 或 ip 反向解析为名字(查看表的时候更快) |
指定表 | |
-t | 指定表(不指定默认是 filter 表) |
指定链接(追加/头部插入/删除) | |
-A | append 追加 加⼊ 准许 类规则 |
-I | insert 把规则加在链的第 1 条 拒绝 类规则放在所有规则最上⾯ |
-D | delete 删除 |
-N | 添加用户自定义链 |
-X | 删除自定义链 |
-P | 修改默认规则 |
参数 | 含义 |
|---|---|
-p | 协议 protocal tcp/udp/icmp/all |
--doprt | ⽬标端⼝ dest destination 指定端⼝ 加上协议 -p tcp (这里之所以是--是为了和-d参数区分开) |
--sport | 源端⼝ source 源 |
-s | source 源 ip |
-d | destination ⽬标 ip |
-m | 指定模块 multiport |
-i | input 输⼊的时候 从哪个⽹卡进来 |
-o | ouput 输出的时候 从哪个⽹卡出去 |
参数 | 含义 |
|---|---|
-j | 满⾜条件后的动作 : DROP/ACCEPT/REJECT |
DROP REJECT 拒绝 DROP 把数据丢掉 不会返回信息给⽤户 REJECT 拒绝 返回拒绝信息 (这两个的区别就在于:一个是收到东西后直接丢了不和你说,另一个就是收到后直接和你说不喜欢。) |
参数 | 含义 |
|---|---|
-F | flush 清除所有规则,不会处理默认的规则 |
-x | 删除⽤户 ⾃定义的链 |
-Z | zero 链的计数器清零(数据包计数器与数据包字节计数器) |
下面是组合用法:
iptables 命令及选项 | 指定表 | 指定链 ( 插⼊ / 追加 / 删除 ) | ip | 具体要求 ( 端⼝ ,ip, 协议 ) | 端⼝ | 动作 |
|---|---|---|---|---|---|---|
iptables | -t nat | -A INPUT | -s | -p tcp/udp/icmp | --dport ⽬标端⼝ | -j DROP |
-I | -d | --sport 源端⼝ | -j REJECT | |||
-D | -j ACCEPT |
相信看到这么多参数已经头大了,没事,我们下面结合案例来看
2.6 配置filter表规则
2.6.1备份与恢复
备份:iptables-save >/etc/sysconfig/iptables 我们可以cat查看这个目录,这是我们本来保存的规则,我们将现在的内容写入配置文件保存起来。
恢复:iptables-restore </etc/sysconfig/iptables 我们先用 iptable -F清空规则,然后使用恢复。
2.6.2案例1:禁止访问22端口
我们先 iptables -F清空规则,然后加入规则: [root@VM-8-13-centos ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP 这时候可以发现,我们的云服务器直接退出了
这是因为我们登录使用的端口是22号端口,我们把22号端口禁止掉,那么我们相当于自杀了。这时候就需要重启云服务器让它重置到之前的样子。
2.6.3案例2:封ip 屏蔽某个ip
老规矩,先清空规则,然后加入规则:
[root@VM-8-13-centos ~]# iptables -I INPUT -s 106.52.90.67 -j DROP 这时候我们复制一个窗口,ping+自己云服务器的ip地址,这时候我们发现是无法收到自己发给自己的数据包的。
因为我们把自己的ip给封禁了。 我们输入 iptables -nL 查看此时表中的规则,如果此时的规则很多,我们删除的时候还需要数删除第几条,那么我们可以输入: [root@VM-8-13-centos ~]# iptables -nL --line-number
可以看到,现在显示的规则是会带上编号的。 我们删除第一条规则: [root@VM-8-13-centos ~]# iptables -D INPUT 1 此时我们把封禁的规则删除之后,我们又可以ping了
2.6.4案例3:只允许指定⽹段连⼊
实现阿⾥云⽩名单功能:默认是拒绝 开放端⼝ ⽹段 方法一:利⽤ ! 进⾏排除 iptables -I INPUT ! -s 106.52.90.0/24 -j DROP 我们通过上面案例,我们知道了怎么封禁单个ip,我们其实只需要加上一个感叹号,就可以实现只允许该ip连入。 到这里很多人就迷糊了,这个0/24是什么意思? 在网络中,CIDR(Classless Inter-Domain Routing)表示法用于指定一个IP地址和其对应的网络前缀长度。这个长度告诉我们IP地址中有多少位是网络地址,剩下的位数则是主机地址。 在106.52.90.0/24中,106.52.90.0/24是网络地址,
/24表示子网掩码,也就是前24位是网络地址,后8位是主机地址。这意味着这个网络中有 2^8 - 2 = 254 个可用的主机地址,因为其中的网络地址和广播地址都不能用于主机。 因此,106.52.90.0/24表示了一个包含106.52.90.0到 106.52.90.255 的范围内的所有IP地址的网络。这样的表示法在指定网络范围时非常常见。 方法二:修改链默认规则 修改为拒绝 添加准许 [root@VM-8-13-centos ~]# iptables -A INPUT -s 106.52.90.0/24 -j ACCEPT [root@VM-8-13-centos ~]# iptables -P INPUT DROP //重新改回 [root@VM-8-13-centos ~]# iptables -P INPUT ACCEPT
2.6.5 案例4:指定多个端⼝
参数:-m multiport 只要在参数中加一个这个参数,就代表需要设置多个端口。 [root@VM-8-13-centos ~]# iptables -A INPUT -m multiport -p tcp --dport 80,443 -j ACCEPT 如果是连续的多个端口,可以不需要加上这个,只需要用一个冒号:连接起来即可。 [root@VM-8-13-centos ~]# iptables -I INPUT -p tcp --dport 1024:65535 -j DROP 这样就把1024到65535的端口全部禁止掉了
2.6.6 案例5:匹配ICMP类型
- ICMP(Internet Control Message Protocol)Internet控制报⽂协议,ping就是用的ICMP协议
- 整个⽹站核⼼
通过防⽕墙规则 控制是否可以ping //icmp-type8 就是icmp协议的第8种功能,也就是ping功能 [root@VM-8-13-centos ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP 通过内核参数 控制 禁⽌被ping [root@VM-8-13-centos ~]# cat /etc/sysctl.conf #/proc/sys/net/ipv4/icmp_echo_ignore_all net.ipv4.icmp_echo_ignore_all = 1 [root@VM-8-13-centos ~]# sysctl -p net.ipv4.icmp_echo_ignore_all = 1 [root@VM-8-13-centos ~]# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all [root@VM-8-13-centos ~]# #net.ipv4.icmp_echo_ignore_all=1 写⼊到 /etc/sysctl.conf[root@oldboy-m01 ~]# #sysctl -p [root@VM-8-13-centos ~]# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
2.6.7案例6:匹配⽹络状态(TCP/IP连接状态)
- -m state --state
- NEW:已经或将启动新的连接
- ESTABLISHED:已建⽴的连接
- RELATED:正在启动的新连接
- INVALID:⾮法或⽆法识别的
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 通过指定适当的连接状态,可以根据连接的状态来过滤和处理数据包。例如,你可以设置防火墙规则只允许已建立的连接通过(
ESTABLISHED),从而增强网络安全性。
2.6.8案例7:限制并发速率
-m limit 限制模块 -m limit --limit n/{second/minute/hour}: 解释:指定时间内的请求速率”n”为速率,后⾯为时间分别为:秒 分 时 例如:-m limit --limit 10/minute #每分钟只能有10个数据包 每6秒⽣成 --limit-burst [n] 解释:在同⼀时间内允许通过的请求”n”为数字,不指定默认为5 测试: #ping icmp 协议 进⾏测试 iptables -F iptables -I INPUT -p icmp -m limit --limit 10/minute --limit-burst 5 -j ACCEPT iptables -A INPUT -p tcp --dport -j ACCEPT iptables -P INPUT DROP
2.7 nat
2.7.1共享上网
原理:
- 当我的局域网ip想要发送消息给百度的ip的时候,我需要先转成公网ip之后才能找到它。
- 如果消息包中的源ip在进入公网之后还是我的局域网的ip地址,那么当百度想要给我发送包的时候,就会在公网中找不到。因此,我们经过防火墙的SNAT源地址转换的时候,我们会把源ip换成公网的ip,这样在返回的时候才能找到。
操作:
//参数设置为1,开启ip转发功能 [root@VM-8-13-centos ~]# echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf //刷新一下 [root@VM-8-13-centos ~]# sudo sysctl -p //使用 iptables 设置转发规则,将局域网内部的数据包转发到外部网络。 [root@VM-8-13-centos ~]# sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 这里假设
eth0是连接外部网络的网络接口,您需要将其替换为您实际使用的网络接口名称。如果不确定网络接口名称,可以使用ifconfig命令查看。 //根据需要设置防火墙规则,以允许或拒绝特定的网络流量。 例如,允许局域网内部的流量: sudo iptables -A INPUT -i eth1 -j ACCEPT
2.7.2端口映射
有时候公网用户想要从局域网内某个端口使用局域网,那么我们就可以用端口映射。将我们所需要使用的局域网ip的端口映射到管理机的某个端口上,达到上网的目的。
//将局域网ip为10.0.8.13的22号端口 映射到 目的ip为公网ip 106.52.90.67的9000号端口。
//这里之所以是-d是站在数据包的角度的,数据包是从别的主机出发,目的ip是我们要找到的公网ip
[root@VM-8-13-centos ~]# iptables -t nat -A PREROUTING -d 106.52.90.67 -p tcp --dport 9000 -j
DNAT --to-destination 10.0.8.13:22
注意:这里还是需要注意一下之前我们在共享上网讲到的SNAT技术,不然往回传数据的时候又会找不到路了。