linux之防火墙工具

netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中。

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则。

由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上。

• 流入本机：PREROUTING --> INPUT–>用户空间进程

• 流出本机：用户空间进程 -->OUTPUT–> POSTROUTING

• 转发：PREROUTING --> FORWARD --> POSTROUTING

iptables介绍

-netfilter/iptables关系：

netfilter：

属于“内核态”又称内核空间（kernel space）的防火墙功能体系。linux 好多东西都是内核态 用户态，那我们运维人员关注的是用户态， 内核我们关注不是很多，内核基本是我们开发人员关心的事情是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables :

属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

iptables由四个表table和五个链chain以及一些规则组成。

iptables表、链

表

• filter：过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表

• nat：network address translation 地址转换规则表

• mangle：修改数据标记位规则表

• raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度

优先级由高到低的顺序为：
security -->raw-->mangle-->nat-->filter
raw：主要用来决定是否对数据包进行状态跟踪 包含两个规则链，OUTPUT、PREROUTING
mangle : 修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。
filter：负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即PREROUTING、POSTROUTING、OUTPUT

链

• INPUT: 处理入站数据包，匹配目标IP为本机的数据包。

• OUTPUT: 处理出站数据包，一般不在此链上做配置。

• FORWARD: 处理转发数据包，匹配流经本机的数据包。

• PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

• POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

iptables配置

CentOS7默认使用firewalld防火墙，需先关闭firewalld防火墙。

基本语法

iptables  [-t 规则表]  管理选项  [规则链]  [匹配条件]  [-j 处理动作]
​
iptables -t filter -A INPUT -s 192.168.0.1 -j DROP

iptables	table	command	chain	parameter	target
-t filter	-A  -I  -F  -P  -D  -R  -L -n  -v  --line-number  -N  -X  -Z  -S  -E	INPUT FORWARD OUTPUT PREROUTING POETROUTING	-p -s -d -i -o --sport --dport	-j ACCEPT -j DROP -j REJECT -j LOG

管理选项部分

• -A 向规则链中添加一条规则，末尾追加

• -I 在规则链的指定位置插入一条规则，未指定序号默认作为第一条

• -F 清除链中所有规则

• -P 设置规则链的默认策略

• -D 从规则链中删除一条规则

• -R 替换规则链中的一条规则

• -L 列出规则链中的所有规则

• -n 所有字段以数字形式显示

• -v 显示详细信息

• --line-number 查看规则编号

• -N 创建一个新的自定义规则链

• -X 删除一个自定义规则链

• -Z 清空规则链中所有规则的数据包和字节数统计

• -S 看链的所有规则或者某个链的规则/某个具体规则后面跟编号

• -E 重新命名规则链

#允许来自192.168.1.101的数据包进入INPUT链
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
​
#删除允许来自192.168.1.101的数据包进入INPUT链的规则
iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT
​
#在INPUT链的第2条规则之前插入一条允许来自192.168.1.101的数据包进入的规则
iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT
​
#将INPUT链中的第2条规则替换为拒绝来自192.168.1.101的数据包的规则
iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP
#列出INPUT链中的所有规则
iptables -L INPUT
​
#清空INPUT链中的所有规则
iptables -F INPUT
​
#清空INPUT链的数据包和字节数统计
iptables -Z INPUT
​
#将INPUT链的默认策略设置为DROP，即拒绝所有数据包
iptables -P INPUT DROP
​
#将FORWARD链重命名为NFORWARD
iptables -E FORWARD NFORWARD
#创建一个名为MYCHAIN的新规则链
iptables -N MYCHAIN
#删除名为MYCHAIN的自定义规则链
iptables -X MYCHAIN

匹配条件部分

• -p 指定要匹配的 协议类型，例如TCP、UDP、ICMP等

• -s 指定 源IP地址或地址范围

• -d 指定 目标IP地址或地址范围

• -i <网络接口> 指定 输入网络接口

• -o<网络接口> 指定 输出网络接口

• -m 指定 扩展模块，用于进一步定义匹配条件

• --icmp-type 指定ICMP类型

• --sport 指定源端口号或端口范围

• -- dport 指定目标端口号或端口范围

iptables -I INPUT -p icmp -j DROP
iptables -A FORWARD ! -p icmp -j ACCEPT           //感叹号”!”表示取反

处理动作部分

• DROP 直接 丢弃数据包，不给出任何回应信息

• REJECT 拒绝数据包通过，会给数据发送端一个响应信息

• ACCEPT 允许数据包通过(默认)

• SNAT 修改数据包的源地址

• DNAT 修改数据包的目的地址

• LOG 在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则

• MASQUERADE 伪装成一个非固定公网IP地址

查看规则

iptables -vnL #查看所有规则表的规则
​
-v 详细信息
-n 数字形式显示
-L 查看规则列表

iptable -vnL -t [规则表]  #查看规则表的规则链，默认filter表

扩展匹配条件（隐含扩展）

man iptables-extensions
查看扩展帮助

iptables 在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。

端口匹配

--sport和--dport 必须配合-p <协议类型>使用

--sport 源端口 
--dport 目的端口

#可以是个别端口、端口范围，只能用于匹配连续的端口，以源端口匹配为例：

格式	含义
–sport 1000	匹配源端口是1000的数据包
–sport 1000:3000	匹配源端口是1000-3000的数据包
–sport 1000:	匹配源端口是1000及以上的数据包
–sport :3000	匹配源端口是3000及以下的数据包

[root@localhost ~]#iptables -A INPUT -p tcp  --sport 10000:30000 -j REJECT 
#10000到30000 全部被拒

TCP标志匹配

 TCP标记匹配: --tcp-flags TCP标记：SYN,RST,ACK,SYN

TCP标志	功能
SYN（同步）	用于建立连接。
ACK（确认）	用于确认收到的数据。
FIN（结束）	用于关闭连接。
RST（复位）	用于重置连接。
URG（紧急）	用于指示数据中有紧急数据部分。
PSH（推送）	用于强制接收方立即处理数据。

#iptables允许通过来自ens33接口的,具有FIN、RST、ACK和SYN标志的TCP包
#丢弃SYN请求包，放行其他包
[root@localhost ~]#iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT

ICMP类型匹配

代码	含义
8	“Echo- Request” 表示请求
0	“Echo- Reply” 表示回复
3	"Dest ination-Unreachable"表示目标不可达

[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP         
#禁止其它主机ping本机
​
[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
#允许本机ping其它主机
​
[root@localhost ~]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT      
#当本机ping不通其它主机时提示目标不可达

显示扩展模块

显示扩展必须加 -m选项

multiport扩展 多端口

可用于匹配非连续的端口，以离散的方式匹配，最多支持15个端口。

iptables -A INPUT  -s 192.168.2.101 -p tcp -m multiport --dports 22,80,3306 -j REJECT 
#拒绝来自源IP地址为192.168.2.101的TCP流量，并且目标端口号为22、80和3306

iprange扩展 IP范围

iprange扩展功能模块用于在防火墙规则中匹配特定的IP地址范围。

基本格式
-m iprange --src-range IP范围
iptables -A INPUT  -m iprange --src-range 192.168.91.101-192.168.91.103 -j REJECT 
#拒绝来自源IP地址范围为192.168.91.101到192.168.91.103的所有流量，并且应用于INPUT链（也就是进入服务器的流量）
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包

mac扩展 MAC地址（一般不用）

mac模块用于匹配和处理MAC地址相关的防火墙规则，可以限制特定MAC地址的访问或过滤特定MAC地址的流量。（只有源MAC）

基本格式
-m mac --mac-source XX:XX:XX:XX:XX:XX  #根据源MAC地址匹配

string扩展 字符串

string模块用于在数据包的内容中搜索指定的字符串，并根据匹配结果执行相应的操作。

基本格式
-m string --string 字符串 --algo bm/kmp 
#bm kmp为字符串检测算法
iptables -A INPUT -p tcp --dport 80 -m string --string "example" --algo bm -j DROP
#对于目标端口为80的TCP流量，在数据包的内容中搜索字符串"example"
#如果匹配成功，则使用DROP动作丢弃该数据包

time模块

time模块用于根据时间条件匹配数据包，可以限制特定时间段内进出防火墙的数据包。

基本格式
-m time --匹配选项 匹配条件

匹配选项	含义
- -timestart	指定开始时间
- -timestop	指定结束时间
- -datestart	指定开始日期
- -datestop	指定结束日期
- -days	Mon-Fri

iptables -A INPUT -m time --timestart 08:00 --timestop 17:00 --datestart 2024-05-10 --datestop 2024-05-21 --days Mon-Fri -j ACCEPT
#在2024年5月10日至2024年5月21日期间的每个工作日的08:00至17:00之间，接受(ACCEPT)输入的数据
#如果不在指定的日期和时间范围内或不是工作日，则不匹配该规则

connlimit扩展 连接数量

connlimit扩展模块用于限制连接数量，根据活动连接数量的条件来控制数据包的流动。

基本格式
-m connlimit --connlimit-匹配选项 匹配条件

匹配选项	功能
above n	指定连接数量超过n个时触发匹配
upto n	指定连接数量小于n个时触发匹配
equal n	指定连接数量等于n个时触发匹配
mask	指定连接数量的掩码来匹配连接数量

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT
#对于TCP协议、目标端口为80的数据包，如果活动连接的数量超过10个，则拒绝该连接
​
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 16 -j REJECT
#对于TCP协议、目标端口为22（SSH）的数据包
#如果同一子网的连接数量超过5个，拒绝连接

state 连接状态（重要）

基本格式--state state 连接状态

常见连接状态	含义
NEW	与任何连接无关的，还没开始连接
ESTABLISHED	响应请求或者已建立连接的，连接态
RELATED	与已有连接有相关性的(如FTP主被动模式的数据连接)，衍生态，一般与ESTABLISHED 配合使用
INVALID	不能被识别属于哪个连接或没有任何状态
UNTRACKED	未进行追踪的连接，如：raw表中关闭追踪

iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
#对于输入的数据包，如果连接状态是NEW（新建连接）或ESTABLISHED（已建立连接），允许该数据包通过