iptables防火墙规则介绍与配置
防火墙简单介绍
- 防火墙根据什么对外网的进出数据流进行控制?
- 源IP、目标IP、源端口号、目标端口号、协议、指针位(SYN、FIN、ACK、RST)、状态(NEW、ESTABLISHED、INVIAD)、MAC地址等
防火墙的分类?
1、从软硬角度
- 软件:ISA、windows自带的、iptables
- 硬件:ASA、juniper
工作的层次不同
- 网络防火墙:工作在三层
- 状态防火墙:工作在三层
- 代理防火墙:工作在应用层 反向代理(squid、nginx、varnish、haproxy、lvs)
iptables
# 五链(钩子函数)
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
# 四表
raw:负责数据的状态跟踪
PREROUTING
OUTPUT
mangle:修改数据的标识
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
nat:修改源、目标ip或端口
PREROUTING
POSTROUTING
OUTPUT
filter:数据的过滤
INPUT
OUTPUT
FORWARD
书写规则的方法
“堵”:使用画像一个一个比对 白名单
“通”:使用“良民证”,有可以通过,没有拒绝通过 黑名单
规则的匹配方法
自上往下,逐一匹配;匹配即停止(除log外),未匹配则使用默认
注意:
书写规则时一定注意先后顺序
书写规则的建议
越详细越写在规则的前面,越模糊越往后;如模糊包含详细则使用模糊。
表的匹配顺序
raw—–> mangle—–> nat—–> filter
规则链的匹配顺序
- 入站数据:PREROUTING—->INPUT
- 出站数据:OUTPUT—–>POSTROUTING
- 转发数据:PREROUTING—–>FORWARD——>POSTRING
#开启linux的路由转发功能:
1、临时
[root@localhost ~]# echo “1” > /proc/sys/net/ipv4/ip_forward
或
[root@localhost ~]# /sbin/sysctl -w net.ipv4.ip_forward=1
2、永久
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 //将原来的0改为1,
[root@localhost ~]# sysctl -p //使对/etc/sysctl.conf的修改的生效
iptables规则的语法
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 动作或跳转]
注意事项:
1、中括号内的内容可以省略
2、缺省表,指的是filter表
3、链名、动作或跳转字母必须大写
4、设置链的默认策略/规则,可以不写条件匹配,此外必须都写
5、不指定链名,为该表内的所有链
动作:
ACCEPT 允许
DROP 丢弃,时不时会返回一些信息
LOG 记录日志
REJECT 拒绝
SNAT 修改源IP地址
DNAT 修改目标IP地址
MASQUERADE 地址伪装
管理选项:
编辑规则:
-A:在指定链末尾添加新规则
-I: 在指定链首部或指定位置插入规则
-R: 修改、替换指定链中的某一条规则,按规则的序号或内容确定
-P:设置指定链的默认规则
-N:新建一条用户自定义的规则链
清除规则:
-D:删除指定链中的某一条规则,按规则的序号或内容确定
-F:清空指定链中的所有规则
-X:删除指定表中用户自定义的规则链
查看规则:
-L:列出指定中所有的规则进行查看,若未指定链名,则列出表中所有链的内容
-n:使用数字形式显示输出结果
-v:插卡规则列表时显示详细信息
–line-numbers:查看规则列表时,同时显示规则在链中的序号
-h:查看命令的帮助信息
-V:查看iptables命令工具的版本信息
条件匹配:
通用条件匹配:
-p 协议名称: 常用的有ip、tcp、udp、icmp等 !取反 如:-p !icmp(除了icmp协议)
-s 源IP地址或-s 源网络/子网掩码
-d 目标IP地址或-d 目标网络/子网掩码
-i 接口名称: 如 -i eth0(数据从网卡eth0进入)
-o 接口名称: 如 -o eth2(数据从网卡eth2出去)
隐含条件匹配:
–sport:源端口号 端口号1:端口号2(表示连续的端口)
–dport:目标端口号
–tcp-flags:
格式:–tcp-flags 检查的标志位范围 设置的标志位
说明:
标志位的范围:SYN,RST,ACK,FIN
设置的标志位:该标志位为1,则匹配规则
例如:iptables -A INPUT -s 192.168.100.20 -p tcp –tcp-flags SYN,ACK,RST,FIN SYN -j ACCEPT
或
iptables -A INPUT -s 192.168.100.20 -p tcp –syn -j ACCEPT
! –syn:
–icmp-type: icmp消息的类型
echo-request/8: 请求
echo-reply/0: 回应
显示条件匹配:
-m limit:
–limit 速度:n/s:每秒n个数据包 n/m:每分钟n个数据包 n/h:每小时n个数据包
–limit-burst 峰值: 默认是5
-m connlimit:
–connlimit-above n: 运行建立n个以上的连接
!–connlimit-above n: 只允许连接小于等于n个连接
-m state:
–state:
new(发起连接请求)、established(连接建立成功)、related(连接相关联)、invalid(无效)、none(无)
-m iprange:
–src-range IP地址范围:
–dst-range IP地址范围:使用“-”表示连续
-m multiport:
–sports 源端口范围:
–dports 目标端口范围:使用“:”表示连续;多个不连续的端口使用“,”分割
-m mac:
–source-mac 源MAC:
规则的保存
service iptables save:将编辑的好的规则保存至/etc/sysconfig/iptables中,iptables服务重启时会自动应用保存在该文件中的规则
iptables-save:将编辑好的规则导出至指定位置 例如:iptables-save > /tmp/defaultrule
iptables-restore:导入编辑好的规则 如:iptables-restore < /tmp/defaultrule
防火墙配置
查看
iptables -nvL --line-number
-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数
-n 不对ip地址进行查,加上这个参数显示速度会快很多
-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口
–line-number 显示规则的序列号,这个参数在删除或修改规则时会用到
添加
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部
例如当前规则:
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.1 0.0.0.0/0
2 DROP all -- 192.168.1.2 0.0.0.0/0
3 DROP all -- 192.168.1.4 0.0.0.0/0
添加一条规则到尾部:
[root@test ~]# iptables -A INPUT -s 192.168.1.5 -j DROP
再插入一条规则到第三行:
[root@test ~]# iptables -I INPUT 3 -s 192.168.1.3 -j DROP
查看:
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.1 0.0.0.0/0
2 DROP all -- 192.168.1.2 0.0.0.0/0
3 DROP all -- 192.168.1.3 0.0.0.0/0
4 DROP all -- 192.168.1.4 0.0.0.0/0
5 DROP all -- 192.168.1.5 0.0.0.0/0
可以看到192.168.1.3插入到第三行,而原来的第三行192.168.1.4变成了第四行。
删除
删除用-D参数
删除之前添加的规则(iptables -A INPUT -s 192.168.1.5 -j DROP):
[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP
有时候有些规则太长,删除时要写一大串,既浪费时间又容易写错,这时我们可以先使用–line-number查看出该条规则的行号,再通过行号删除
[root@test ~]# iptables -nv --line-number
iptables v1.4.7: no command specified
Try `iptables -h' or 'iptables --help' for more information.
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.1 0.0.0.0/0
2 DROP all -- 192.168.1.2 0.0.0.0/0
3 DROP all -- 192.168.1.3 0.0.0.0/0
删除第二行规则
[root@test ~]# iptables -D INPUT 2
修改
修改使用-R参数
将第三行规则改为ACCEPT
先看下当前规则:
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.1 0.0.0.0/0
2 DROP all -- 192.168.1.2 0.0.0.0/0
3 DROP all -- 192.168.1.5 0.0.0.0/0
修改:
[root@test ~]# iptables -R INPUT 3 -j ACCEPT
再查看下:
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 192.168.1.1 0.0.0.0/0
2 DROP all -- 192.168.1.2 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
IPTABLES 规则(Rules)
牢记以下三点式理解iptables规则的关键:
Rules包括一个条件和一个目标(target)
如果满足条件,就执行目标(target)中的规则或者特定值。
如果不满足条件,就判断下一条Rules。
目标值(Target Values)
下面是你可以在target里指定的特殊值:
ACCEPT – 允许防火墙接收数据包
DROP – 防火墙丢弃包
QUEUE – 防火墙将数据包移交到用户空间
RETURN – 防火墙停止执行当前链中的后续Rules,并返回到调用链(the calling chain)中。
如果你执行iptables --list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙,你可以看到,它显示了默认的filter表,以及表内默认的input链, forward链, output链。
查看filter表(默认不加也是查看的filter表):
iptables -t filter --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
查看mangle表:
iptables -t mangle --list
查看NAT表:
iptables -t nat --list
查看RAW表:
iptables -t raw --list
注意:如果不指定-t选项,就只会显示默认的filter表。因此,以下两种命令形式是一个意思:
iptables -t filter --list (or) iptables --list
以下例子表明在filter表的input链, forward链, output链中存在规则:
iptables --list
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
以上输出包含下列字段:
num – 指定链中的规则编号
target – 指定条件或目标
prot – 协议:tcp, udp, icmp等
source – 数据包的源IP地址
destination – 数据包的目标IP地址
三、清空所有iptables规则
在配置iptables之前,你通常需要用iptables --list命令或者iptables-save命令查看有无现存规则,因为有时需要删除现有的iptables规则:
iptables --flush 或者 iptables -F
这两条命令是等效的。但是并非执行后就万事大吉了。你仍然需要检查规则是不是真的清空了,因为有的linux发行版上这个命令不会清除NAT表中的规则,此时只能手动清除:
iptables -t NAT -F
四、永久生效
当你删除、添加规则后,这些更改并不能永久生效,这些规则很有可能在系统重启后恢复原样。为了让配置永久生效,根据平台的不同,具体操作也不同。下面进行简单介绍:
1.Ubuntu
首先,保存现有的规则:
iptables-save > /etc/iptables.rules
然后新建一个bash脚本,并保存到/etc/network/if-pre-up.d/目录下:
#!/bin/bash
iptables-restore < /etc/iptables.rules
这样,每次系统重启后iptables规则都会被自动加载。
注意:不要尝试在.bashrc或者.profile中执行以上命令,因为用户通常不是root,而且这只能在登录时加载iptables规则。
2.CentOS, RedHat
# 保存iptables规则
service iptables save
# 重启iptables服务
service iptables stop
service iptables start
查看当前规则:
cat /etc/sysconfig/iptables
追加规则的完整实例:仅允许SSH服务
本例实现的规则将仅允许SSH数据包通过本地计算机,其他一切连接(包括ping)都将被拒绝。
1.清空所有iptables规则
iptables -F
2.接收目标端口为22的数据包
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
3.拒绝所有其他数据包
iptables -A INPUT -j DROP
默认链策略
警告:请勿在远程连接的服务器、虚拟机上测试!
当我们使用-L选项验证当前规则是发现,所有的链旁边都有policy ACCEPT标注,这表明当前链的默认策略为ACCEPT:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
这种情况下,如果没有明确添加DROP规则,那么默认情况下将采用ACCEPT策略进行过滤。除非:
a)为以上三个链单独添加DROP规则:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP
b)更改默认策略:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
糟糕!!如果你严格按照上一节的例子配置了iptables,并且现在使用的是SSH进行连接的,那么会话恐怕已经被迫终止了!
为什么呢?因为我们已经把OUTPUT链策略更改为DROP了。此时虽然服务器能接收数据,但是无法发送数据:
iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
配置应用程序规则
尽管前面已经介绍了如何初步限制除SSH以外的其他连接,但是那是在链默认策略为ACCEPT的情况下实现的,并且没有对输出数据包进行限制。本节在上一节基础上,以SSH和HTTP所使用的端口为例,教大家如何在默认链策略为DROP的情况下,进行防火墙设置。在这里,我们将引进一种新的参数-m state,并检查数据包的状态字段。
1.SSH
# 允许接收远程主机的SSH请求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 允许发送本地主机的SSH响应
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-m state: 启用状态匹配模块(state matching module)
–-state: 状态匹配模块的参数。当SSH客户端第一个数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED
–sport 22: sshd监听22端口,同时也通过该端口和客户端建立连接、传送数据。因此对于SSH服务器而言,源端口就是22
–dport 22: ssh客户端程序可以从本机的随机端口与SSH服务器的22端口建立连接。因此对于SSH客户端而言,目的端口就是22
如果服务器也需要使用SSH连接其他远程主机,则还需要增加以下配置:
# 送出的数据包目的端口为22
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# 接收的数据包源端口为22
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
2.HTTP
HTTP的配置与SSH类似:
# 允许接收远程主机的HTTP请求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# 允许发送本地主机的HTTP响应
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
配置默认链策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
3.允许远程主机进行SSH连接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
4.允许本地主机进行SSH连接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
5.允许HTTP请求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
防火墙SNAT、DNAT策略配置
NAT包含DNAT和SNAT
- DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口
- SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
实验测试
1.环境准备
VMware软件
Windows虚拟机作为客户端,IP地址为 12.0.0.12
一台centos7虚拟机作为防火墙,IP地址为12.0.0.1和192.168.10.1
一台centos7虚拟机作为局域网web服务器,IP地址为192.168.10.10
关闭所有主机的Firewalld服务,安装iptables-server,开启iptables防火墙,清空所有规则,内网和外网web服务器安装httpd服务并开启
开启防火墙服务器的路由转发功能
实验过程
2.Windows客户机设置
3.web服务器设置
网卡为NAT模式,先安装httpd服务
[root@localhost ~]# yum install httpd -y
[root@localhost ~]# systemctl start httpd
4.修改为仅主机模式
5.编辑网卡,设置IP地址
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
...省略内容
BOOTPROTO="static" 将dhcp修改为static
...省略内容,末尾添加下面内容
IPADDR=192.168.10.10
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ifconfig
6.清空防火墙规则
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
7.防火墙配置网卡
添加一张网卡,两张网卡都改为仅主机模式
[root@firewall ~]# cd /etc/sysconfig/network-scripts/
[root@firewall network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[root@firewall network-scripts]# vim ifcfg-ens33
...省略内容
BOOTPROTO="static" 将dhcp修改为static
...省略内容。添加以下内容
IPADDR=192.168.10.1
NETMASK=255.255.255.0
[root@firewall network-scripts]# vim ifcfg-ens36
...省略内容
BOOTPROTO="static" 将dhcp修改为static
...省略内容
NAME="ens36" 将ens33修改为ens36
删除UUID
DEVICE="ens36" 将ens33修改为ens36
添加以下内容
IPADDR=12.0.0.1
NETMASK=255.255.255.0
[root@firewall network-scripts]# systemctl restart network
[root@firewall network-scripts]# ifconfig
8.关闭Linux虚拟机的防火墙,开启路由转发功能
[root@firewall network-scripts]# iptables -F 清空防火墙规则
[root@firewall network-scripts]# iptables -t nat -F 清空DNAT和SNAT规则
[root@firewall network-scripts]# vim /etc/sysctl.conf
..省略内容,末行添加下段内容
net.ipv4.ip_forward=1 开启路由转发功能
[root@firewall network-scripts]# sysctl -p 刷新sysctl.conf配置
net.ipv4.ip_forward = 1
9.设置DNAT和SNAT地址映射
[root@firewall ~]# iptables -t nat -I PREROUTING -d 12.0.0.1 -p tcp --dport 80 -i ens36 -j DNAT --to-destination 192.168.10.10
[root@firewall ~]# iptables -t nat -I POSTROUTING -s 192.168.10.10/24 -o ens36 -j SNAT --to-source 12.0.0.1
10.实验结果验证
客户端访问
QQ:1061767621
Q群:215481318
