Linux防火墙iptables的基础

时间:2022-05-01 15:20:21

一.网络访问控制

  1.Linux一般都是作为服务器系统使用,对外提供一些基于网络的服务

  2.通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能

  3.常见的访问控制包括:哪些IP可以访问服务器、可以使用哪些协议、哪些接口、是否需要对数据包进行修改等等。

  4.如服务器可能受到来自某IP的攻击,这时就需要禁止所有来自该IP的访问。

  5.Linux内核集成了网络访问控制功能,通过netfilter模块实现

二.IPTables

Linux内核通过netfilter模块实现网络访问控制功能,在用户层我们可以通过iptables程序对netfilter进行控制管理。

  1.netfilter可以对数据进行允许、丢弃、修改操作

  2.netfilter支持通过以下方式对数据包进行分类:

    -源IP地址
    -目标IP地址

    -使用接口

    -使用协议(TCP、UDP、ICMP等)

    -端口号

    -连接状态(new、ESTABLISHED、RELATED、INVALID)

三.Netfilter

  1.filter(chain)用以对数据进行过滤

  2.nat用以对数据包的源、目标地址进行修改

  3.mangle用以对数据包进行高级修改

四.常用功能

  1.作为服务器使用:

    过滤到本机的流量   - input链、filter表

    过滤到本机发出的流量 - output链、filter表

  2.作为路由器使用:

    过滤转发的流量 -forward链、filter表

    对转发数据的源、目标IP进行修改(NAT功能) -PREROUTING、POSTROUTING、nat表

五.规则

  1.iptables通过规则对数据进行访问控制

  2.一个规则使用一行配置

  3.规则按顺序排列

  4.当收到、发出、转发数据包时,使用规则对数据包进行匹配,按规则顺序进行逐条匹配。

  5.数据包按照第一个匹配上的规则执行相关动作:丢弃、放行、修改

  6.没有匹配规则,则使用默认动作(每个chain拥有各自的默认动作)

通过iptables命令创建一个规则,一条规则包含以下几个部分:

  iptables -t filter -A INPUT -s 192.168.1.1 -j DROP

        表          链         匹配属性           动作

    -表:规定使用的表(filter、nat、mangle,不同表有不同功能)

    -链:规定过滤点

    -匹配属性:规定匹配数据包的特征

    -匹配后的动作:放行、丢弃、记录

六.基本操作

  1.列出现有iptables规则:

    iptables -L

  2.插入一个规则:

    iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT

  3.删除一个iptables规则:

    iptables -D INPUT 3 iptables -D INPUT -s 192.168.1.2 -j DROP

  4.删除所有规则:

    iptables -F

七.匹配参数

  1.基于IP地址:

    -s 192.168.1.1

    -d 10.0.0.0/8

  2.基于接口:

    -i eth0

    -o eth1

  3.排除参数:

    -s '!' 192.168.1.0/24

  4.基于协议及端口:

    -p tcp --dport 23

    -p udp --sport 53

    -p icmp

八.INPUT、OUTPUT

  1.控制到本机的网络流量:

    iptables -A INPUT -s 192.168.1.100 -j DROP

    iptables -A INPUT -p tcp --dport 80 -j DROP

    iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

    iptables -A INPUT -i eth0 -j ACCEPT

九.FORWARD

当使用Linux作为路由(进行数据转发)设备使用的时候,可以通过定义forward规则来进行转发控制 如:

  禁止所有192.168.1.0/24到10.1.1.0/24的流量:

  iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP

十.NAT

  1.NAT(Network Address Translation)网络地址转换是用来对数据包的IP地址进行修改的机制,NAT分为两种:

    -SNAT 源地址转换,通常用于伪装内部地址(一般意义上的NAT)

    -DNAT 目标地址转换,通常用于跳转

  2.iptables中实现NAT功能的是NAT表

十一.常用NAT

  1.通过NAT进行跳转:

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10

  2.通过NAT对出向数据进行跳转:

    iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080

  3.通过NAT对数据流进行伪装

    (一般意义上的NAT,将内部地址全部伪装为一个外部公网IP地址)

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  4.通过NAT隐藏源IP地址

    iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4

十二.配置文件

  1.通过iptables添加的规则并不会永久保存,如果需要永久保存规则,则需要将规则保存在/etc/sysconfig/iptables配置文件中

  2.可以通过以下命令将iptables规则写入配置文件:

    service iptables save

  3.CentOS/RHEL系统会带有默认iptables规则,默认保存在/etc/sysconfig/iptables中,保存自定义规则会覆盖这些默认规则

注意:

如果是远程管理一个Linux主机并修改iptables规则,则必须先允许来自客户端主机的SSH流量确保这是第一条iptables规则,否则可能会由于配置失误将自己锁在外面!