iptables 简单介绍及应用 Linux防火墙

iptables 即 Linux防火墙 的简单介绍及使用

iptables生效位置如下图:

　　其中, 网络防火墙也可以使用一台启用了iptables的Linux主机代替; 路由器或集线器等设施在拓扑中省略了;

那么上图显示出了iptables在哪里, 下面说一下iptables的工作原理:

我们知道Linux中所有的数据包接收和发送都是在 内核 中完成的, 但是iptables并不是工作在内核中的, 那如何实现防火墙的功能?

iptables工作在用户空间, 并向工作在内核中的netfilter定义规则, 由netfilter来完成过滤数据包的功能; netfilter是内核提供的框架;

那么iptables是怎么指挥的呢? (iptables规则定义, 四表五链)

五链包括: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING, 位置请参照上图, 如有不对请指正;

四表包括: filter  <-- nat <-- mangle <-- raw (有优先级顺序)

链表的功能实现:

filter： 过滤： INPUT, FORWARD, OUTPUT
nat： PREROUTING (DNAT做目标地址转换）, OUTPUT, POSTROUTING(SNAT, 目标地址转换) 
mangle： 拆解报文， 全部位置
raw： 连接追踪， PREROUTING, OUTPUT

　　注意: 连接追踪是一件比较耗资源的事情, 一般情况下不要使用;

小结: iptables用四表五链来设定过滤报文的规则, 而netfilter则根据大哥设定的规则办事;

那么我们下面就简单描述一下iptables的命令应用:

iptables命令使用:

　　iptables   [-t table]           SUBCOMMAND   CHAIN    CRETERIA     -j TARGET

　　           作用于哪个表              子命令              链         匹配标准          处理动作

　　-t table 省略时, 默认作用于filter

具体使用说明请查看 链接, 详细易懂

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

我们列几个常用的:

　　查看: iptables -L -n

　　清空: iptables -F

　　删除空的自定义链: iptables -X

　　设定指定链的默认策略: iptables -P {INPUT | OUTPUT | ... } {DROP | ACCEPT | REJECT ... }

我们假设你已经看过了上面的链接, 并了解了 -s -d -p -i -o 这些选项的含义, 那么下面就举几个简单实例:

首先, 我们打开一台CentOS 7 的虚拟机, 使用 iptables -L -n 查看当前规则设定:

　　注意: 如果发现规则比较多, 可以先禁用Firewalld, 并使用 iptables -F && iptables -X 清理, 然后再显示;

　　　　备注: 禁用 firewalld 方法: systemctl disable firewalld

这时, 我们是通过 ssh 远程登陆到 Linux的, 那么我们首先要确保 ssh 登陆的 通过性, 换句话说, 就是, 开放 22 端口的INPUT和OUTPUT

# iptables -I INPUT -d 你的Linux的IP地址 -p tcp -dport 22 -j ACCEPT

# iptables -I OUTPUT -s 你的Linux的IP地址 -p tcp -sport 22 -j ACCEPT

接下来, 我们将 INPUT 和 OUTPUT 的默认策略改为 DROP

# iptables -P INPUT DROP

# iptables -P OUTPUT DROP

不出意外的话, 如果你的主机上有80端口提供web服务, 那么现在已经无法访问了; 为什么呢?

因为我们 DROP 掉了所有的包, 除了访问22端口的, 和从22端口响应出去的;

为什么我要先说明 开放22端口 呢? 因为我第一次设置的时候, 先改了INPUT的默认策略为DROP, 然后我就被自己锁在门外面了......

那么, 现在我需要让web服务能够访问:

# iptables -I INPUT -d 你的Linux的IP地址 -p tcp -dport 80 -j ACCEPT

# iptables -I OUTPUT -s 你的Linux的IP地址 -p tcp -sport 80 -j ACCEPT

那这样一来, 岂不是跟上面开放22端口一模一样, 只是换了个端口? 对, 就是换了个端口...

有没有办法能够一次搞定呢? 有:

# iptables -I INPUT -d 你的Linux的IP地址 -p tcp -m multiport --dports 22,80 -j ACCEPT

# iptables -I OUTPUT -s 你的Linux的IP地址 -p tcp -m multiport --sports 22,80 -j ACCEPT

-m 是什么呢?

显式扩展: 必须显式指明使用的扩展模块; 查看当前主机支持的扩展模块方法: rpm -ql iptables | grep "\.so"

有关显式扩展的文章

如何保存及重载规则:

保存规则至指定文件:
iptables-save > /root/iptables.1 存储当前防火墙规则

从指定文件重载规则:
iptables-restore < /root/iptables.1 读取并启用以保存的防火墙规则

上文提到过使用Linux做为网络防火墙来使用, 下面简单介绍下:

• 准备: Linux主机四台, 一台做网络防火墙,配置两个网卡; 一台做外网主机; 两台做内网主机;
• 网络防火墙主机: 一个网卡对内, 设置ip地址为 192.168.50.1/24; 一个网卡对外
• 需要打开Linux的地址转发功能:
  • sysctl -w net.ipv4.ip_forward=1
  • cat /proc/sys/net/ipv4/ip_forward 为1
• 内网主机: 添加 192.168.50.0/24 的任意一个地址
• 外网主机: 添加路由规则 route add -net 192.168.50.0/24 gw 10.0.0.5 --> 注意此处用的是外网主机同一网段IP地址
• 测试ping
• 网络防火墙主机设置 iptables 的 FORWARD 链

  # iptables -P FORWARD DROP
  # iptables -I FORWARD -d 192.168.50.2 -p tcp --dport  -j ACCEPT --> 放行进来的
  # iptables -I FORWARD -s 192.168.50.2 -p tcp --sport  -j ACCEPT --> 放行出去的

• 同时放行httpd和ssh服务

  # iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
  # iptables -A FORWARD -d 192.168.50.2 -p tcp -m multiport --dports , -m state --state NEW -j ACCEPT

• 外网主机需要访问内网ftp服务器怎么办?
  • 网络防火墙 完成上面的三步走

    # modprobe nf-conntrack_ftp --> 加载模块
    # iptables -R FORWARD  -m state --state RELATED,ESTABLISHED --> 添加RELATED规则
    # iptables -R FORWARD  -d 192.168.50.2 -p tcp -m multiport --dports ,, -m state --state NEW -j ACCEPT

总结: iptables的使用灵活多变, 稍显复杂, 但只要弄懂了原理, 再复杂的规则也经不起慢慢推敲;