Linux网络安全篇，认识防火墙（二），Netfilter

一.概述

因为iptables软件利用的是数据包的过滤的机制。所以它会分析数据包的报头数据。根据报头数据与定义的规则来决定该数据是否可以放行。若数据包内容与规则内容相同则放行，否则继续与下一条规则进行比较。我们可以发现这些规则是有顺序的。如果数据符合第一条规则，则不再理会后续的规则了。因此，规则的排列顺讯是非常重要的。

如果该数据与所有规则都不符合，则会通过默认操作，即数据包策略Policy。

二.iptables的整体框架

从名字我们就可以得知，iptables是一个管理多个表格的软件。而每个表格又有很多链（chain）。我们在上面（概述）提到的工作流程其实只是某个表格的某个链的执行原理。

如何查看当前iptables中已经存在的表以及其中的规则呢？

iptables [-t tables] [-L] [-nv]

-t ===> 后面接table，若省略则默认使用filter

-L ===> 列出目前的table的规则

-n ===> 不进行IP和HOSTNAME的反查

-v ===> 列出更多的信息

eg:

字段属性：

target ===> 代表进行的操作，ACCEPT事放行，而REJECT则是拒绝，DROP是丢弃

prot ===> 代表使用的数据包协议

opt ===> 额外的选项说明

source ===> 代表此规则是针对哪个来源IP进行限制

destination ===> 代表此规则是针对哪个目标IP进行限制

主要的表及其内部包含的链：

Filter（过滤器）：

主要跟进入Linux本机的数据包有关，是默认的table。

INPUT：与要进入本机的数据包有关

OUTPUT：与本机要送出的数据包有关

FORWARD：与本机没有关系，可以传递数据包到后端的计算机中，与NAT的相关性较高

NAT（地址转换）：

PREROUTING:路由判断之前要进行的规则

POSTROUTING:路由判断之后要进行的规则

OUTPUT：与发送出去的数据包有关

这个用来进行来源与目的地的IP或port的转换，与本机无关，主要与Linux主机后的局域网内计算机有关

Mangle（破坏者）：

特殊的数据包。该表与特殊标志相关性较高

三、常用命令

1.查看完整的防火墙规则（没有格式化输出）

iptables-save [-t table]

2.清除规则

iptables [-t tables] [-FXZ]

-F ===> 清除所有的已制定规则

-X ===> 删除所有用户“自定义”的链（chain）

-Z ===> 将所有用户的链（chain）的计数与流量都归零

注意：这三条命令会将本机防火墙规则都清除，但是不会改变默认策略（policy）

3.定义默认策略

策略（policy） ：当数据包不在我们设置的规则之内时，它的通过与否是以策略（policy）的设置为准。

iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT|DROP]

-P ===> 定义策略（Policy）

ACCEPT ===> 该数据包可接受

DROP ===> 该数据包直接丢弃，不会让Client端知道为何丢弃

eg:

将本机的INPUT设置为DROP

iptables -P INPUT DROP

4.数据包的基础对比

iptables [-A/I 链名] [-i/o 网络接口] [-p 协议] [-s 来源IP/网络] [-d 目标IP/网络] -j [ACCEPT|DROP|REJECT|LOG]

-A ===> 新增一条规则到该链的最后面

-I ===> 插入一条规则，若没有指明此规则的顺序，则默认插入变成第一条规则

-i ===> 设置数据包进入网络接口（eth0,lo等）的规范，需要与INPUT链配合

-o ===> 设置数据包传出网络接口的规范，需要与OUTPUT链配合

-p ===> 设置改规则适用于哪种数据包格式（tcp,udp,icmp,all）

-s ===> 设置此规则之数据包的来源地，可以为IP（如192.168.1.1）或网络（如192.168.1.0/24或192.168.1.0 255.255.255.0）

-d ===> 设置此规则之数据包的目标IP或网络

-j ===> 后面接操作，ACCEPT（接受），DROP（丢弃）,REJECT（拒绝）,LOG（记录）

注意：如果没有设置某个参数，则代表无论该参数代表的值为何值都接受

eg:

（1）.

iptables -A INPUT -i lo -j ACCEPT 

该命令的意思是：设置lo成为受信任的设备，亦即进入和出去lo的数据都予以接受。

（2）.

iptables -A INPUT -i eth1 -j ACCEPT

该命令的意思是：设置eth1网卡为信任网卡。即该网卡没有任何防备。

5.TCP、UDP的规则比对：针对端口设置

iptables [-A/I 链] [-i/o 网络接口] [-p tcp,udp] [-s 来源IP/网络] [--sport 端口范围] [-d 目标IP/网络] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]

--sport ===> 端口范围，限制来源的端口号码

--dport ===> 端口范围，限制目标的端口号码

注意：因为仅有tcp与udp数据包具有端口，因此要想使用--dport,sport时，需要加上-p tcp或-p udp的参数才会成功

eg:将想要连接进入本机port 21的数据包全部阻挡

iptables -A INPUT -i ens33 -p tcp --dport 21 -j DROP

6.特殊标志，对主动连接SYN的处理

eg:

将来自任何地方来源port 1:1023的主动连接到本机端的 1:1023连接丢弃

iptables -A INPUT -i ens33 -p tcp --sport 1:2023 --dport 1:1023 --syn -j DROP 

注意：一般来说，客户端启用的port都大于1024，而服务器端启用的端口都小于1023。

7.iptables外挂模块：mac与state

iptables -A INPUT [-m state] [--state 状态]

-m ===> 接iptables的外挂模块

常见的外挂模块有：

state:状态模块

mac:网卡硬件地址

--state ===> 接数据包的状态

常见状态主要有：

INVALID：无效的数据包

ESTABLISHED：已经连接成功的连接状态

NEW：想要新建立连接的数据包状态

RELATED：表示这个数据包是与主机发送出去的数据包有关

eg:

（1）.只要已建立连接或与已发出请求相关的数据包就予以通过

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

（2）.针对局域网内的aa:bb:cc:dd:ee:ff主机开放其连接

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT