Linux软件防火墙iptables

Netfilter组件

• 内核空间，集成在linux内核中

• 官网文档：https://netfilter.org/documentation/

• 扩展各种网络服务的结构化底层框架

• 内核中选取五个位置放了五个hook(勾子) function

  INPUT （input 输入）

  OUTPUT （output 输出）

  FORWARD （forward 转发）

  PREROUTING （prerouting预路由）

  POSTROUTING （postrouting后路由）

  而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则

• 由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上

• 三种报文流向：

  • 流入本机：prerouting --> input-->用户空间进程
  • 流出本机：用户空间进程 -->output--> postrouting
  • 转发：prerouting --> forward --> postrouting

iptables的组成

• iptables由五个表和五个链以及一些规则组成

• 五个表table：filter、nat、mangle、raw、security

  • filter表：过滤规则表，根据预定义的规则过滤符合条件的数据包

  • nat表：network address translation 地址转换规则表

  • mangle：修改数据标记位规则表

  • raw：关闭NAT表上启用的连接跟踪机制，加快封包穿越防火墙速度

  • security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux）实现

    优先级由高到低的顺序为：security -->raw-->mangle-->nat-->filter

• 五个内置链chain

  INPUT （input 输入）

  OUTPUT （output 输出）

  FORWARD （forward 转发）

  PREROUTING （prerouting预路由）

  POSTROUTING （postrouting后路由）

四表

iptables的四个表iptable_filter，iptable_mangle，iptable_nat，iptable_raw，默认表是filter（没有指定表的时候就是filter表）。

• filter 表：用来对数据包进行过滤，具体的规则要求决定如何处理一个数据包。

  对应的内核模块为：iptable_filter，其表内包括三个链：input、forward、output;

• nat 表：nat 全称：network address translation 网络地址转换，主要用来修改数据包的 IP 地址、端口号信息。

  对应的内核模块为：iptable_nat，其表内包括三个链：prerouting、postrouting、output;

• mangle 表：主要用来修改数据包的服务类型，生存周期，为数据包设置标记，实现流量整形、策略路由等。

  对应的内核模块为：iptable_mangle，其表内包括五个链：prerouting、postrouting、input、output、forward;

• raw 表：主要用来决定是否对数据包进行状态跟踪。

  对应的内核模块为：iptable_raw，其表内包括两个链：output、prerouting;

表和链对应关系

数据包过滤匹配流程

IPTABLES和路由

路由功能发生的时间点

• 报文进入本机后
  • 判断目标主机是否为本机
    • 是：INPUT
    • 否：FORWARD
• 报文离开本机之前
  • 判断由哪个接口送往下一跳

内核中数据包的传输过程

内核中数据包的传输过程

• 当一个数据包进入网卡时，数据包首先进入prerouting链，内核根据数据包目的IP判断是否需要转送出去
• 如果数据包就是进入本机的，数据包就会沿着图向下移动，到达input链。数据包到达input链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过output链，然后到达postrouting链输出
• 如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过forward链，然后到达postrouting链输出

iptables规则

规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动作作出处理

• 匹配条件：默认为与条件，同时满足
  • 基本匹配：IP，端口，TCP的Flags（SYN,ACK等）
  • 扩展匹配：通过复杂高级功能匹配
• 处理动作：称为target，跳转目标
  • 内建处理动作：ACCEPT(允许)，DROP(丢弃)，REJECT(拒绝)，SNAT(源nat)，MARK(标记)，LOG(日志)...
  • 自定义处理动作：自定义链chain，利用分类管理复杂情形
• 规则要添加在链上，才生效；添加在自定义上不会自动生效
• 链chain：
  • 内置链：每个内置链对应于一个钩子函数
  • 自定义链：用于对内置链进行扩展或补充，可实现更灵活的规则组织管理机制；只有Hook钩子调用自定义链时，才生效

ptables添加要点

iptables规则添加时考量点

• 要实现哪种功能：判断添加在哪张表上
• 报文流经的路径：判断添加在哪个链上
• 报文的流向：判断源和目的
• 匹配规则：业务需要

实验环境准备：

需要关闭防火墙

• Centos7：systemctl stop firewalld.service

  ​ systemctl disable firewalld. service

• Centos6：service iptables stop

  ​ chkconfig iptables off

iptables命令

规则格式

iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

-t table

指定表 不指定-t选项，就是默认的filter表

raw, mangle, nat, [filter]默认

SUBCOMMAND：

1、链管理：

• -N：new, 自定义一条新的规则链
• -X或-F或-Z：delete，删除自定义的空的规则链，但是无法删除默认策略，也就是-P定义的策略
• -P：Policy，设置默认策略；对filter表中的链而言，其默认策略有：
  • ACCEPT：接受
  • DROP：丢弃
• -E：重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除

2、查看：

• -L：list, 列出指定鏈上的所有规则，本选项须置后

• -n：numberic，以数字格式显示地址和端口号

• -v：verbose，详细信息

  • -vv 更详细

• -x：exactly，显示计数器结果的精确值,而非单位转换后的易读值

• --line-numbers：显示规则的序号

  常用组合：

  • -vnL
  • -vvnxL --line-numbers

• -S selected,以iptables-save 命令格式显示链上规则

3、规则管理：

• -A：append，追加

• -I：insert, 插入，要指明插入至的规则编号，默认为第一条

• -D：delete，删除

  • (1) 指明规则序号
  • (2) 指明规则本身

• -R：replace，替换指定链上的指定规则编号

• -F：flush，清空指定的规则链

• -Z：zero，置零

  iptables的每条规则都有两个计数器

  • (1) 匹配到的报文的个数
  • (2) 匹配到的所有报文的大小之和

chain

INPUT （input 输入）

OUTPUT （output 输出）

FORWARD （forward 转发）

PREROUTING （prerouting预路由）

POSTROUTING （postrouting后路由）

匹配条件

• 基本：通用的，PARAMETERS
• 扩展：需加载模块，MATCH EXTENTIONS

1、基本匹配条件

无需加载模块，由iptables/netfilter自行提供

• -s, --source address[/mask][,...]：源IP地址或范围

• -d, --destination address[/mask][,...]：目标IP地址或范围

• -p, --protocol protocol：指定协议，可使用数字如0（all）

  • protocol：

    tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp, mh or“all“

    参看：/etc/protocols

• -i, --in-interface name：报文流入的接口

  只能应用于数据报文流入环节

  只应用于INPUT、FORWARD、PREROUTING链

• -o, --out-interface name：报文流出的接口

  只能应用于数据报文流出的环节

  只应用于FORWARD、OUTPUT、POSTROUTING链

2、扩展匹配条件

需要加载扩展模块（/usr/lib64/xtables/*.so），方可生效

• 查看帮助 man iptables-extensions

(1)隐式扩展

在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块

• tcp协议的扩展选项

  • --source-port, --sport port[:port]：匹配报文源端口,可为端口范围

  • --destination-port,--dport port[:port]：匹配报文目标端口,可为范围

  • --tcp-flags mask comp

    mask 需检查的标志位列表，用,分隔

    ​ 例如 SYN,ACK,FIN,RST

    comp 在mask列表中必须为1的标志位列表，无指定则必须为0，用,分隔

  • --syn：用于匹配第一次握手
    
    相当于：--tcp-flags SYN,ACK,FIN,RST SYN

• udp

  • --source-port, --sport port[:port]：匹配报文的源端口或端口范围
  • --destination-port,--dport port[:port]：匹配报文的目标端口或端口范围

• icmp

  • --icmp-type

    type/code：

    ​ 0/0 echo-reply icmp应答

    ​ 8/0 echo-request icmp请求

(2)显式扩展

必须使用-m选项指明要调用的扩展模块的扩展机制，要手动加载扩展模块

[-m matchname [per-match-options]]

• 1、multiport扩展

  以离散方式定义多端口匹配,最多指定15个端口

  • --source-ports,--sports port[,port|,port:port]...
    
    指定多个源端口

  • --destination-ports,--dports port[,port|,port:port]...
    
    指定多个目标端口

  • --ports port[,port|,port:port]...多个源或目标端口

    示例：
    
    iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT

• 2、iprange扩展

  指明连续的（但一般不是整个网络）ip地址范围

  • --src-range from[-to] 源IP地址范围

  • --dst-range from[-to] 目标IP地址范围

    示例：
    
    iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP

• 3、mac扩展

  指明源MAC地址

  适用于：prerouting, forward，input 链

  • --mac-source XX:XX:XX:XX:XX:XX

    示例：
    
    iptables -A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT

    iptables -A INPUT -s 172.16.0.100 -j REJECT

• 4、string扩展

  对报文中的应用层数据做字符串模式匹配检测

  --algo {bm|kmp} 字符串匹配检测算法

  • bm：Boyer-Moore
  • kmp：Knuth-Pratt-Morris

  --from offset 开始偏移

  --to offset 结束偏移

  • --string pattern 要检测的字符串模式
  • --hex-string pattern要检测字符串模式，16进制格式

  示例：
  
  iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string “google" -j REJECT

• 5、time扩展

  根据将报文到达的时间与指定的时间范围进行匹配

  • --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
  • --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  • --timestart hh:mm[:ss] 时间
  • --timestop hh:mm[:ss]
    • --monthdays day[,day...] 每个月的几号
    • --weekdays day[,day...] 星期几，1 – 7 分别表示星期一到星期日
      
      --kerneltz：内核时区，不建议使用，CentOS7系统默认为UTC
      
      注意： centos6 不支持kerneltz ，--localtz指定本地时区(默认)
      
      示例：
      
      iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP

• 6、connlimit扩展

  根据每客户端IP做并发连接数数量匹配

  可防止Dos(Denial of Service，拒绝服务)攻击

  • --connlimit-upto #：连接的数量小于等于#时匹配

  • --connlimit-above #：连接的数量大于#时匹配

    通常分别与默认的拒绝或允许策略配合使用

    示例：

    iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

• 7、limit扩展

  基于收发报文的速率做匹配

  令牌桶过滤器

  • --limit #[/second|/minute|/hour|/day]

  • --limit-burst number

    示例：

    iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

• 8、state扩展

  根据”连接追踪机制“去检查连接的状态，较耗资源

  conntrack机制：追踪本机上的请求和响应之间的关系
  
  状态有如下几种：

  • NEW：新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求

  • ESTABLISHED：NEW状态之后和连接失效之前，期间所进行的通信状态

  • RELATED：新发起的，但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系

  • INVALID：无效的连接，如flag标记不正确

  • UNTRACKED：未进行追踪的连接，如raw表中关闭追踪

  --state state
  
  示例：
  
  iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT

  iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

  ---

  已经追踪到的并记录下来的连接信息库
  
  /proc/net/nf_conntrack
  
  调整连接追踪功能所能够容纳的最大连接数量
  
  /proc/sys/net/nf_conntrack_max
  
  不同的协议的连接追踪时长
  
  /proc/sys/net/netfilter/

  iptables的链接跟踪表最大容量为/proc/sys/net/nf_conntrack_max，各种状态的超
  
  时链接会从表中删除；当模板满载时，后续连接可能会超时
  
  解决方法两个：

  • (1) 加大nf_conntrack_max 值
    
    vi /etc/sysctl.conf
    
    net.nf_conntrack_max = 393216
    
    net.netfilter.nf_conntrack_max = 393216
  • (2) 降低 nf_conntrack timeout时间
    
    vi /etc/sysctl.conf
    
    net.netfilter.nf_conntrack_tcp_timeout_established = 300
    
    net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
    
    net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
    
    net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
    
    iptables -t nat -L -n

处理动作：

• -j targetname [per-target-options]
  • 简单：ACCEPT，DROP
  • 扩展：REJECT：--reject-with:icmp-port-unreachable默认
    • RETURN：返回调用链
    • REDIRECT：端口重定向
    • LOG：记录日志，dmesg
    • MARK：做防火墙标记
    • DNAT：目标地址转换
    • SNAT：源地址转换
    • MASQUERADE：地址伪装
      
      ...
    • 自定义链：

Target：

ACCEPT， DROP

REJECT， RETURN ，LOG， SNAT， DNAT， REDIRECT， MASQUERADE，..

• LOG：非中断target,本身不拒绝和允许,放在拒绝和允许规则前，并将日志记录在/var/log/messages系统日志中

  • --log-level level 级别： debug，info，notice, warning, error, crit, alert,emerg

  • --log-prefix prefix 日志前缀，用于区别不同的日志，最多29个字符

    示例：

    iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "

设置技巧

任何不允许的访问，应该在请求到达时给予拒绝

规则在链接上的次序即为其检查时的生效次序

基于上述，规则优化

• 1 安全放行所有入站和出站的状态为ESTABLISHED状态连接
• 2 谨慎放行入站的新请求
• 3 有特殊目的限制访问功能，要在放行规则之前加以拒绝
• 4 同类规则（访问同一应用），匹配范围小的放在前面，用于特殊处理
• 5 不同类的规则（访问不同应用），匹配范围大的放在前面
• 6 应该将那些可由一条规则能够描述的多个规则合并为一条
• 7 设置默认策略，建议白名单（只放行特定连接）
  • 1） iptables -P，不建议
  • 2） 建议在规则的最后定义规则做为默认策略

规则有效期限

使用iptables命令定义的规则，手动删除之前，其生效期限为kernel存活期限

• 保存规则：

  保存规则至指定的文件

  • CentOS 7

    iptables-save > /PATH/TO/SOME_RULES_FILE

  • CentOS 6

    service iptables save

    将规则覆盖保存至/etc/sysconfig/iptables文件中

• CentOS 7 重新载入预存规则文件中规则：

  iptables-restore < /PATH/FROM/SOME_RULES_FILE

  • -n, --noflush：不清除原有规则
  • -t, --test：仅分析生成规则集，但不提交

• CentOS 6：

  service iptables restart

  会自动从/etc/sysconfig/iptables 重新载入规则

开机自动重载规则

开机自动重载规则文件中的规则：

• (1) 用脚本保存各iptables命令；让此脚本开机后自动运行

  /etc/rc.d/rc.local文件中添加脚本路径

  /PATH/TO/SOME_SCRIPT_FILE

• (2) 用规则文件保存各规则，开机时自动载入此规则文件中的规则

  /etc/rc.d/rc.local文件添加

  iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE

• (3)自定义Unit File，进行iptables-restore

CentOS 7 可以安装 iptables-services 实现iptables.service

yum install iptables-services

iptables-save > /etc/sysconfig/iptables

systemctl enable iptables.service

NAT

• NAT: network address translation

  PREROUTING，INPUT，OUTPUT，POSTROUTING

  请求报文：修改源/目标IP，由定义如何修改

  响应报文：修改源/目标IP，根据跟踪机制自动实现

• SNAT：source NAT

  POSTROUTING, INPUT

  让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装

  请求报文：修改源IP

• DNAT：destination NAT

  PREROUTING , OUTPUT

  把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP

  请求报文：修改目标IP

• PNAT: port nat，端口和IP都进行修改

SNAT

nat表的target：

作用：局域网主机共享单个公网IP地址接入Internet，让公网ip帮忙转发

SNAT：固定IP

• --to-source [ipaddr[-ipaddr]][:port[-port]]
• --random

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

示例：

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9

nat表的出路由源地址为10.0.1.0/24而目的地址不是10.0.1.0/24的修改源地址为172.18.1.6-172.18.1.9

DNAT

作用：将位于企业局域网中的服务器进行发布至互联网，重新定义目标地址

• --to-destination [ipaddr[-ipaddr]][:port[-port]]

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

示例：

iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22

将目标地址为172.18.100.6:80的数据转发到10.0.1.22上

iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080

REDIRECT：

NAT表

可用于：PREROUTING OUTPUT 自定义链

通过改变目标IP和端口，将接受的包转发至不同端口

• --to-ports port[-port]

示例：

改变端口

iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080

总结与例子

一、查看规则集

iptables -L -nv // 加一个-n以数字形式显示IP和端口，看起来更舒服

二、配置默认规则

iptables -P INPUT DROP  // 不允许进
iptables -P FORWARD DROP  // 不允许转发
iptables -P OUTPUT ACCEPT  // 允许出

三、增加规则

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
//允许源IP地址为192.168.0.0/24网段的包流进（包括所有的协议，这里也可以指定单个IP）
iptables -A INPUT -d 192.168.0.22 -j ACCEPT
//允许所有的IP到192.168.0.22的访问
iptables -A INPUT -s 59.151.98.56 -j DROP
//拒绝指定IP访问
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
//开放本机80端口
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
//开放本机的ICMP协议

四、删除规则

iptables -D INPUT -s 192.168.0.21 -j ACCEPT
//删除刚才建立的第一条规则
iptables -t filter -D INPUT 1

五、规则的保存

iptables -F
//清空规则缓冲区（这个操作会将上面的增加操作全部清空，若须保留建议先执行一下句：保存）
service iptables save
//将规则保存在/etc/sysconfig/iptables文件里
service iptables restart
//重启Iptables服务

最后说明一下，iptables防火墙的配置文件存放于：/etc/sysconfig/iptables

初次推荐设置

#安装 iptables-services 实现iptables.service
$ yum install iptables-services
$ iptables-save > /etc/sysconfig/iptables
$ systemctl enable iptables.service

#如果有配置的话，根据需要把需要的表的链的默认设置都设置ACCEPT，并清空规则
#nat表的所有链
$ iptables -t nat -P PREROUTING ACCEPT
$ iptables -t nat -P POSTROUTING ACCEPT
$ iptables -t nat -P OUTPUT ACCEPT
$ iptables -t nat -F
$ iptables -t nat -X

#mangle表的所有链
$ iptables -t mangle -P PREROUTING ACCEPT
$ iptables -t mangle -P INPUT ACCEPT
$ iptables -t mangle -P FORWARD ACCEPT
$ iptables -t mangle -P OUTPUT ACCEPT
$ iptables -t mangle -P POSTROUTING ACCEPT
$ iptables -t mangle -F
$ iptables -t mangle -X

#filter表的所有链
$ iptables -P FORWARD ACCEPT
$ iptables -P INPUT ACCEPT
$ iptables -P OUTPUT ACCEPT
$ iptables -F
$ iptables -X

#raw表的所有链
$ iptables -t raw -F
$ iptables -t raw -X
$ iptables -t raw -P PREROUTING ACCEPT
$ iptables -t raw -P OUTPUT ACCEPT

#上面的清空一般指清空filter表的
#给filter表配置策略
#允许ssh icmp 以及主动发起的连接的相关连接
$ iptables -t filter -I INPUT -p tcp --dprot 22 -j ACCEPT
$ iptables -t filter -I INPUT -p icmp -j ACCEPT
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #这条很重要
#最后修改默认策略
$ iptables -t filter -P INPUT DROP
#保存策略
$ service iptables save