Linux防火墙简介 – iptables配置策略

Netfilter/iptables简介

要想真正掌握Linux防火墙体系，首先要搞清楚Netfilter和iptables的关系，Netfilter和iptables包含在Linux2.4以后的内核中，可实现防火墙、NAT和数据包分割的功能。Netfilter采用模块化设计，具有良好的可扩展性。Netfilter是一个框架，iptables则是我们用户层的工具，通过iptables我们可以配置很多规则，这些规则加载到Netfilter框架中生效。

Netfilter可以和协议栈很好的契合，如图1所示；协议栈底层实现机制就是这样，ABCDE就是我们可以配置规则的点，BD我们可以控制本机的数据包，ACE可以控制经过本网卡转发的数据包。那么在Netfilter中如何实现？如图2所示；针对ABCDE五个点，Netfilter定义了五个hook函数；五个钩子函数对应了五个规则链：PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING；我们使用iptables配置的规则就在这五个规则链中生效。

　　iptables并不是服务，iptables/natfilter相关的内核模块，包括以下几个：iptables_net、iptables_filter、iptables_mangle、iptables_raw，这些模块我们也可以自己写脚本让它们运行，不一定非使用iptables。

图1. 协议栈底层实现

图2. Netfilter实现

Iptables简介

IPtables主要包括四方面的功能：

Filter（过滤功能）可配置在INPUT链、OUTPUT链、FORWARD链

NET（地址转换功能）可配置在PREROUTING链、POSTROUTING链、OUTPUT链

Mangle（修改报文首部）可配置在五个链上

Raw（原始格式）可配置在PREROUTING链和OUTPUT链

　　我们主要介绍Filter和NET功能

如果在某一个链上配置了多个功能的规则改以什么顺序生效呢？如下图所示：

图3. 规则生效顺序图

　　Iptables也可以自定义链，但是必须由默认的这五个链调用，类似于中断功能，如果自定义链匹配则不必返回，如果自定义链不匹配，则返回到主链继续匹配。一般将那些同类的，规则比较多的独立出来，用户可以删除自定义的空链。

　　　每个规则链都有两个内置的计数器，一个记录被匹配的报文个数，一个记录匹配到的报文大小。

Iptables规则举例

下面我们以iptables的几个例子来引入iptables规则的详细解释（man iptables可以获得帮助文档）。

//允许所有主机访问本机的web服务
iptables -I INPUT -d 172.16.100.7 -p tcp -dport  -j ACCEPT

iptables -I OUTPUT -s 172.16.100.7 -p tcp -sport -j ACCEPT

//放行sshd、httpd，并追踪连接
iptables –A INPUT -d 172.16.100.7 –p tcp --dport 22 –m state --state NEW,ESTABLISHED,-j ACCEPT
iptables –A OUTPUT -s 172.16.100.7 –p tcp --sport 22 –m state --state ESTABLISHED,-j ACCEPT
iptables –A INPUT -d 172.16.100.7 –p tcp --dport 80 –m state --state NEW,ESTABLISHED,-j ACCEPT
iptables –A OUTPUT -s 172.16.100.7 –p tcp --sport 80 –m state --state ESTABLISHED,-j ACCEPT

//允许自己ping别人，别人不能ping自己
iptables -A OUTPUT -s 172.16.100.7 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 0 -j ACCEPT

上面的规则中，选项 -I 指的是插入一条规则，后面跟数字的话，代表插入到第几条。
上面都没有指定 -t 选项，-t的作用是指定在哪个表操作，如果不指定默认是filter表。
-A选项向链中添加规则；-s源地址，-p指定协议，--sport源端口，-m使用扩展模块，--state指定状态，-j指定执行的动作。

Iptables命令详解

　　　在这一章我们主要介绍常用的Iptables选项，具体的选项可以使用man iptables来查询：也可以通过几个在线文档查询：

　　　 https://wiki.archlinux.org/index.php/Iptables_(简体中文)

　　 https://doc.ubuntu-fr.org/iptables

　　 https://zh.wikipedia.org/wiki/Iptables

　　官方手册 (比较晦涩) http://ipset.netfilter.org/iptables.man.html

　　 https://wsgzao.github.io/post/iptables/

　　 iptables规则大致由“匹配标准”和“处理动作”组成；iptables在写规则的时候必须指明在哪个链上实现什么功能，表可以不用指定。如下：　　

iptables [-t table] commond chain [num] 匹配标准 -j 处理办法

1）iptables常用命令：

　　iptables -t [table]：指定表

　　-A CHAIN ：附加一条规则，在链的尾部添加。

　　-I CHAIN [num]:在指定位置添加。

　　-D CHAIN [num]:删除指定链，第num条规则。

　　-R CHAIN [num]:替换指定的规则。

　　-F [CHAIN]: 清空指定链的规则，如果省略CHAIN，则清空这个表中的所有链的规则。

　　-P CHAIN：设定指定链的默认策略

　　-N：自定义一个新的空链

　　-X：删除一个自定义的空链

　　-Z：清空指定链中的所有规则计数器

　　-E：重新命名自定义链
　　-L：显示指定表中的所有规则
　　　　-n：以数字格式显示主机地址和端口号。
　　　　-v：显示详细信息；
　　　　-vv：显示更详细信息。
　　　　-x：显示精确值
　　　　--line-numbers:显示规则号

　　2）匹配标准：

a）通用匹配;　　

这类匹配是通用的匹配，可以通过man查询或者查询在线文档获取更多信息
-s:指定源ip地址，-d：指定目的地址；
-p{tcp|udp|icmp}:指定协议
-i eht0：指定数据报文流入的接口
-o eth0：指定数据报文流出的接口

b）扩展匹配; 扩展匹配需要依赖于模块才能完成检查；如果使用-p选项，则不用特别指定使用哪个模块完成检查；

隐含扩展:　
　-p tcp
　　　　--sport PORT[-PORT]
　　　　--dport PORT[-PORT]
　　　　--tcp-flags MASK COMP: 检查tcp标志位；
　　　　　　eg：--tcp-flags SYN,FIN,ACK,RST SYN,ACK 检查四个标志位中的两个是否为1.
　　　　--syn：专门匹配三次握手中的第一次
　　-p icmp
　　　　--icmp-type
　　　　　匹配ICMP协议的ICMP TYPECODE，其中TYPE为8代表ping请求，TYPE为0代表平响应。
　　　　　搜一下"ICMP TYPECODE对应表"即可找到。
　　-p udp
　　　　--sport
　　　　--dport

显示扩展：（增加额外的匹配机制，每个扩展都有自己独有的功能）
　　　　-m EXTESTION --spe-opt
　　state扩展：
　　　　结合ip_conntrack追踪当前会话所处的状态，NEW、ESTABLISHED、INVALID、RELATED
　　　　eg：只要是下面两种状态的都放行
　　　　　　-m state --state NEW,ESTABLISHED -j ACCEPT
　　
　　multiport扩展：离散多端口扩展
　　　　--source-ports
　　　　--destination-ports
　　　　--ports
　　　　eg：-m multiport --destination-ports 21,22,80
　　
　　iprange扩展：指定地址范围
　　　　-m iprange
　　　　　　--src-range ip-ip
　　　　　　--dst-range ip-ip
　　　　eg: 源地址不在 172.16.100.3-172.16.100.100范围内的访问
　　　　   iptables -A INPUT -p tcp -m iprange ! --src-range 172.16.100.3-172.16.100.100 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
　　
　　connlimit扩展：
　　　　-m connlimit
　　　　　　--connlimit-above n
　　　　eg: 如果没有达到连接上限我们就允许
　　　　　　iptables -A INPUT -d 172.16.100.7 -p tcp --dport -m connlimit ! --connlimit-above 2 -j ACCEPT
　　
 　 limit扩展：
　　　　-m limit 不控制最大上限，只控制单位时间内最大上限和一次蜂拥而至的上限
　　　　　　--limit rate
　　　　　　--limit-burst 
　　　　eg：限制ping请求
　　　　　　iptables -R INPUT 3 -d 172.16.100.7 -p icmp --icmp-type 8 -m limit --limit 1/minute -j ACCEPT

　　**string扩展**
　　　　-m string
　　　　　　--algo bm|kmp
　　　　　　--from offset
　　　　　　--to offset
　　　　　　--string pattern
　　　　eg: 如果请求串中含有hello world就拒绝，如果响应内容中含有hello就拒绝。
　　　　　　iptables -I INPUT -d 172.16.100.7 -m string --algo kmp --string "hello world" -j REJECT
　　　　　　iptables -I OUTPUT -s 172.16.100.7 -m string --algo kmp --string "hello" -j REJECT

　　time扩展：
　　　　-m time
　　　　　　--timestart  --timestop
　　　　　　--datestart  --datestop
　　　　　eg：
　　　　　　iptables -A FORWARD -s 192.168.10.0/24 -m time --timestart 09:10:00 --timestop 12:00:00 -j DROP

　　recent扩展：
　　　　-m recent
　　　　　　--set  记录
　　　　　　--name  制定记录的协议名
　　　　　　--update
　　　　　　--seconds
　　　　　　--hitcount
　　　　eg：利用recent模块和state模块限制单ip在300s内只能与本机建立3个新链接，被限制5分钟后恢复访问
　　　　　　iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --set --name SS
　　　　　　　 iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

　　　　　　　　　　第二句是指SSH记录中的IP，300s内发起超过3次连接则拒绝此IP的连接。

　　　　　　　　　　--update 是指每次建立连接都更新列表；

　　　　　　　　　　--seconds必须与--rcheck或者--update同时使用

　　　　　　　　　　--hitcount必须与--rcheck或者--update同时使用

　　　　　　　　//记录日志

　　　　　　　　 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --second 300 --hitcount 3 -j LOG --log-prefix "SSH Attack"

　　3）处理办法:

ACCEPT     ：允许通过
DROP       ：拒绝
REJECT     ：拒绝的更彻底
DNAT       ：目标地址转换
SNAT       ：源地址转换
REDIRECT   ：端口重定向
MASQUERAND ：地址伪装
LOG        ：记录日志
MARK

-j LOG: 记录日志
　　--log-level
　　--log-prefix
　　--log-tcp-sequence
　　--log-uid
　　--log-ip-options:记录ip选项信息
　eg：记录哪一刻，谁发起了ping请求
　　　　iptables -I INPUT 4 -d 172.16.100.7 -p icmp --icmp-type 8 -j LOG --log-prefix "----firewall log for icmp----"
　　　　//将保存在 /var/log/messages

NAT地址转换

　　如何打开转发功能？

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　要想永久有效：

　　vim /etc/sysctl.conf

　　net.ipv4.ip_forward = 1

　　网关打开转发功能之后，两个网段的主机便可通信，但是为什么还要NAT地址转换呢？主要是接入外网的时候，虽然报文能发出去，但是如果不做地址转换，响应报文回不来，不像这里的两个网段这么简单，报文能回来是因为路由的原因。

-j SNAT
　　--to-source   A->B->C  A是内网，A访问外网C，则在B这里要进行源地址转换，源地址转换应该在POSTROUTING链上；
  eg：
    iptables –t nat –A POSTROUTING –s 192.168.10.0/24 –j SNAT –to-source 172.168.100.7

-j MASQUEREAD 
　　　在外网地址是动态获取的时候才使用，自动查找一个能上网的地址。
-j DNAT
　　--to-destination 目标地址转换必须指定针对什么服务进行转换的：
　　eg：
　　　　iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp -dport 80 -j DNAT --to-destination 192.168.10.22
　　　　//指定转发到哪个端口
　　　　iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp -dport 80 -j DNAT --to-destination 192.168.10.22:8080
如何在NAT上进行过滤
　　iptables -A FORWARD -m string --algo kmp --string "hello" -j DROP

Iptables其他知识点

　　lsmod | grep ip 可以查看跟ip相关的模块是否启动起来。

　　service iptables stop：停止iptables服务

iptables -L -n ：显示所有规则
iptables -P INPUT DROP：改默认策略为堵策略
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

　　ip_contrack内核模块能够实现链接追踪功能，为了能够实时追踪和查询，需要保存当前每一个客户端和当前主机所建立的链接关系。

　　这个文件可以保存多少个追踪条目？

iptables -t 显示当前链接的个数

　　 ls /proc/sys/net/ipv4/netfilter/

　　可以改每个链接的失效时间

保存规则：

# Service iptables save

保存到： /etc/sysconfig/iptables

# iptables-save > /etc/sysconfig/iptables.201703

# iptables-restore < /etc/sysconfig/iptables.201703

/etc/sysconfig/iptables

iptables在启动的时候会重新加载配置信息，因此要把写的规则保存到

　　　　cat /etc/sysconfig/iptables下面

使用iptables命令可以保存规则到这个文件下面

　　DNS服务器要写4条规则才能真正生效：因为DNS服务器即做服务器又做客户端。TCP、UDP都监听的话需要8条规则。

　　自定义链：

iptables –N clean_in

iptables –A clean_in –d 255.255.255.255 –p icmp –j DROP

iptables –A clean_in –d 172.255.255.255 –p icmp –j DROP

iptables –A clearn_in –p tcp ! –syn –m state --state NEW –j DROP

iptables –A clearn_in –d 172.16.100.7 –j RETURN #返回主链

iptables –I INPUT –j clearn_in #被主链调用

删除自定义链，首先要清空自定义链，然后再用语句删除。

Iptables规则练习

1. 放行FTP

　　要想放行FTP协议，首先要装载ip_conntrack_ftp和ip_nat_ftp模块，Vim /etc/sysconfig/iptables-config 下找到IPTABLES_MODULES,在这个地方指明要加载的模块。IPTABLES_MODULES=”ip_nat_ftp ip_conntrack_ftp”。

iptables –A INPUT –d 172.16.100.7 –p tcp –m state –-state RELATED,ESTABLISHED –j ACCEPT

iptables –I INPUT 2 –d 172.16.100.7 –p tcp –m multiport –destination-ports 21,22 –m state --state NEW –j ACCEPT

　　放行回话需要些两天规则：

iptables -t filter -A INPUT -s 172.16.0.0/16 –d 172.16.100.7 –p tcp –dport 22 –j ACCEPT
iptables –t filter –A OUTPUT –s 172.16.100.7 –d 172.16.0.0/16 –p tcp –sport 22 –j ACCEPT

2、追踪链接放行sshd、httpd

iptables –A INPUT -d 172.16.100.7 –p tcp --dport 22 –m state --state NEW,ESTABLISHED,-j ACCEPT

iptables –A OUTPUT -s 172.16.100.7 –p tcp --sport 22 –m state --state ESTABLISHED,-j ACCEPT

iptables –A INPUT -d 172.16.100.7 –p tcp --dport 80 –m state --state NEW,ESTABLISHED,-j ACCEPT

iptables –A OUTPUT -s 172.16.100.7 –p tcp --sport 80 –m state --state ESTABLISHED,-j ACCEPT

修改追踪数值：

　　sysctl –w net.ipv4.ip_conntrack_max=65536

这种改法不会永久有效，要想永久有效，要写在

　　/etc/sysctl.conf

3、只要是本机响应的都可以放行

iptables –I OUTPUT –s 172.16.100.7 –m state –state ESTABLISHED –j ACCEPT

　　再放行数据包的时候，一定要清楚协议运行的流程，出入包顺序。

Layer7 Filter

　　L7-filter可以过滤应用层协议，是一个开源项目：官方网址：http://l7-filter.sourceforge.net/

　　涉及到编译内核等问题，如果有需要可查阅官方文档，或者有心人发布的博客介绍。

　　L7所支持的协议：

　　　　用法：

　　　　iptables –A FORWARD –s 192.168.10.0/24 –m layer7 –l7proto qq –j REJECT

参考资料：

洞悉linux下的Netfilter&iptables：什么是Netfilter？

http://blog.chinaunix.net/uid-23069658-id-3160506.html

　　Google搜索 Iptables得到的网站，挑了几个讲解比较全的：

　　https://wiki.archlinux.org/index.php/Iptables_(简体中文)

　　https://doc.ubuntu-fr.org/iptables

　　https://zh.wikipedia.org/wiki/Iptables

　　官方手册 (比较晦涩) http://ipset.netfilter.org/iptables.man.html

　　https://wsgzao.github.io/post/iptables/

　　马哥Linux运维教程208讲是本篇文章的主要参考资料