（第九篇）Iptables详解

常见的网络攻击形式

1.拒绝服务攻击：DOS

2.分布式拒绝服务攻击 DDOS

3.漏洞入侵

4.口令猜测

以上内容简单了解，具体可自行百度，此处不必知晓。

Linux防火墙基础

Linux防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（也称网络层防火墙）；

Linux防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，因此被广泛的应用。

1.Netfilter和iptables的区别：

Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”（KernelSpace，又称内核空间）的防火墙功能体系；

（filter是过滤器的意思，netfilter即网络层过滤）

Iptables：指的是用来管理Linux防火墙的命令程序，通常位于/sbin/iptables，属于“用户态”（UserSpace，又称用户空间）的防火墙管理体系；

（iptables: IP信息包过滤系统）

2.包过滤的工作层次：

主要是网络层，针对IP数据包；体现在对包内的IP地址、端口等信息的处理上；

3.Iptables的表、链结构：

iptables作用：为包过滤机制的实现提供规则（或策略），通过各种不同的规则，告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。

规则链

规则的作用：对数据包进行过滤或处理

链的作用：容纳各种防火墙规则

链的分类依据：处理数据包的不同时机

5种规则链

INPUT：处理入站数据包

OUTPUT：处理出站数据包

FORWARD：处理转发数据包

POSTROUTING链：在进行路由选择后处理数据包（对数据链进行源地址修改转换）

PREROUTING链：在进行路由选择前处理数据包（做目标地址转换）

INPUT、OUTPUT链主要用在“主机型防火墙”中，即主要针对服务器本机进行保护的防火墙；而FORWARD、PREROUTING、POSTROUTING链多用在“网络型防火墙”中。

4个规则表

表的作用：容纳各种规则链

表的划分依据：防火墙规则的作用相似

默认包括4个规则表：

raw表：确定是否对该数据包进行状态跟踪；对应iptable_raw，表内包含两个链：OUTPUT、PREROUTING

mangle表：为数据包的TOS（服务类型）、TTL（生命周期）值，或者为数据包设置Mark标记，以实现流量整形、策略路由等高级应用。其对应iptable_mangle，表内包含五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

nat表：修改数据包中的源、目标IP地址或端口；其对应的模块为iptable_nat，表内包括三个链：PREROUTING、POSTROUTING、OUTPUT

filter表：确定是否放行该数据包（过滤）；其对应的内核模块为iptable_filter，表内包含三个链：INPUT、FORWARD、OUTPUT

4.规则表之间的顺序：

raw->mangle->nat->filter

规则链之间的顺序

入站：PREROUTING->INPUT

出站：OUTPUT->POSTROUTING

转发：PREROUTING->FORWARD->POSTROUTING

规则链内的匹配顺序

按顺序依次检查，匹配即停止（LOG策略例外）

若找不到相匹配的规则，则按该链的默认策略处理

表和链的关系：表下面是链，表容纳链

编写防火墙规则

1.语法构成：iptables [ -t表名]选项[链名] [条件] [ -j控制类型]

不指定表名时，默认指filter表

不指定链名时，默认指表内的所有链

除非设置链的默认策略，否则必须指定匹配条件

选项、链名、控制类型使用大写字母，其余均为小写

2.选项（也叫操作）

（1）添加新的规则：

-A：在链的末尾追加一条规则；“-p协议名”

-I：在链的开头（或指定序号）插入一条规则

（2）查看规则列表：

-L：列出所有的规则条目

-n：以数字形式显示地址、端口等信息

-v：以更详细信息显示规则

eg：以数字地址形式查看filter表INPUT链中的所有规则：

[root@iptables ~]# iptables -vnL INPUT         #常一起搭配使用-vnL

(3)删除、清空规则：

-D：删除链内指定序号（或内容）的一条规则

-F：清空所有的规则

-P：为指定的链设置默认规则

-X：删除自定义的规则链

设置默认策略：

当找不到任何一条能够匹配的数据包的规则时，则执行默认策略（默认策略的控制类型为ACCEPT（允许）、DROP（丢弃）两种。

3.条件（也叫规则）

协议匹配：-p协议名

（eg：tcp、udp、icmp、all(针对所有IP数据包)），可用的协议类型存放于Linux系统的/etc/procotols文件中；

例：

[root@iptables ~]# iptables -A FORWARD -p ! icmp -j ACCEPT

（！表示取反，即非icmp）

地址匹配：-s源地址、-d目的地址

可以是IP地址、网段地址，但不建议使用主机名、域名地址，因为解析过程会影响效率

当遇到小规模的网络扫描或攻击时，封IP地址是比较有效的方式。

接口匹配：-i入站网卡(外网)、-o出站网卡

端口匹配：--sport源端口、--dport目的端口

单个端口号或者以冒号或“：”分隔的端口范围都是可以接受的，但不连续的多个端口不能采用这种方式。

eg：构建vsftpd服务器时，开放20、21端口，以及用于被动模式的端口范围24500~24600：

#此时端口为目的地址

[root@iptables ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

4.控制类型

ACCEPT：允许通过

DROP：直接丢弃，不给出任何回应

REJECT：拒绝通过，必要时会给出提示

iptables实例

（1）filter表理解配置练习，

现有一台服务器，装两块网卡，一块外网网卡名称是eth0绑定了IP1.1.1.1/32，另一块内网网卡名称是eth1绑定了IP192.168.0.2/24。这台服务器上运行有nginx(80端口)和mysql（3306端口），为这台服务器实现以下规则的防火墙：

1.默认禁止全部协议和端口访问

2.开放nginx的任意来源的访问

3.开放mysql的eth1网卡上的来源IP与eth1同网段的访问

4.拒绝icmp协议访问

实现过程

一、首先关闭和禁用系统的防火墙服务（已经关闭过则跳过此步）

systemctl stop firewalld

systemctl disable firewalld

二、清空所有的iptables规则

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -X

iptables -F

三、添加新规则

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT

iptables -A INPUT -p icmp -j REJECT

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

iptables -A INPUT -j DROP

（2）nat表理解练习

现在我们只有一条网线是能上网的，现有1台服务器有两块网卡，能上网的网线接在eth0，还有一块网卡eth1和很多台电脑接在同一个内网里，现在电脑需要上网，为服务器设计一个iptables防火墙，实现电脑可以上网

实现过程

一、首先关闭和禁用系统的防火墙服务（已经关闭过则跳过此步）

systemctl stop firewalld

systemctl disable firewalld

二、清空所有的iptables规则

iptables -t nat -P INPUT ACCEPT

iptables -t nat -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables –t nat -X

iptables –t nat -F

三、添加新规则

iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE

另外需要开启内核的包转发参数：

echo 1 > /proc/sys/net/ipv4/ip_forward

四、其他配置

其他电脑上将网关设置成服务器上eth1网卡的IP就可以上网了。