目录
一、iptables防火墙
1、简介
2、防火墙组成
3、iptables的表和链接结构
四表(raw、mangle、nat、filter)
五链
二、编写规则
1、iptabes 安装
2、基本语法、数据包控制类型
基本语法
数据包的常见控制类型
3、添加新的规则
4、查看规则列表
5、删除、清空、更改规则
一、iptables防火墙
1、简介
1、简介
Linux 的防火墙体系在TCP/IP网络模型中,传输层、网络层和应用层都有涉及,但是主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,也因此获得广泛的应用。
2、防火墙组成
Linux中:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成
netfilter:属于“内核态”又称内核空间的防火墙功能体系,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集
iptables : 属于“用户态” 的防火墙管理体系,用来管理命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下
3、iptables的表和链接结构
四表(raw、mangle、nat、filter)
raw:主要用来决定是否对数据包进行状态跟踪 包含两个规则链,OUTPUT、PREROUTING
mangle : 修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING
filter:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链,即PREROUTING、POSTROUTING、OUTPUT
在iptables 的四个规则表中,mangle 表 和raw表的应用相对较少
五链
INPUT: 处理入站数据包,匹配目标IP为本机的数据包
OUTPUT: 处理出站数据包,一般不在此链上做配置
FORWARD: 处理转发数据包,匹配流经本机的数据包
PREROUTING链: 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
POSTROUTING链: 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网
二、编写规则
1、iptabes 安装
CentOS7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables
关闭firewalld防火墙 systemctl stop firewalld.service systemctl disable firewalld.service 安装iptables 防火墙 yum -y install iptables iptables-services 设置iptables开机启动 systemctl start iptables.service systemctl enable iptables.service
2、基本语法、数据包控制类型
基本语法
表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表
管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等
匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理
控制类型指的是数据包的处理方式,如允许、拒绝、丢弃等
数据包的常见控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等
防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助动作,并没有真正处理数据包
3、添加新的规则
若要在 filter 表 INPUT 链的末尾添加一条防火墙规则,可以执行以下操作(其中 “-p 协议名”作为匹配条件)
iptables -t filter -A INPUT -p icmp -j REJECT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD ! -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.80.11 -j DROP
iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
4、查看规则列表
若要查看 filter 表 INPUT 链中的所有规则,并显示规则序号, 可以执行以下操作
iptables [-t表名] -n -L [链名] |[-- line-numbers]
或
iptables - [vn]L
#注意:不可以合写为-Ln
5、删除、清空、更改规则
若要删除 filter 表 INPUT 链中的第五条规则,可以执行以下操作
iptables -D INPUT 5
若要删除 filter 表 INPUT 不允许任何主机ping本主机,可以执行以下操作
iptables -t filter -R INPUT 序号(iptables -L INPUT --line-numbers查询) -j REJECT
若要清空 filter 表 INPUT 链中的所有规则,可以执行以下操作
iptables -F INPUT
若要查看 filter 表 INPUT 链中的所有规则,并显示规则序号, 可以执行以下操作 iptables [-t表名] -n -L [链名] |[-- line-numbers] 或 iptables - [vn]L #注意:不可以合写为-Ln
