Iptables—包过滤（网络层）防火墙

一：Linux防火墙基础：

Linux防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（也称网络层防火墙）；

Linux防火墙体系基于内核编码实现，具有非常稳定的性能和高效率，因此被广泛的应用。

1.Netfilter和iptables的区别：

• Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”（KernelSpace，又称内核空间）的防火墙功能体系；

• Iptables：指的是用来管理Linux防火墙的命令程序，通常位于/sbin/iptables，属于“用户态”（UserSpace，又称用户空间）的防火墙管理体系；

2.包过滤的工作层次：

主要是网络层，针对IP数据包；体现在对包内的IP地址、端口等信息的处理上；

3.Iptables的表、链结构：

iptables作用：为包过滤机制的实现提供规则（或策略），通过各种不同的规则，告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。

规则链：

• 规则的作用：对数据包进行过滤或处理

• 链的作用：容纳各种防火墙规则

• 链的分类依据：处理数据包的不同时机

默认包括5种规则链

• INPUT：处理入站数据包

• OUTPUT：处理出站数据包

• FORWARD：处理转发数据包

• POSTROUTING链：在进行路由选择后处理数据包（对数据链进行源地址修改转换）

• PREROUTING链：在进行路由选择前处理数据包（做目标地址转换）

INPUT、OUTPUT链主要用在“主机型防火墙”中，即主要针对服务器本机进行保护的防火墙；而FORWARD、PREROUTING、POSTROUTING链多用在“网络型防火墙”中。

规则表

• 表的作用：容纳各种规则链

• 表的划分依据：防火墙规则的作用相似

默认包括4个规则表：

• raw表：确定是否对该数据包进行状态跟踪；对应iptable_raw，表内包含两个链：OUTPUT、PREROUTING

• mangle表：为数据包的TOS（服务类型）、TTL（生命周期）值，或者为数据包设置Mark标记，以实现流量整形、策略路由等高级应用。其对应iptable_mangle，表内包含五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

• nat表：修改数据包中的源、目标IP地址或端口；其对应的模块为iptable_nat，表内包括三个链：PREROUTING、POSTROUTING、OUTPUT

• filter表：确定是否放行该数据包（过滤）；其对应的内核模块为iptable_filter，表内包含三个链：INPUT、FORWARD、OUTPUT

4.规则表之间的顺序：

rawàmangleànatàfilter

规则链之间的顺序

• 入站：PREROUTINGàINPUT

• 出站：OUTPUTàPOSTROUTING

• 转发：PREROUTINGàFORWARDàPOSTROUTING

规则链内的匹配顺序

• 按顺序依次检查，匹配即停止（LOG策略例外）

• 若找不到相匹配的规则，则按该链的默认策略处理

二：编写防火墙规则：

iptables的基本语法、控制类型：

语法构成：iptables [ -t表名]选项[链名] [条件] [ -j控制类型]

注意事项：

• 不指定表名时，默认指filter表

• 不指定链名时，默认指表内的所有链

• 除非设置链的默认策略，否则必须指定匹配条件

• 选项、链名、控制类型使用大写字母，其余均为小写

数据包的常见控制类型：

• ACCEPT：允许通过

• DROP：直接丢弃，不给出任何回应

• REJECT：拒绝通过，必要时会给出提示

• LOG：在/var/log/messages文件中记录日志信息，然后传给下一条规则继续匹配（匹配即停止对LOG操作不起作用，因为LOG只是一种辅助动作，并没有真正的处理数据包）

eg：在filter表（-t filter）的INPUT链中插入（-I）一条拒绝（-jREJECT）发给本机的使用ICMP协议的数据包（-picmp）：

在测试PC上ping设置防火墙主机，查看结果是无法连接到端口：

添加、查看、删除规则等基础操作：

1、添加新的规则：

• -A：在链的末尾追加一条规则；“-p协议名”

eg：在filter表INPUT链的末尾添加一条防火墙规则：

• -I：在链的开头（或指定序号）插入一条规则

eg：添加两条规则分别位于filter表的第1条、第2条（其中省略了“-tfilter”选项，默认使用filter表）

2、查看规则列表：

• -L：列出所有的规则条目

eg：查看filter表INPUT链中的所有规则，并显示规则序号：

• -n：以数字形式显示地址、端口等信息

eg：以数字地址形式查看filter表INPUT链中的所有规则：

• -v：以更详细的方式显示规则信息

• --line-numbers：查看规则时，显示规则的序号

删除、清空规则：

• -D：删除链内指定序号（或内容）的一条规则

eg：删除filter表INPUT链中的第2条规则：

• -F：清空所有的规则

eg：清空filter表INPUT链中的所有规则：

设置默认策略：

当找不到任何一条能够匹配的数据包的规则时，则执行默认策略（默认策略的控制类型为ACCEPT（允许）、DROP（丢弃）两种。

• -P：为指定的链设置默认规则

• -X：删除自定义的规则链

eg：将filter表中FORWARD链中的默认策略设为丢弃，OUTPUT链的默认策略设为允许

[root@iptables ~]# iptables -t filter -P FORWARD DROP

[root@iptables ~]# iptables -P OUTPUT ACCEPT

注意：当使用管理选项“-F”清空链，默认策略不受影响。因此若要修改默认策略，必须通过管理选项“-P”重新进行设置。默认策略并不参与链内规则的顺序编排，因此在其他规则之前或之后设置并无区别。

3、规则的匹配条件：

a：通用匹配：

• 可直接使用，不依赖于其他条件或扩展

• 包括网络协议、IP地址、网络接口等条件

常见的通用匹配条件：

协议匹配：-p协议名

（eg：tcp、udp、icmp、all(针对所有IP数据包)），可用的协议类型存放于Linux系统的/etc/procotols文件中；

eg：丢弃通过icmp协议访问防火墙本机的数据包、允许转发经过防火墙的除icmp协议以外的数据包：

[root@iptables ~]# iptables -I INPUT -p icmp -j DROP

[root@iptables ~]# iptables -A FORWARD -p ! icmp -j ACCEPT

地址匹配：-s源地址、-d目的地址

可以是IP地址、网段地址，但不建议使用主机名、域名地址，因为解析过程会影响效率

eg：拒绝转发源地址为192.168.10.100的数据、允许转发源地址位于192.168.1.0/24网段的数据：

[root@iptables ~]# iptables -A FORWARD -s 192.168.10.100 -j REJECT

[root@iptables ~]# iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

当遇到小规模的网络扫描或攻击时，封IP地址是比较有效的方式。

eg：添加防火墙规则封锁来自172.16.16.0/24网段的频繁扫描、登录穷举等不良企图：

[root@iptables ~]# iptables -I INPUT -s 172.16.16.0/24 -j DROP

[root@iptables ~]# iptables -I FORWARD -s 172.16.16.0/24 -j DROP

接口匹配：-i入站网卡、-o出站网卡

eg：丢弃从外网接口eth0访问防火墙本机且源地址为私有地址的数据包：

[root@iptables ~]# iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP

b：隐含匹配：

• 要求以特定的协议匹配作为前提

• 包括端口、TCP标记、ICMP类型等条件

常用的隐含匹配条件：

端口匹配：--sport源端口、--dport目的端口

单个端口号或者以冒号“：”分隔的端口范围都是可以接受的，但不连续的多个端口不能采用这种方式。

eg：允许为网段192.168.1.0/24转发DNS查询数据包：

[root@iptables ~]# iptables -A FORWARD -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT

[root@iptables ~]# iptables -A FORWARD -d 192.168.1.0/24 -p udp --sport 53 -j ACCEPT

eg：构建vsftpd服务器时，开放20、21端口，以及用于被动模式的端口范围24500~24600：

[root@iptables ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

TCP标记匹配：--tcp-flags检查范围被设置的标记

针对协议为TCP、用来检查数据包的标记位（--tcp-flags）；

“检查范围”指出需要检查数据包的哪几个标记，“被设置的标记”则明确匹配对应值为1的标记，多个标记之间以逗号进行分隔。

eg：拒绝从外网接口eth0直接访问防火墙本机的TCP请求，但允许其他主机发给防火墙的TCP等响应数据包请求：

[root@iptables ~]# iptables -P INPUT DROP

[root@iptables ~]# iptables -I INPUT -i eth0 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP

[root@iptables ~]# iptables -I INPUT -i eth0 -p tcp --tcp-flags ! --syn -j ACCEPT

“--syn”用来兼容旧版本iptables的形式，等同于“--tcp-flags SYN,RST,ACK SYN”

ICMP类型匹配：--icmp-type ICMP类型

ICMP类型使用字符串或数字代码表示：

• Echo-Request代码为8——表ICMP请求；

• Echo-Reply代码为0——ICMP回显；

• Destination-Unreachable代码为3——ICMP目标不可达；

eg：禁止从其他主机ping本机，但是允许本机ping其他主机：

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p icmp -j DROP

查看可用的ICMP协议类型：iptables -p icmp -h

c：显式匹配：

• 要求以“-m扩展模块”的形式明确指出类型

• 包括多端口、MAC地址、IP范围、数据包状态等条件

常用的显式匹配条件：

多端口匹配：-m multiport --sports源端口列表

-m multiport --dports目的端口列表

eg：允许本机开放25、80、110、143端口，以便提供电子邮件服务：

[root@iptables ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

IP范围匹配：-m iprange --src-range IP范围

用来检查数据包的源地址、目标地址，其中IP范围采用“起始地址—结束地址”的形式：

eg：禁止转发源IP地址位于192.168.1.10与192.168.1.20之间的TCP数据包：

[root@iptables ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 -j ACCEPT

MAC地址匹配：-m mac --mac-source MAC地址

因为MAC地址的局限性，此类匹配一般只适用于内部网络。

eg：根据MAC地址封锁主机，禁止其访问本机的任何应用：

[root@iptables ~]# iptables -A INPUT -m mac --mac-source 00:01:02:03:04:cc -j DROP

状态匹配：-m state --state连接状态

• 基于iptables的状态跟踪机制用来检查数据包的连接状态（State）

• 常见的连接状态包括NEW（与任何连接无关的）、ESTABLISHED（响应请求或者已建立连接的）、RELATED（与已有连接有相关性的，eg：FTP数据连接）。

eg：禁止转发与正常TCP连接无关的非“--syn”请求数据包（如伪造的一些网络攻击数据包）：

[root@iptables ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

eg：只开放本机的web服务（80端口），但对发给本机的TCP应答数据包予以放行，其他入站数据包均丢弃：

[root@iptables ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT

[root@iptables ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

[root@iptables ~]# iptables -P INPUT DROP

iptables防火墙首次配置介绍就到这里了，希望对大家有帮助！

Stay hungry Stay foolish！

原文：http://www.linuxidc.com/Linux/2013-08/88535.htm