文章目录
前言
一、Linux 防火墙基础
1.1、Linux 包过滤防火墙概述
netfilter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的"内核态"
iptables
位于/sbin/iptables,用来管理防火墙规则的工具
称为Linux防火墙的"用户态"
——以上两种称呼都可以表示Linux防火墙
包过滤的工作层次
主要是网络层,针对IP数据包
体现在对包内的IP地址、端口等信息的处理上
1.2、iptables 的表、链结构
iptables的作用是为包过滤机制的实现提供规则,通过不同的规则,告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则,iptables采用了“表”和“链”的分层结构。
其中,每个规则“表”相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表;在每个“表”容器内包括不同的规则“链”,根据处理数据包的不同时机划分为五种链;而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中。
1.2.1、规则表
规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
默认包括4个规则表
raw表:确定是否对该数据包进行状态追踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)(核心,默认定义filter表)
1.2.2、规则链
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认包括5中规则链
INPUT:处理入站数据包(进防火墙的时候就会读这个链)
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包
PREROUTING链:在进行路由选择前处理数据包
1.3、数据包过滤的匹配流程
(1)规则表之间的顺序
raw → mangle → nat → filter
(2)规则链之间的顺序
入站:PREROUTING → INPUT
出站:OUTPUT → POSTROUTING
转发:PREROUTING → FORWARD → POSTROUTING
(3)规则链的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理
匹配流程示意图
二、编写防火墙规则
2.1、iptables 安装
关闭firewalld防火墙
CentOS 7默认使用firewalld防火墙,若想使用iptables防火墙必须先关闭firewalld防火墙
安装iptables防火墙
设置iptables开机启动
2.2、基本语法、数据包控制类型
使用iptables命令管理、编写防火墙规则时,基本的命令格式如下
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
注意事项
•不指定表名时,默认指filter表(此时可以不写-t )
•不指定链名时,默认指表内的所有链
•除非设置链的默认策略,否则必须指定匹配条件
•选项、链名、控制类型使用大写字母,其余均为小写
数据包常见的控制类型
•ACCEPT:允许通过
•DROP:直接丢弃,不给出任何回应
•REJECT:拒绝通过,必要时会给出提示
•LOG:记录日志信息,然后传给下一条规则继续匹配
例如,在filter表(-t filter)的INPUT链中插入(I)一条规则,拒绝(-j REJECT)发给本机的使用ICMP协议的数据包(-p icmp)。
2.3、添加、查看、删除规则等基本操作
在熟练编写各种防火墙规则之前,首先需要掌握查看规则、添加规则、删除规则、清空链内规则等基本操作。下面将介绍iptables命令中常用的几个管理选项,如表
其中,添加、删除、清空和查看规则是最常见的管理操作,下面通过一些规则操作示例来展示相关选项的使用
2.3.1、添加新的规则
-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则
例如,若要在filter表INPUT链的末尾添加一条防火墙规则,可以执行以下操作(其中“-p协议名”作为匹配条件)。
当使用管理选项“-I”时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条。
例如,以下操作添加的两条规则将分别位于filter表的第一条、第二条(其中省略了“-t filter”选项,默认使用filter表)
2.3.2、查看规则列表
-L:列出所有的规则条目
-n:以数字形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
–line-number:查看规则时,显示规则的序号(查看第几行)
例如,若要查看filter表INPUT链中的所有规则,并显示规则序号,可以执行以下操作
当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。
例如,若要以数字地址形式查看filter表INPUT链中的所有规则,可以执行以下操作
2.3.3、删除、清空规则
-D:删除链内指定序号(或内容)的一条规则
-F:清空所有的规则
删除一条防火墙规则时,使用管理选项“-D”。
例如,若要删除filter表INPUT链中的第三天规则,可以执行以下操作
清空指定链或表中的所有防火墙规则,使用管理选项"-F"。
例如,若要清空filter表INPUT链中的所有规则,可以执行以下操作
使用管理选项“-F”时,允许省略链名而清空指定表所有链的规则。
例如,执行以下操作分别用来清空filter表、nat表、mangle表。
2.3.4、设置默认策略
-p:为指定的链设置默认规则
iptables的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略。
默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种
例如,执行以下操作可以将filter表中FORWARD链的默认策略设为丢弃,OUTPUT链的默认策略设为允许。
需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。因此若要修改默认策略,必须通过管理选项“-P”重新进行设置。
另外,默认策略并不参与链内规则的顺序编排,因此在其他规则之前或之后设置并无区别
2.4、规则的匹配条件
通用匹配
可直接使用,不依赖于其他条件或扩展
包括网络协议、IP地址、网络接口等条件
隐含匹配
要求以特定的协议匹配作为前提
包含端口、TCP标记、ICMP类型等条件
显式匹配
要求以 “-m 扩展模块” 的形式明确指出类型
包含多端口、MAC地址、IP范围、数据包状态等条件
2.4.1、通用匹配
通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。常见的通用匹配包括协议匹配、地址匹配、网络接口匹配。
(1)协议匹配
协议匹配:-p 协议名
例如,若要丢弃通过icmp协议访问防火墙本机的数据包,允许转发经过防火墙的除icmp协议之外的数据包,可以执行以下操作
(2)地址匹配
地址匹配:-s 源地址 、-d 目的地址
例如,若要拒绝转发源地址为192.168.1.11的数据,允许转发源地址位于192.168.7.0/24网段的数据,可以执行以下操作
当遇到小规模的网络扫描或攻击时,封锁IP地址时比较有效的方式
例如,若检测到来自某个网段(如10.20.30.0/24)的频繁扫描、登录穷举等不良企图,可立即添加防火墙规则进行封锁
(3)网络接口匹配
网络接口匹配:-i 入站网卡 、-o 出站网卡
例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作
2.4.2、隐含匹配
这种匹配方式要求以指定的协议匹配作为前提条件,相当于子条件,因此无法独立使用。
常见的隐含匹配包括端口匹配、TCP标记匹配、ICMP类型匹配
(1)端口匹配
端口匹配:- - sport 源端口、- -dport 目的端口
例如,若要允许为网段192.168.4.0/24转发DNS数据包,可以执行以下操作
例如,构建vcftpd服务器时,若要开发20、21端口,以及用于被动模式的端口范围为24500-24600,可以参考以下操作设置防火墙规则
(2)ICMP类型匹配
ICMP类型匹配:- -icmp-type ICMP类型
例如,若要禁止从其他主机ping本机,但是允许本机ping其他主机,可以执行以下操作
2.4.3、显示匹配
这种匹配方式要求有额外的内核模块提供支持,必须手动以“-m模块名称"的形式调用相应的模块。
(1)多端口匹配
多端口匹配:
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例如,若要允许本机开放25、80、110、143端口,以便提供电子邮件服务,可以执行以下操作。
(2)IP范围匹配
IP范围匹配:-m iprange --src-range IP范围
例如,若要禁止转发源IP地址位于192.168.4.21与192.168.4.28之间的TCP数据包,可执行以下操作
(3)MAC地址匹配
MAC地址匹配:-m mac --mac-source MAC地址
例如,若要根据MAC地址封锁主机,禁止访问本机的任何应用,可以参考以下操作
(4)状态匹配
状态匹配:-m state --state 连接状态
例如,若要禁止转发与正常TCP连接无关的非–syn请求数据包,可执行以下操作
例如,若只开放本机的Web服务(80端口),但对发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃,则对应的入站控制规则可参考以下操作
