Linux防火墙系统

     Linux系统上的防火墙是由iptables/netfilter组成，其中iptables是规则的制定工具，netfilter在内核协议框架中定义了5个卡点位置，并在这5个位置通过钩子函数对进出的数据包进行过滤，从而达到防火墙的功能，iptables工具工作在用户空间，它可以制定一些规则然后送达到内核空间，然后结合netfilter的钩子函数及处理方法对数据包进行放行或者拒绝处理。防火墙里面有许多个table，每个表格里面都定义许多的规则，并且每个表格的用途不同，iptables按用途和功能对其分类成四个表，这四个表又由五个链组成，这五个链对应上面五个钩子函数。

     防火墙的四个表分别为：filter,nat,mangle,raw；默认表是filter，表的处理优先级依次为：raw,mangle,nat,filter。每个表的处理功能分别为

    ##filter:一般的过滤功能；

    ##nat：用于nat功能（地址转换、隐射，端口隐射）；

    ##mangle:用于对特定数据包的修改，（较少使用）；

    ##raw：一般是为了不在让iptables做数据包的链接跟踪处理，从而提高性能；

     四个表下的五个链分别为：INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

    ##INPUT：通过路由表判断后目的地是本机，然后进入本机内部资源

    ##OUTPUT:由本机产生的数据向外部转发

    ##FORWARD：通过路由表判断后目的地不是本机，然后通过路由转发到其他地方

    ##PREROUTING：流入的数据包进入路由表之前

    ##POSTROUTING：传出的数据包到达网卡出口前

iptables的语法格式：  iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET

    ## -t TABLE: 指定表，默认为filter，包括filter,nat,mangle,raw四表

    ## SUBCOMMAND：对链的操作（被引用中的链，无法删除和改名）

        -F 清空指定表的指定链上所有的规则；省略链名时，清空表中的所有链

        -N 新建一个用户自定义的链；自定义链只能作为默认链上的跳转对象，即在默认链通过引用来生效自定义链

        -X 删除用户自定义的空链；非空自定义链和内置链无法删除

        -Z 将规则的计数器置为0

        -P 设置链的默认处理机制；当所有都无法匹配或有匹配有无法做出有效处理机制时，默认策略即生效

        -E 重命名自定义链

    ##iptables 规则管理

        -A 在链尾追加一条规则

        -I 在指定位置插入一条规则

        -D 删除指定规则

        -R 替换指定的规则

        -L 列出指定链上的所有规则

    ##CRETERIA： 匹配条件

检查IP首部、检查TCP、UDP或ICMP首部，也可以基于扩展机制，进行额外的检查，如做连接追踪；注意，可同时指定多个条件，默认多条件要同时满足。匹配条件又分通用匹配和扩展匹配

        ##通用匹配

            [!] -s,-src,--source  IP|Network  :检查报文中的IP地址

            -d,--dst--destination  :检查报文中的目标IP地址

            -p      :检查报文中的协议，包括tcp,udp,icmp

            -i,--in-interface   :数据报文的流入接口，通常用于PREROUTING,INPUT,FORWARD链上的规则

            -o,--out-interface  :数据报文的流入接口，通常用于FORWARD,OUTPUT,POSTROUTING链上的规则

        ##扩展匹配

            隐形扩展：如果在通用匹配上使用-p选项指明了协议的话，则使用-m选项指明对其协议的扩展就变得可有可无

                tcp:针对tcp协议

                    --dport PORT[-PORT]

                    --sport

                    --tcp-flags LIST1 LIST2

                        LIST1 :要检查的标志位

                        LIST2 ：在LIST1中出现过的且为1标记位；而余下的则必须为0；

                    --syn :用于匹配tcp会话三次握手中的第一次

                udp：针对udp协议

                    --sport

                    --dport

                icmp:针对icmp协议

                    --icmp-types

                        8:echo request

                        0:echo reply

            显式扩展：必须指明使用的扩展机制

                -m 模块名称 （每个模块会引入新的匹配机制）

                    multiport扩展： 定义多端口匹配，最多指定15个端口

                        --source-ports,--sport

                        --destination-ports

                        --ports

                    iprange扩展：指定连续的IP地址范围，在匹配非整个网段地址时使用

                        [!]--src-range IP

                        [!]--dst-range IP

                    srting扩展：检查报文中出现的字符串，与给定的字符串做匹配

                        --algo

                        --string"STRING"

                        --hex-string"HEX_STRING"：HEX_STRING为编码成16进制格式的字符串

                    time扩展：基于时间区间的访问控制

                        --datestart

                        --dattestop

                        --timestart

                        --timestop

                        --weekdays

                    connlimit扩展：基于连接数作限制；对每个IP能够发起的并发连接数作限制

                        --connlimit-above

                    limit扩展：基于发包速率作限制

                        --limit

                        --limit-burst

                    state扩展：启用连接追踪模板记录连接

                        NEW:新建立的连接，连接追踪模板中无相应记录时，客户端第一次发出的请求

                        ESTABLISHED:NEW状态后，边距追踪模板中的记录删除之前进行的通信过程

                        RELATED:相关联的连接

                        INVALIED:无法识别的状态

    ##TARGET:采取的动作

        -j ：跳转目标

            ACCEPT :允许接受

            DROP ：丢弃

            REJECT ：拒绝

SNAT:主要用于实现内网客户端访问外部主机时使用，要定义在POSTOUTING链，也可以在OUTPUT上使用

DNAT：主要用于发布内部服务器，让内网中的服务器在外网中可以被访问到，要定义在PREROUTING链