防火墙用于监控往来流量,并根据用户定义的规则来过滤数据包以保证安全。iptables是Linux下设置防火墙规则的常用工具,它可以让你设置、维护以及查看防火墙的规则表。你可以定义多个表,每个表可以包含多个链。每个链都是一系列规则,而每个规则定义了如何处理匹配的数据包。对于匹配的数据包要为其指定“目标”。目标可以是另一条链,也可以是如下特殊值(动作)之一:
- ACCEPT:意味着数据包允许通过。
- DROP:意味着数据包不允许通过。
- RETURN:意味着跳过当前链并且回到调用链的下一条规则。
下面我们来探究一下iptables中的过滤表。过滤表有3条链:
- INPUT:用来控制传入的数据包,你可以针对某个端口、协议或源ip地址来中断或允许连接。
- FORWARD :用来过滤传入此地但将要被转发至别处的数据包。
- OUTPUT:用来过滤传出的数据包。
实践出真知,下面来简单感受一下iptables的使用。
1. 查看当前iptables状态
通过这个命令可以查看当前iptables配置状态。-L选项用来列出所有规则,-v选项用来显示详细信息。输出示例如下图所示。可以看到3条链都被设置为默认的ACCEPT策略。当前每条链还没有规则。接下来我们会修改INPUT链来过滤进入的流量。
2. 定义规则
定义规则意味着把它追加到列表(链)的末尾。iptables命令完整的选项格式长得像这样。我们不必所有的选项。
这里 -A表示追加。interface是想要在其上过滤的网络接口。protocol是你想过滤的数据包所用的网络协议,你也可以指定端口号。
首先,启用本机内部的流量通信。这样应用和数据库之间的所有通信都能正常进行。
输出示例:
然后,我们启用HTTP、SSH和SSL端口连接。
想要HTTP(80端口),HTTPS(443端口),SSH(22端口)连接正常工作,输入以下命令来实现。我们用-p选项指定协议,-dport(destination port)选项指定相应的端口。
现在,这些指定端口上的TCP连接都能被接受。
接下来,基于源地址过滤数据包。
如果你想基于ip源地址或者地址范围来接受或拒绝数据包,那么你可以通过-s选项来指定。比如,接受来自192.168.1.3的数据。
你可以丢弃来自这一地址的数据包,只要将ACCEPT改为DROP:
如果对于来自某一地址范围的数据包你都想丢弃,则需要使用iprange模块,并通过--src-range指定地址范围。
最后,丢弃所有其他流量通信。这是十分重要的步骤,因为这样可以阻止其他端口的未授权访问。以下命令丢弃了除上述端口外其他所有的流入数据。
定义完以上规则后,再来看一看iptables中INPUT状态:
3. 删除规则
如果你想移除所有规则,可以使用flush命令:
如果你想删除指定规则,可以使用-D选项。在这之前,列出所有规则,使用下面的命令可以显示规则对应的行号:
输出如下图:
最后通过行号删除对应的规则:
4. 设置的持久化
目前为止我们对防火墙设置的规则都还只是保存在内存中。这意味这一旦重启变动都会消失。在Debian/Ubuntu系统中,可以使用一下命令保持设置:
该命令将当前规则保存到系统配置文件,它会在重启时重设规则表。每次设置规则后都应该运行这个命令。