当前位置：首页 > news >正文

Linux的防火墙

news 文章来源：https://blog.csdn.net/YCyjs/article/details/140771675 2025/1/15 20:00:08

一、防火墙概述

防火墙是一种计算机硬件和软件的结合，使internet和intranet之间建立一个安全网关（Security Gateway），从而保护内网免受非法用户侵入的技术。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。计算机流入流出的所有网络通信和数据包均要经过此防火墙。

1.1、种类

从逻辑上讲，防火墙大体可以分为主机防火墙和网络防火墙。

主机防火墙：针对单个主机进行防护。
网络防火墙：往往对于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。

从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。

硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。
软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。

1.2、linux包过滤防火墙概述

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制。

属于典型的包过滤防火墙。linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和极高的效率，因此获得广泛的应用。

netfilter： 指的是linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于“内核态”又称内核空间的防火墙功能体系

iptables：指的是用来管理linux防火墙的命令程序，通常位于/sbin/iptables目录下，属于“用户态”又称用户空间的防火墙管理体系

iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理，为了更加方便的组织和管理防火墙规则，iptables采用了表和链的分层结构

高并发的时候，iptables影响性能，一般使用硬件防火墙。

iptables IP 信息包过滤系统由哪两个组件组成？

是由 IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成

1）netfilter：位于Linux内核中的包过滤功能，称为Linux防火墙的“内核态”
总结：Netfilter是Linux内核中的网络数据包处理框架

框架，最终处理还是内核
2）iptables：位于usr/sbin/iptables，用来管理防火墙规则。称为Linux防火墙的“用户态”
总结：iptables是基于Netfilter的用户空间工具，用于配置和管理数据包过滤规则

管理规则的，防火墙，数据包的规则

1.3、安装 iptabes

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables

**关闭firewalld防火墙**

systemctl stop firewalld.service
systemctl disable firewalld.service

**安装iptables 防火墙**

yum -y install iptables iptables-services

**设置iptables开机启动**

systemctl start iptables.service
systemctl enable iptables.service

iptables防火墙的配置方法:
1、使用iptables命令行。
2、使用system-config-firewall centso7不能使用 centos 6可以使用

3、CentOS 7 的设计考虑了向后兼容性，允许用户通过传统的命令行工具（如 iptables）来管理防火墙规则。

但是我们还是习惯性的使用iptables

二、iptables的四表五链结构

每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链

iptables的四表五链结构
iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理，为了更加方便的组织和管理防火墙规则，iptables采用了表和链的分层结构
所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机。

四表：

filter 根据具体的规则要求决定如何处理一个数据包（确定是否放行该数据包），filter 表对应的内核模块为 iptable_filter，表内包含三个链，即 INPUT、 OUTPUT、FORWARD。
nat 用来修改数据包的ip地址（源、目标），端口号等信息表内包含三个链，即POSTROUTING 、 OUTPUT、PREROUTING 。

mangle 用来修改数据包的服务类型、生命周期，或者设置mark标记实现流量整形等高级应用
raw 主要用来决定是否对数据包进行状态跟踪

五链：

INPUT 当收到访问防火墙本机地址的数据包时，应用此链中的规则
OUTPUT 当防火墙本机向外发送数据包时，应用此链中的规则
FORWARD 当接收到需要通过防火墙中转发送给其他地址的数据包时，应用此链中的规则
PREROUTING 在对数据包做路由选择之前，应用此链中的规则
POSTROUTING 在对数据包做路由选择之后，应用此链中的规则

forward

prerouting

postrouting

2.1、流向

规则表应用顺序：raw→mangle→nat→filter

rmnf

规则链的应用顺序取决于数据的流向

入站数据流向：PREROUTING→路由选择→INPUT→应用程序
转发数据流向：PREROUTING→路由选择→FORWARD→POSTROUTING
出站数据流向：OUTPUT→路由选择→POSTROUTING

规则链内部的处理规则
按第一条规则……第二条规则的顺序进行匹配处理，遵循“匹配即停止”的原则，
一旦找到一条匹配规则将不再检查后续的其他规则，如果一直找不到匹配的规则，就按默认规则处理。
默认规则用 iptables -L 查看，规则链后面出现(policy ACCEPT)即是默认放行
默认策略不参与链内规则的顺序编排
-F清空链时，默认策略不受影响

注意：需要先关闭firewalld防火墙否则会跟iptables起冲突
需要先安装iptables-services软件（yum安装，默认系统自带iptables命令）
安装完需设定开机自启

2.2、示意图

三、基本语法

iptables 【-t 表名】【管理选项】【链名】【匹配条件】【-j 控制类型】
【-t 表名】如果不指定表名，默认是filter表

管理选项

-A 在指定链末尾追加一条 iptables -A INPUT
-I 在指定链中插入一条新的，未指定序号默认作为第一条 iptables -I INPUT
-P 默认策略 iptables -P OUTPUT ACCEPT
-D 删除 iptables -t nat -D INPUT
-R 修改、替换某一条规则 iptables -t nat -R INPUT
-L 查看 iptables -t nat -L
-n 所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL
-v 查看时显示更详细信息，常跟-L一起使用
--line-number 规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-nvL --line-number 组合查看
-F 清除链中所有规则 iptables -F
-X 清空自定义链的规则，不影响其他链 iptables -X
-Z 清空链的计数器（匹配到的数据包的大小和总和）iptables -Z
-S 查看链的所有规则或者某个链的规则/某个具体规则后面跟编号 iptables -t nat -S、iptables -t nat -S POSTROUTING 1

控制选项（需大写）

ACCEPT 允许数据包通过
REJECT 拒绝数据包通过，必要时会给数据包发送端一个响应信息
DROP 直接丢弃数据包，不给任何回应
LOG 在/var/log/messages文件中记录日志信息，然后将数据包给下一条规则，它本身不处理数据包
DNAT:修改数据包的目的地址。
MASQUERADE（mɑːskəˈreɪd）:伪装成一个非固定公网IP地址。

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助

我们直接操作语法是临时的

1永久保存默认存放路径：/etc/sysconfig/iptables

2.防火墙规则的保存其他方式
iptables-save //查看当前规则

iptables-save > /etc/sysconfig/iptables //保存到默认配置文件下次重启不会丢失，或者其他文件

iptables-restore < /etc/iptables/rule.v4 //恢复

systemctl restart iptables.service //刷新所有规则，比如-F清空后，会刷新。

四、查看规则列表

查看已有的防火墙规则时，使用管理选项“-L”，结合“--line-numbers”选项还可显示各条规则在链内的顺序号。例如，若要查看 filter 表 INPUT 链中的所有规则，并显示规则序号，可以执行以下操作iptables [-t表名] -n -L [链名] |[-- line-numbers]
或iptables - [vn]L
注意:不可以合写为-Ln（L必须在最后）

iptables -vnL --line-numbers

比如注意大写，可以用tab补全

iptables -L INPUT --line-numbers

当防火墙规则的数量较多时，若能够以数字形式显示地址和端口信息，可以减少地址解析的环节，在一定程度上加快命令执行的速度。例如，若要以数字地址形式查看 filter 表INPUT 链中的所有规则，可以执行以下操作
-nL

iptables各字段解读

字段名	描述
pkts (或 packages)	对应规则匹配到的报文的个数。
bytes	对应匹配到的报文包的大小总和（以字节为单位）。
target	规则对应的target，表示规则匹配成功后需要采取的措施（如ACCEPT、DROP、REJECT等）。
prot	表示规则对应的协议，指定哪些协议的数据包需要匹配此规则（如tcp、udp、icmp等）。
opt	规则对应的选项，通常包含一些额外的参数或标记，用于进一步细化规则的行为。但在基础`iptables`规则中可能不常见。
in	表示数据包由哪个接口（网卡）流入。可以指定通过哪块网卡流入的报文需要匹配当前规则。
out	表示数据包由哪个接口（网卡）流出。可以指定通过哪块网卡流出的报文需要匹配当前规则。
source	表示规则对应的源头地址。可以是一个IP地址，也可以是一个IP地址网段。
destination	表示规则对应的目标地址。可以是一个IP地址，也可以是一个IP地址网段。

五、添加新的规则

添加新的防火墙规则时，使用管理选项“-A”、“-I”，前者用来追加（添加在尾部）规则，后者用来插入规则（默认作为第一条，新规则）

因为规则是匹配即停止的，所以先后很重要。

例如，若要在 filter 表 INPUT 链的末尾添加一条防火墙规则，可以执行以下操作（其中 “-p 协议名”作为匹配条件）。

iptables -t filter -A INPUT -p icmp -j REJECT //不允许任何主机ping本主机

iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

六、删除清空规则

6.1、删除

删除一条防火墙规则时，使用管理选项“-D”。例如，若要删除 filter 表 INPUT 链中的第

五条规则，可以执行以下操作。

iptables -D INPUT 5

第二种写法
iptables -t filter -D INPUT -p icmp - j REJECT
原本

删除

6.2、清空

我们所修改的都是临时的规则列表

清空指定链或表中的所有防火墙规则，使用管理选项“-F”。例如，若要清空 filter 表 INPUT

iptables -F INPUT

注意
1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条
2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错
3.按内容匹配删数时，确保规则存在，否则报错

使用管理选项“-F”时，允许省略链名而清空指定表所有链的规则。

例如，执行以下操作分别用来清空 filter 表、nat 表、mangle 表

iptables -F
iptables -t nat -F
iptables -t mangle -F

注意:
l.-F仅仅是清空链表中的规则，并不影响-P设置的默认规则，默认规则需要手动进行修改
2.-P设置了DROP后，使用-F 一定要小心!
防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决。
3.如果不写表名和链名，默认清空filter表中所有链里的所有规则

七、规则的匹配条件

在编写防火墙规则时，匹配条件的设置起着决定性的作用。只有清晰、准确地设置好匹配条件，防火墙才知道要对符合什么条件的数据包进行处理，避免“误杀”。对于同一条防火墙规则，可以指定多个匹配条件，表示这些条件必须都满足规则才会生效。根据数据包的各种特征，结合iptables的模块结构，匹配条件的设置包括三大类：通用匹配、隐含匹配、显式匹配。

7.1、通用匹配

通用匹配也称为常规匹配，这种匹配方式可以独立使用，不依赖于其他条件或扩展模块。常见的通用匹配包括协议匹配、地址匹配、网络接口匹配。

协议匹配

写 iptables 规则时使用“-p 协议名”的形式指定，用来检查数据包所使用的网络协议（protocol），如 tcp、udp、icmp 和 all（针对所有 IP 数据包）等，可用的协议类型存放于 Linux 系统的/etc/protocols文件中。

例如，若要丢弃通过 icmp 协议访问防火墙本机的数据包，允许转发经过防火墙的除 icmp 协议之外的数据包，可以执行以下操作。

iptables -A FORWARD ! -p icmp -j ACCEPT //感叹号”!”表示取反

地址匹配

-s 源地址、-d目的地址

可以是IP、网段、域名、空(任何地址)
iptables -I INPUT -s 192.168.100.200 -p icmp -j REJECT 不允许192.168.100.200这个主机ping本主机
iptables -I INPUT -s 192.168.100.0/24 -j DROP 禁止192.168.100.0网段的所有主机的所有连接

iptables -A OUTPUT -d 192.168.245.211 -p icmp -j DROP //丢弃ping 192.168.245.211的数据包

接口匹配

-i入站网卡、-o出站网卡

iptables -A INPUT -i ens33 -s 192.168.100.0/24 -j DROP 丢弃来自192.168.100.0网段并且从ens33接口进入的数据包
有可能不是主机型防火墙，网络型防火墙有两个网卡，既连公网又连私网的情况需要指定出入接口

iptables -A INPUT -i ens33 -j DROP //所有从ens33网卡进来的数据包都被丢弃，所以xshell会断连

7.2、隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。
端口匹配: --sport 源端口、--dport 目的端口

源端口是指自己，源本，如果用sport就是自己访问其他人的的22端口不能用，一般不会这样设置，自己给自己找麻烦

目标端口是指别的机器访问自己主机 dport

可以是个别端口、端口范围
--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配源端口是3000及以下的数据包
--sport 1000: 匹配源端口是1000及以上的数据包
注意: --sport和--dport 必须配合-p <协议类型>使用

iptables -A INPUT -p tcp --dport 22 -s 192.168.245.211 -j DROP //不允许211主机ssh到本机，指定端口之前一定要指定协议

7.3、显式匹配

这种匹配方式要求有额外的内核模块提供支持，必须手动以“-m 模块名称”的形式调用相应的模块

要求以“-m扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件。

多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT 允许开放25,80,110,143端口，以便访问邮件和网站服务
iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT 开放ftp访问，冒号表示端口的范围从20-21端口
iptables -A INPUT -p tcp -m multiport --dport 20,21 -j ACCEPT 开放ftp访问的另一种方法，写成多端口模式，端口之间用逗号分隔
*这里--dport和--dports都可以

IP范围匹配

-m iprange --src-range IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
MAC地址匹配: -m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
禁止来自某MAC地址的数据包通过本机转发

状态匹配

-m state --state 连接状态
常见的连接状态:

NEW（新的） :与任何连接无关的，还没开始连接
ESTABLISHED （已经立）:响应请求或者已建立连接的，连接态
RELATED（相关的） :与已有连接有相关性的(如FTP主被动模式的数据连接)，衍生态，一般与ESTABLISHED 配合使用，表示这个封包是与我们主机发送出去的封包有关，可能是响应封包或者是联机成功之后的传送封包！这个状态很常被设定，因为设定了他之后，只要未来由本机发送出去的封包，即使我们没有设定封包的 INPUT 规则，该有关的封包还是可以进入我们主机，可以简化相当多的设定规则，比如FTP
INVALID（无效的）:不能被识别属于哪个连接或没有任何状态，例如数据破损的封包状态

related 相关的

established 确定

invalid无效的

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
禁止转发与正常TCP连接无关的非--syn请求数据包(如伪造的网络攻击数据包)

iptables -A INPUT -p tcp -m state --state ESTABLISHED, RELATED -j ACCEPT
对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过。

7.4、扩展控制位（了解就行）

TCP标记匹配: --tcp-flags TCP标记
iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
#丢弃SYN请求包，放行其他包

ICMP类型匹配: --icmp-type ICMP类型
#可以是字符串、数字代码
"Echo- Request" (代码为8)表示请求
"Echo- Reply" (代码为0)表示回显
"Dest ination-Unreachable" (代码为3)表示目标不可达
关于其它可用的ICMP协议类型，可以执行“iptables -p icmp -h”命令，查看帮助信息

iptables -A INPUT -p icmp --icmp-type 8 -j DROP #禁止其它主机ping本机
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT #允许本机ping其它主机先拒绝：iptables -A INPUT -p icmp -j DROP

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #当本机ping不通其它主机时提示目标不可达
#此时其它主机需要配置关于icmp协议的控制类型为REJECT
iptables -A INPUT -p icmp -j REJECT

八、设置默认策略

iptables 的各条链中，默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时，则执行默认策略。
默认策略的控制类型为 ACCEPT（允许）、DROP（丢弃）两种。
例如，执行以下操作可以将 filter 表中 FORWARD 链的默认策略设为丢弃， OUTPUT 链的默认策略设为允许。

iptables [-t表名] -P <链名> <控制类型>

iptables -P INPUT DROP

输入后没显示清除所有规则之后才会生效

iptables -F

发现远程登录不上去了ssh

可以在本地机器systemctl restart iptables.service

一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

[root@localhost ~]# iptables -t filter -P FORWARD DROP

需要注意的是，当使用管理选项“-F”清空链时，默认策略不受影响。因此若要修改默认策略，
必须通过管理选项“-P”重新进行设置。另外，默认策略并不参与链内规则的顺序编排，因此在其他规则之前或之后设置并无区别。