iptables防火墙.docx

Linux防火墙基础
Linux防火墙主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。Linux的防火墙体系基于内核编码实现。
filter和iptables都用来指Linux防火墙。
→netfilter:指的是Linux内核中包过滤防火墙的内部结构,属于内核态
→iptables:指的是用来管理Linux防火墙的命令程序,属于用户态。
两者均可以表示Linux防火墙
iptables的表、链结构
iptables的作用在于为包过滤机制的实现提供规则(或策略),通过各种不同的规则,filter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。Iptables采用了表和链来进行分层
规则表
规则表相当于内核空间的一个容器,根据规则集的不同划分四个规则表
→filter表:filter表用来对数据包进行过滤,对应的内核模块为iptable_filter。表中包含三个链:INPUT、OUTPUT和FORWARD
→nat表:nat表主要用来修改数据包的IP地址(功能类似路由器地址转换nat),对应的内核模块为iptable_nat。表中包含三个链:PREROUTING、POSTROUTING和OUTPUT
→mangle表:用来修改数据包的TOS、TTL等值,即流量整形功能,对应的内核模块为iptable_mangle,表中包含五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD
→raw表:,主要用来进行数据包的状态跟踪,对应的内核模块为iptable_raw。表中包含两个链:OUTPUT和PREROUTING
规则链
规则链在规则表中创建,根据数据包的时机不同划分为五种不同的规则链
→INPUT链:当收到访问防火墙本机地址的数据包时,即入站,匹配此链中的规则
→OUTPUT链:当防火墙本机向外发送数据包时,即出站,匹配此链中的规则
→FORWARD链:当接受到需要通过防火墙中转(防火墙为网关)发送给其他地址的数据包时,即转发,匹配此链中的规则
→PREROUTING链:在对数据包作路由选择之前,匹配此链中的规则
→POSTROUTING链:在对数据包作路由选择之后,匹配此链中的规则
数据包过滤的匹配流程
规则表之间的顺序
当数据包滴抵达防火墙时,将依次应用raw、mangle、nat和filter。应用顺序为raw→mangle→nat→filter
规则链之间的顺序
→入站数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING链处
理,然后进行路由选择;如果数据包的目标地址是防火墙本机,那么就应用INPUT链上的规则,通过以后再交给应用程序进行响应
→转发数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING链处理,然后进行路由选择;如果数据包的目标地址是其他外部地址(局域网内),则交给FORWARD链进行处理,最后交给POSTROUTING链处理
→出站数据流向:防火墙本机向外部地址发送的数据包,首先被OUTPUT链处理,然后进行路由选择,最后交给POSTROUTING链进行处理
规则链内部各条防火墙规则之间的顺序
当数据包经过每条数据链时,以此按第一条、第二条……进行匹配,”匹配即停止”,但也有例外,即LOG日志则匹配不停止
编写防火墙规则
基本语法、控制类型
语法格式:
iptables [-t 表名] 管理选项[链名] [匹配条件] [-j 控制类型]
其中,如果未指定表名时,将使用filter表
控制类型:
→ACCEPT:允许数据包通过
→DROP:直接丢弃数据包,不给任何回应信息
→REJECT:拒绝数据包通过,必要时会发送一个响应信息
→LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则
如:在filter表的INPUT链上创建拒绝发给本机的使用ICMP协议的数据包
如果想验证的话,用另外一个机子ping防火墙本机,ping不同即可
添加、查看、删除规则等基本操作
Iptables的常用管理选项
选项名
功能及特点
-A
在指定链的末尾添加一条新的规则
-D
删除指定链中的某一条规则,可以指定序号
-I
在指定链中插入一条新的规则,未指序号时默认为第一条
-R
修改、替换指定链中的某一条规则,可指定序号
-L
列出指定链中的所有规则。未指定链名,则列出表中的所有链
-F
清空指定链中的所有规则,未指定链名,清空表中的所有链
-P
设置指定链的默认规则
-n
以数字形式显示出结果