所谓防火墙也称之为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则，允许或者限制网络报文通过。

• 硬件防⽕墙：通过硬件和软件的组合，基于硬件的防⽕墙保护整个内部网络安全。（例如 华为E9000）
• 软件防⽕墙：通过纯软件，单独使⽤软件系统来完成防⽕墙功能，保护安装它的系统。

大型公司都是以硬件防火墙为主，软件防火墙为辅。软件防火墙根据情况来决定是否开启，如果服务器性能不够，可能会关闭软件防火墙。

1 iptables防火墙概述

linux系统自带的软件防火墙：

• iptables：centos 5/6 系统默认防火墙
• firewalld：Centos 7/8 系统默认防火墙

1.1 iptables概述

iptables是Linux系统的防火墙， IP信息包过滤系统，它实际上由两个组�.NETfilter和iptables组成。

主要工作在网络层，针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。属于典型的包过滤防火墙（或称为网络层防火墙）。

netfilter和iptables的关系：

netfilter

• 属于的“内核态”（Kernel Space， 又称为内核空间）的防火墙功能体系。
• 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处理的规则集。

iptables

• 属于“用户态”（User Space，又称为用户空间）的防火墙管理体系。
• 是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

1.2 iptables的四表五链

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。

表中所有规则配置后，立即生效，不需要重启服务。

四表五链：

规则表的作用：容纳各种规则链。

规则链的作用：容纳各种防火墙规则。

即表里有链，链里有规则。

四表：

在iptables的四个规则表中， mangle表和raw表的应用相对较少。

filter表是防火墙的默认表。

五链：

1.3 数据包控制的匹配流程

1.3.1 规则表之间的优先顺序：

数据包到达防火墙时，规则表之间的优先顺序：raw >mangle > nat > filter

1.3.2 规则链之间的匹配顺序：

主机型防火墙:

• 入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT -->本机的应用程序
• 出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING

网络型防火墙：

• 转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

注：标红的表示该链的规则通常在这个表上配置。

1.3.3 规则链内部的匹配顺序：

• 自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）
• 若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

 #例1：
 filter表 input链：
 1、放通 目的地址为192.168.80.0/24的
 2、放通 目的地址为192.168.100.0/24的
 此时192.168.100.0/24的IP数据包能够放行。
 
 #例2：
 filter表 input链：
 1、拒绝 源地址为100.100.100.0/24的
 2、放通 目的地址为192.168.80.0/24的
 3、放通 目的地址为192.168.100.0/24的
 此时192.168.100.0/24的IP数据包会被拒绝，因为是自上向下按顺序依次进行检查，第一条规则已匹配到，就不会再向下匹配。
复制代码

1.3.4 内核中数据包的传输过程

1. 当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

2. 如果数据包是进入本机的，数据包就会到达INPUT链。数据包到达INPUT链后， 任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后返回给发送方。

3. 如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD链，然后到达POSTROUTING链输出。

2 iptables的安装和规则配置

2.1 iptables的安装

Centos 7默认使用firewalld防火墙，没有安装iptables， 若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables 。

 #步骤1、关闭firewalld
 [root@yuji ~]# systemctl disable --now firewalld   //设置firwalld开机不自启，且现在就关闭
 Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
 Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
 
 #步骤2、安装iptables 和 iptables-services
 [root@yuji ~]# yum install -y iptables iptables-services
 
 #安装完后启动服务
 [root@yuji ~]# systemctl start iptables
复制代码

2.2 iptables的配置方法

1. 使用iptables命令行。
2. 使用图形化管理工具system- config- firewall

2.3 使用iptables命令行配置规则

命令格式：

 iptables  [-t 表名]  管理选项  [链名]  [匹配条件] [-j 控制类型]
复制代码

注意事项：

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 控制类型使用大写字母，其余均为小写

常用控制类型：

常用管理选项：

匹配条件：

2.4 规则配置示例

示例1：查看规则 -nL

 [root@yuji ~]# iptables -L      //查看filter表中所有规则
 [root@yuji ~]# iptables -nL     //以数字形式显示
 ​
 [root@yuji ~]# iptables -nL -t nat    //查看nat表ACCEPT
 [root@yuji ~]# iptables -nL --line-numbers   //显示规则序号
 ​
 [root@yuji ~]#iptables -t filter -F  //清空 filter表内所有规则
复制代码

示例：

1、 iptables -L，列出表中所有链。不指定表名则默认查看filter表。

2、 iptables -L -n，以数字形式显示输出结果。-L -n 合在一起写时，必须n在前，要写成 -nL。

3、iptables -nL -t nat，查看nat表。

4、iptables -t filter -F，清空 filter表内所有规则。

示例2：添加规则 -A -I

-A，在末尾追加规则。

-I，在指定位置前插入规则。如果不指定，则在首行插入。

 #在INPUT链末尾追加规则
 [root@yuji ~]# iptables -t filter -A INPUT -p icmp -j REJECT
 [root@yuji ~]# iptables -nL 
 ​
 #在INPUT链第二行出入规则
 [root@yuji ~]# iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
 [root@yuji ~]# iptables -nL --line-numbers
复制代码

示例：

1、拒绝icmp协议的数据包， 即不允许其他主机ping本机 。REJECT

使用其他的主机ping不通本机，reject拒绝后会回应一条消息。

2、丢弃icmp协议的数据包。DROP。

使用其他的主机ping本机，drop丢弃数据包，不给出任何回应信息。

3、-I，在指定位置前插入。如果不指定，则在首行插入。

iptables -nL --line-numbers，可以查看每条规则的序号。

示例3：删除规则 -D

1、按序号删除，比较准确。

2、按内容删除，如果有2条相同内容，会删除序号小的那个。

注意：

• 删除规则前，先想清楚会不会导致ssh断连。
• 如果链的默认规则是DROP，在使用iptables -F之前一定要慎重，可能会导致自己断连，断连后只能去机房解决。

 #先查看链中的规则
 [root@yuji ~]# iptables -nL --line-numbers   //显示规则的序号
 ChAIn INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 2    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 #按序号删除
 [root@yuji ~]# iptables -D INPUT 2  //删除INPUT链中的第2条规则
 [root@yuji ~]# iptables -nL --line-numbers
 Chain INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 ​
 #按内容删除
 [root@yuji ~]# iptables -D INPUT -p tcp -j ACCEPT  //删除INPUT链中tcp协议ACCEPT的规则
 [root@yuji ~]# iptables -nL --line-numbers
 Chain INPUT (policy ACCEPT)
 num  target     prot opt source               destination
 1    DROP       icmp --  0.0.0.0/0            0.0.0.0/0
 ​
 Chain FORWARD (policy ACCEPT)
 num  target     prot opt source               destination
 ​
 Chain OUTPUT (policy ACCEPT)
 num  target     prot opt source               destination
复制代码

示例4：修改规则

1、-R 直接修改。但一般不用这种形式。

2、可以先添加一条新规则，之后再删除旧规则。这样比较保险。

 #方法1：使用-R直接修改
 [root@yuji ~]# iptables -A INPUT -p icmp -j DROP  //原先设置的规则
 [root@yuji ~]# iptables -R INPUT -p icmp -j ACCEPT  //将DROP修改成ACCEPT
 ​
 #方法2：先-A添加一条规则，之后再-D删除旧规则
 [root@yuji ~]# iptables -A INPUT -p icmp -j ACCEPT  //添加一条新规则
 [root@yuji ~]# iptables -D INPUT -p icmp -j DROP   //删除旧规则
复制代码

示例5：设置默认策略 -P

未修改的状况下，默认策略为ACCEPT（允许）。

注意：

将默认策略修改为DROP前，一定要检查清楚链内是否设置了允许tcp协议22端口进行连接的规则。否则一旦修改为DROP，会导致ssh断连。

 [root@yuji ~]# iptables -P INPUT DROP  //将默认策略修改为DROP
复制代码

3 匹配条件

3.1 通用匹配

可直接使用， 不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件。

例：

 iptables -A INPUT ! -p icmp -j ACCEPT
 #没有-t指定表，就是指默认表filter表
 # !代表条件取反，不是icmp的都放通
  
 iptables -A INPUT -s 192.168.72.10 -j REJECT
 #拒绝从哪个主机发数据包过来（-s指定了源地址）
  
 iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
 #在行首插入规则，丢弃该网段从ens33网卡进来的数据包
复制代码

示例1：

! 取反时需要注意。

例如设置“不是icmp的都放通”，即放通的协议中不包括icmp，这条规则没有针对icmp。那么icmp协议会向下查找匹配，如果匹配不到规则，那么就会取默认策略ACCEPT，则此时其他主机可以ping通本机。

使用其他主机ping本机，可以ping通。

示例2：

拒绝192.168.72.10发来的数据包。

使用192.168.72.10这台机器ping本机，ping不通。REJECT拒绝后，会显示回应信息。

3.2 隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类 型等条件。

3.2.1 端口匹配

端口匹配：--sport 源端口、--dport 目的端口。

可以是个别端口或者端口范围。

注意： --sport 和 --dport 必须配合 -p <协议类型> 使用

3.2.2 TCP标记匹配

--tcp-flags TCP标记

 #TCP三次握手时的第一次握手，放行SYN为1的报文，拒绝其他包。
 iptables -I INPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN  -j  REJECT
 ​
 #第二次握手放行SYN、ACK为1的报文，拒绝其他包。
 iptables -I OUTPUT -P tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN,ACK  -j  REJECT
复制代码

3.2.3 ICMP类型匹配

--icmp-type ICMP类型

ICMP类型可以是字符串、数字代码:

注： 其他可用的icmp协议类型，可以执行iptables -p icmp -h 查看帮助信息。

 --icmp-type 8   //表示请求（ping），即其他主机向本机请求（ping本机）
 --icmp-type 0   //表示回显（pong），即本机向其他主机发数据包（本机ping其他主机）
 --icmp-type 3   //当本机ping不通其他主机时，提示目标不可达。
 ​
 例子:
 #丢弃icmp的包，别人ping不通本机，本机也ping不通别人
 iptables -A INPUT -p icmp -j DROP
 ​
 #丢弃icmp的请求，禁止其他主机ping本机，但本机可以ping其他主机
 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
 ​
 #当本机ping不通其它主机时提示目标不可达，此时其它主机需要配置关于icmp协议的控制类型为REJECT
 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
复制代码

示例：

丢弃icmp协议的请求，禁止其他主机ping本机，但本机可以ping其他主机。

3.3 显示匹配

要求以“-m扩展模块”的形式明确指出类型，包括多端口、mac地址、IP范围、数据包状态等条件

3.3.1 多端口匹配

• -m multiport --sport 源端口列表
• -m multiport --dport 目的端口列表

 iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
 iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
复制代码

3.3.2 IP范围匹配

• -m iprange --src-range 源IP范围
• -m iprange --dst-range 目的IP范围

 iptables -A FORWARD -p udp -m iprange --src-range 192.168.72.100-192.168.72.200 -j DROP
 # 禁止转发源地址位于192.168.72.100——192.168.72.200的udp数据包
复制代码

3.3.3 MAC地址匹配

格式：

 -m mac -- -mac- source MAC地址 
复制代码

示例：

 iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
 #禁止来自某MAC地址的数据包通过本机转发
复制代码

3.3.4 状态匹配

格式：

 -m state --state连接状态
复制代码

常见的连接状态：

示例：

 iptables -I INPUT -M state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 #第一个包我只看22端口的包
 #-p tcp是隐含匹配，可以省略-m tcp
  
 iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
 #允许放通tcp的这些端口号
 #-m multiport加载多个端口模块
  
 iptables -A INPUT -p udp --dport 53 -j ACCEPT
 #放通UDP的53端口进来的包（DNS服务器返回信息时默认使用UDP的53端口）
 ​
 iptables -A INPUT -p tcp -m state --state ESTABLISHED ,RELATED -j ACCEPT
 #对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过。简单来说就是只允许所有自己发出去的包进来。
 #比如我和你做生意，我们谈成了生意，到了支付的时候，就可以直接调用与这笔生意相关的支付功能。
  
 iptables -P INPUT DROP
 #默认关闭，将以上的设置设为白名单
复制代码

4 总结

1、Linux防火墙的两个组件：

• 内核态 netilter（保存包过滤处理的规则集）
• 用户态 iptables（防火墙规则管理工具）

2、数据包五要素：

源IP，目的IP，源端口，目的端口 ，协议UDP/TCP

3、四表：

• raw 对数据包进行状态跟踪
• mangle 修改数据包内容，给数据包设置标记
• nat 地址转换，转换源/目的IP或者端口
• fileter 过滤数据包 放行 丢弃

4、五链：

• INPUT 入站
• OUTPUT 出站
• FORWARD 转发
• PREROUTING 路由前修改目的地址
• POSTROUTING 路由后修改源IP

5、匹配顺序

1）数据包到达防火墙时，规则表之间的优先顺序：raw >mangle > nat > filter。

2）规则链之间的匹配顺序：

主机型防火墙

• 入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING --> INPUT -->本机的应用程序
• 出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING；

网络型防火墙

• 转发数据（需要经过防火墙转发的数据包)：PREROUTING -->FORWARD -->POSTROUTING

3）链中的规则集：从上往下一次匹配，匹配到规则即停止，若都没有匹配到则按默认策略处理

6、管理选项

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

• 增：-A 在末尾添加，-I 在指定位置插入
• 删：-D 删除指定规则，-F 清空所有规则
• 改：-R，或者-A 添加后 -D 删除
• 查：-nL 以数字形式显示，--line-numbers 显示规则的序号
• 设置默认规则：-P

注意：

删除规则前，以及将默认规则修改为DROP之前，一定要先想清楚会不会导致ssh断连。

7、 匹配条件

• -p tcp|udp|icmp
• -s 源IP
• -d 目的IP
• -i 入站网卡
• -o 出站网卡

作者：聂鲁达的邮差
链接：
https://juejin.cn/post/7093477215983124494