iptables——相关概念

本系列文章参考朱双印博客，原文链接：https://www.zsythink.net/archives/1199

写在前面

设置iptables防火墙，需要明确的2点：
1.本机开通了哪些服务端口
2.有哪些机器需要访问本机
一般为了安全性考虑，先只开通需要本机对需要访问本机的22端口和本机的服务端口。

# 阻止所有流量
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# 允许回环设备
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 允许已经建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH连接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许HTTP和HTTPS连接
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许DNS查询
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

相关概念

1.防火墙分类

从逻辑上可以分为主机防火墙和网络防火墙。

• 主机防火墙：针对于单个主机进行防护。
• 网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。
  网络防火墙和主机防火墙并不冲突，可以理解为，网络防火墙主外（集体）， 主机防火墙主内（个人）。

从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。

• 硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。
• 软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。

2.iptables简介

iptables其实是一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的”安全框架”netfilter中，netfilter才是真正的防火墙，也就是安全框架（framework），位于内核空间。
iptables是一个命令行工具，位于用户空间，用这个工具操作真正的框架。
netfilter/iptables（下文中简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

netfilter是Linux操作系统核心层内部的一个数据包处理模块，具有如下功能：

• 1.网络地址转换(Network Address Translate)
• 2.数据包内容修改
• 3.数据包过滤
  所以虽然使用service iptables start启动iptables服务，但是准确的来说，iptables并没有一个守护进程，所以并不能算是真正意义上的服务，而应该算是内核提供的功能。

3.iptables基础

3.1链的概念

每个经过某个链的报文，都要将这条链上的所有规则都匹配一遍，如果有符合条件的规则，则执行规则对应的动作。
链有5种，位于用户空间：prerouting，forward，postrouting，input（流向web服务），output

• 到本机某进程的报文流向：prerouting -> input
• 由本机转发的报文流向：prerouting -> forward -> postrouting
• 由本机的某进程发出报文（响应报文）流向：output -> postrouting

3.2表

具有相同功能的规则的集合叫做表。表一共分4种：filter表，nat表（network address translation），mangle表，raw表。

• filter表：负责过滤功能，防火墙；内核模块：iptables_filter
• nat表：网络地址转换功能；内核模块：iptables_nat
• mangle表：拆解报文，做出修改，并重新封装；内核模块：iptables_mangle
• raw表：关闭nat表上启用的连接追踪机制；内核模块：iptables_raw

3.3表链关系

每条“链”上的规则都存在于哪些”表“，即某条链只拥有哪张表相应的功能。

• prerouting链的规则只能存放在：nat表，raw表，mangle表
• input链的规则只能存放在：mangle表，filter表（centos7中有nat表，centos6中没有）
• forward链的规则只能存放在：mangle表，filter表
• output链的规则只能存放在：raw表，mangle表，filter表，nat表
• postrouting链的规则只能存放在：mangle表，raw表

实际使用中，是针对“表”作为操作入口，对规则进行定义。

3.4表（功能）<->链（钩子）

• raw表规则可被哪些链使用：prerouting，output
• mangle表规则可被哪些链使用：prerouting，input，forward，postrouting，output
• nat表规则可被哪些链使用：prerouting，output，postrouting（centos7中有input）
• filter表规则可被哪些链使用：input，forward，output

数据包在经过一条“链”的时候，会将当前链的所有规则都匹配一遍，但匹配时会有先后顺序，哪张“表”的规则会放在“链”的最前面执行呢，这就涉及到表的优先级。

3.5表的优先级

由高到低：raw -> mangle -> nat -> filter

3.6数据经过防火墙的流程

3.7规则

根据指定的匹配条件来尝试匹配每个流经此处的报文，一旦匹配成功，则由规则后面指定的处理动作进行处理。
规则的组成：匹配条件+动作
匹配条件：基本匹配条件、扩展匹配条件
基本匹配条件：源地址SourceIP，目标地址Destination IP
扩展匹配条件：以模块形式存在，需要依赖对应的扩展模块。比如源端口Source Port，目标端口Destination Port

3.8处理动作

在iptables中被称为target，动作也分为基本动作和扩展动作。

• ACCEPT：允许数据包通过。
• DROP：直接丢弃数据包，不给任何回应消息。
• REJECT：拒绝数据包通过，必要时会给数据发送段一个响应的信息，客户端刚请求就会收到拒绝的信息。
• SNAT：源地址转换，解决内网用户用同一个公网地址上网的问题。
• MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的IP上。
• DNAT：目标地址转换。
• REDIRECT：在本机做端口映射。
• LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，除了记录之外不对数据包做任何操作，仍然让下一条规则去匹配。