优秀的编程知识分享平台

网站首页 > 技术文章 正文

Linux 防火墙之 iptables 的基本使用

nanyue 2024-11-04 13:07:54 技术文章 3 ℃

防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。

在比较新的系统中,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。

iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。换句话说,当前的 linux 系统其实存在多个防火墙管理工具。

一、策略与规则链

防火墙会从上至下的读取配置的策略规则,如果在读取完所有的策略规则后没有匹配的,则执行默认的策略规则。防火墙策略规则的设置一般有两种:一种是“通”(放行),一种是“堵”(阻止)。

默认为拒绝时,就要设置允许规则,否则谁都进不来;默认为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。

iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

+ PREROUTING:在进行路由选择前处理数据包
+ POSTROUTING:在进行路由选择后处理数据包
+ INPUT:处理流入的数据包
+ OUTPUT:处理流出的数据包
+ FORWARD:处理转发的数据包

但是仅有规则策略还不能保证安全,还应有相应动作来处理相应流量,在 iptables 服务中分别是:ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。其中 DROP 和 REJECT 的区别是,DROP 直接将流量进行丢弃而且不响应,REJECT 则会丢弃流量后进行响应,使得流量发送方可看到数据被拒绝的响应信息。


二、iptables基本命令

iptables 是一款基于命令行的防火墙策略管理工具,iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会策略规则所预设的动作来处理这些流量。

iptables 常用命令参数如下:

参数作用-P设置默认策略-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-I num在规则链的头部加入新规则-D num删除某一条规则-s匹配来源地址IP/MASK,加叹号“!”表示除这个ip外-d匹配目标地址-I 网卡名称匹配从这块网卡流入的数据-o 网卡名称匹配从这块网卡流出的数据-p匹配协议。如TCP、UDP、ICMP--dport num匹配目标端口号--sport num匹配来源端口号

注:防火墙的策略规则的匹配顺序是从上至下的,因此优先级较高的策略规则应放到前面,以免发生错误。


三、具体示例

1、查看已有的防火墙规则链

iptables -L


2、把INPUT规则链的默认策略设置为拒绝(DROP)

iptables -P INPUT DROP

然后查看防火墙规则链,已经设置为DROP

现在流量发送方会看到响应超时的提醒,但是无法判断流量是被拒绝,还是接收方主机不在线。

注:默认拒绝动作只能是DROP,而不能是REJECT。


3、把INPUT规则链的默认策略设置为允许(ACCEPT)

iptables -P INPUT ACCEPT


4、清空已有的防火墙规则链

iptables -F

当把INPUT链设置为默认拒绝后,所有流量都将被拒绝,所以需要在防火墙策略中写入允许策略。


5、向INPUT链中添加允许ICMP流量进入的策略规则

平时我们会使用 ping 命令来检测目标主机是否在线,而向防火墙的INPUT链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。

iptables -I INPUT -p icmp -j ACCEPT

然后即可使用ping命令检测,如下


6、删除INPUT链中刚才加入那条策略(允许ICMP流量),并把默认策略设置为允许

[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@localhost ~]# iptables -D INPUT 1
[root@localhost ~]# iptables -P INPUT ACCEPT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
Chain FORWARD (policy ACCEPT)
target prot opt source destination        
Chain OUTPUT (policy ACCEPT)
target prot opt source destination


7、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。

iptables -I INPUT -s 192.168.157.0/30 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
ACCEPT tcp -- 192.168.157.0/30 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

这里我们把允许的动作放到了拒绝的动作前面,因为防火墙策略是从上至下的顺序匹配的,否则拒绝在前,所有流量都被拒绝掉,任何主机都无法访问。

我们可以使用 ssh 服务来验证一下,因为ssh服务使用的就是22端口,首先使用IP地址为 192.168.157.132 的主机来访问,如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused

可以看到提示连接被拒绝了,接下来将这个ip加入iptables的允许策略中,允许这个ip访问22端口。

iptables -I INPUT -s 192.168.157.132 -p tcp --dport 22 -j ACCEPT

继续使用IP地址为192.168.157.132的主机来访问,如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused

[root@localhost ~]# ssh 192.168.157.133     
The authenticity of host '192.168.157.133 (192.168.157.133)' can't be established.
ECDSA key fingerprint is 5e:a5:c3:aa:f8:b2:e9:6c:55:37:bd:aa:d8:77:68:2b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.157.133' (ECDSA) to the list of known hosts.
root@192.168.157.133's password:
Last login: Thu Mar 19 15:27:46 2020 from 192.168.157.1

可以看到已经成功连接。


8、向INPUT规则链中添加拒绝所有人访问本机8888端口的策略规则

[root@localhost ~]# iptables -I INPUT -p tcp --dport 8888 -j REJECT
[root@localhost ~]# iptables -I INPUT -p udp --dport 8888 -j REJECT

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
REJECT udp -- anywhere anywhere udp dpt:ddi-udp-1 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:ddi-tcp-1 reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.157.132 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.157.0/30 anywhere           
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


9、向INPUT规则链中添加拒绝192.168.157.128访问本机80端口的策略规则

iptables -I INPUT -s 192.168.157.128 -p tcp --dport 80 -j REJECT


10、向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT


四、策略永久生效

由于使用 iptables 命令配置的防火墙策略默认会在系统下一次重启时失效,所以需要让配置的防火墙策略永久生效,执行如下命令:

[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[确定]

保存之后也可在 /etc/sysconfig/iptables 中查看到配置的策略,如下



觉得有帮助点个赞吧!!!最后感兴趣的可以关注下我的公众号(公众号搜索 chaodev )。

原创不易,转载请注明出处。

Tags:

最近发表
标签列表