Linux防火墙基础

一、安全技术和防火墙

1.安全技术

• 入侵检测系统（lntrusion Detection Systems）
• 入侵防御系统（lntrusion Prevention System）
• 防火墙（Firewalld）
• 防水墙（Waterwall）

2.防火墙分类

• 按保护范围划分：

主机防火墙：服务范围为当前一台主机
网络防火墙：服务范围为防火墙一侧的局域网

• 按实现方式划分:

硬件防火墙：在专用硬件级别实现部分功能的防火墙
软件防火墙：运行于通用硬件平台之上的防火墙的应用软件

• 按网络协议划分：

网络层防火墙：OSI模型下四层，又称为包过滤防火墙
应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

二、Linux防火墙的基本认识

1.Netfilter
Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中。

2.防火墙工具

• iptables
• firewalld
• nftables

3.Netfilter中五个钩子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook function勾子函数——INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING ，而这五个hook function向用户开放，用户可以通过一个命令工具iptables向其写入规则。

三种报文流向：

• 流入本机：PREROUTING --> INPUT-->用户空间进程(访问我的服务)
• 流出本机：用户空间进程 -->OUTPUT--> POSTROUTING（穿过我）
• 转发：PREROUTING --> FORWARD --> POSTROUTING（分摊流量）

三、iptables

1.iptables概述

iptables是Linux系统的防火墙， IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。
iptables 属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。

2.iptables的表、链结构（四表五链）

表中有链，链中有规则

• 表的作用：规定了如何处理数据包
• 链的作用：容纳各种防火墙规则
• 规则的作用：对数据包进行过滤或处理

四表

ptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

表名	作用
raw	是否跟踪数据流量
mangle	是否标记数据流量
nat	负责网络地址转换，用来修改数据包中的源、目标IP地址或端口
filter	（是防火墙的默认表）负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链：PREROUTING、POSTROUTING、OUTPUT

五链

链名	作用
input	处理需要进入本机的流量
output	处理从本机出来的流量，一般不在此链上做配置
forward	处理需要被本机转发的流量
prerouting	处理在路由判断前的数据，在不明确是给本机的数据还是转发给别的机器的数据前就进行处理
postrouting	处理在路由判断后的数据包，明确是给自己还是给别人的数据后 进行处理

内核中数据包的传输过程

1.当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去；
2.如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达；
3.如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

3.实际操作

iptables语法
命令格式：

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

点击查看代码

管理选项：表示iptables规则的操作方式，如插入、增加、删除、查看等；
匹配条件：用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理；
控制类型：指的是数据包的处理方式，如允许、拒绝、丢弃等。 

`注意事项：`
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

• 管理选项

管理选项	用法示例
-A	在指定链末尾追加一条 iptables -A INPUT （操作）
-I	在指定链中插入一条新的，未指定序号默认作为第一条 iptables -I INPUT 编号（操作）
-P	指定默认规则 iptables -P OUTPUT ACCEPT （操作）
-D	删除 iptables -t nat -D INPUT 2 （操作）
-p	服务名称 icmp tcp-R修改、替换某一条规则 iptables -t nat -R INPUT （操作）
-L	查看 iptables -t nat -L （查看）
-n	所有字段以数字形式显示（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名） iptables -L -n,iptables -nL,iptables -vnL （查看）
-v	查看时显示更详细信息，常跟-L一起使用 （查看）
--line-number	规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F	清除链中所有规则 iptables -F （操作）
-N	新加自定义链-X清空自定义链的规则，不影响其他链 iptables -X
-Z	清空链的计数器（匹配到的数据包的大小和总和）iptables -Z
-S	看链的所有规则或者某个链的规则/某个具体规则后面跟编号

• 匹配条件

通用匹配
协议匹配	-p 协议名
地址匹配	-s 源地址、-d目的地址 【可以是IP、网段、域名、空(任何地址)】
接口匹配	-i入站网卡、-o出站网卡
端口号匹配	--sport 指定源端口号 、--dport 指定目的端口号

• 控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下：

控制类型	作用ACCEPT允许数据包通过
DROP	直接丢弃数据包，不给出任何回应信息
REJECT	拒绝数据包通过，必要时会给数据发送端一个响应信息
LOG	在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则
SNAT	修改数据包的源地址
DNAT	修改数据包的目的地址
MASQUERADE	伪装成一个非固定公网IP地址

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助 动作，并没有真正处理数据包。

查看规则表

iptables -vnL
iptables -vnL --line-numbers

点击查看代码

[root@node1 ~]#  iptables -vnL    //查看规则表，L写最后
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)   //input链，默认规则允许
 pkts bytes target     prot opt in     out     source         destination    //规则
#包数 字节数 目标地址   协议      进     出      源地址          目的地址
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source         destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source         destination 
 

[root@node1 ~]# iptables -vnL --line-numbers  //显示各条规则在链内的顺序号