9、iptables 防火墙

1.iptables 基础规则

1.1.Linux 包过滤防火墙

netfilter

位于 Linux 内核中的包过滤功能体系

称为 Linux 防火墙的 “内核态”

iptables

位于 /sbin/iptables，用来管理防火墙规则的工具

称为 Linux 防火墙的 “用户态”

1.2.包过滤的工作层次

主要是网络层，针对 IP 数据包，体现在对包内IP地址、端口等信息的处理上

1.3.iptables 的表、链结构

规则链

　　规则的作用：对数据包进行过滤或处理

　　链的作用：容纳各种防火墙规则

　　链的分类依据：处理数据包的不同时机

默认包括 5 种规则链

INPUT：处理入站数据包
OUTPUT：处理出站数据包
FORWARD：处理转发数据包
POSTROUTING链：在进行路由选择后处理数据包（在做 NAT 时有用）
PREROUTING链：在进行路由选择前处理数据包（在做 NAT 时有用）

规则表

　　表的作用：容纳各种规则链

　　表的划分依据：防火墙规则的作用相似

默认包括 4 个规则表

raw 表：确定是否对该数据包进行状态跟踪（PREROUTING、OUTPUT）
mangle 表：为数据包设置标记（PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD）
nat 表：修改数据包种的源、目标 IP 地址或端口（PREROUTING、POSTROUTING、OUTPUT）
filter 表：确定是否放行该数据包（过滤）（INPUT、FORWARD、OUTPUT）

1.4.数据包过滤的匹配流程

规则表之间的顺序：raw -> mangle -> nat -> filter

规则链之间的顺序：

入站：PREROUTING -> INPUT
出站：OUTPUT -> POSTROUTING
转发：PREROUTING -> FORWARD -> POSTROUTING

规则链内的匹配顺序：

　　按顺序依次检查，匹配即停止（LOG 策略例外）

　　若找不到相匹配的规则，则按该链的默认策略处理（默认策略是允许，如果修改为拒绝，就成白名单了）

访问的是服务器自身，则经过 input 到 output 走

2.iptables 基本语法

语法：iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

eg：iptables -t filter -I INPUT -p icmp -j REJECT #禁 ping

注意：

　　不指定表名时，默认指 filter 表

　　不指定链名时，默认指表内的所有链

　　除非设置链的默认策略，否则必须指定匹配条件

　　选项、链名、控制类型使用大写字母，其余均为小写

2.1.数据包常见控制类型

ACCEPT：允许通过
DROP：直接丢弃，不给出任何回应
REJECT：拒绝通过，必要时会给出提示
LOG：记录日志信息，然后传给下一条规则继续匹配

2.2.iptables 管理选项

添加新的规则：
-A：在链的末尾追加一条规则
-I：在链的开头（或指定序号后一行）插入一条规则
eg：
iptables -t filter -A INPUT -p tcp -j ACCEPT
iptables -I INPUT -p udp -j ACCEPT
iptables -I INPUT 2 -p icmp -j ACCEPT

查看规则列表：
-L：列出所有的规则条目
-n：以数字形式显示地址、端口等信息
-v：以更详细的方式显示规则信息
--line-numbers：查看规则时，显示规则的序号
eg：iptables -n -L INPUT（iptables -nL INPUT）

删除、清空规则：
-D：删除链内指定序列号（或内容）的一条规则
-F：清空所有的规则（-t：指定清空某个规则表的规则）
eg：
iptables -D INPUT 3
iptables -t nat -F

设置默认策略：
-P：为指定的链设置默认规则
eg：iptables -t filter -P OUTPUT ACCEPT（默认策略要么是 ACCEPT，要么是 DROP）