Linux防火墙_如何拦截tcp

---

前言

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中
Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作

一、Linux防火墙基础

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。
体现在对包内的 IP 地址、端口等信息的处理上
Linux 系统的防火墙基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用

防火墙区域（zone）

过滤规则集合：zone

一个zone一套过滤规则，数据包经过某个zone进出站，不同zone规则不同，fierwalld将网卡对应到不同zone，默认9个区域（CentOS系统默认区域为public），有优先级，高优先级可以到优先级，低优先级到优先级需做规则过滤

区域

public（公共）
dmz（非军事区）：内外网之间的一层网络区域，主要管理内网到外网的安全限制/访问规则
trusted（信任）

1.防火墙工具介绍

netfilter/iptables:IP信息包过滤系统，它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

1.iptables

iptables是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录，属于“用户态”(User. Space，又称为用户空间) 的防火墙管理体系。
iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。
核心意义：控制不同网络之间的数据包/流量数据的访问规则/约束

2.netfilter

netfilter是内核的一部分，由一些数据包过滤表组成，不以程序文或文件的形式存在，这些表包含内核用来控制数据包过滤处理的规则集，属于“内核态”(Kernel Space，又称为内核空间)的防火墙功能体系。

2.iptables的四表五链

iptables的作用是为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理

iptables采用了表和链的分层结构，所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机。

其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链
表为处理动作（操作指令）
链为具体位置

1.规则表

表的作用：容纳各种规则链
表的划分依据：防火墙规则的作用相似

1.4个规则表

raw表：确定是否对该数据包进行状态跟踪
mangle表：为数据包设置标记
nat表：修改数据包中的源、目标IP地址或端口
filter表（默认表）：确认是否放行该数据包（过滤）（核心）

2.规则链

**规则的作用：**对数据包进行过滤或处理
**链的作用：**容纳各种防火墙规则
**链的分类依据：**处理数据包的不同时机

1.5种规则链

INPUT: 处理入站数据包，匹配目标IP为本机的数据包

OUTPUT: 处理出站数据包，一般不在此链上做配置

FORWARD: 处理转发数据包，匹配流经本机的数据包

PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上

POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.默认表、链的结构示意图

在iptables 的四个规则表中，mangle 表 和raw表的应用相对较少
在iptables 的五个规则链中，一般用input比较多（限制进入），output用的比较少，forward一般用在代理服务器上

4.数据包过滤的匹配流程

1.规则表之间的顺序

raw ----> mangle ----> nat ----> filter

2.规则链之间的顺序

入站：PREROUTING->INPUT

来自外界的数据包到达防火墙后，首先被 PEROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应该发往何处）；如果数据包的目标地址是防火墙本机，那么内核将其传递给 INPUT 链进行处理（决定是否允许通过），通过后再交给系统上层的应用程序进行相应操作

出站：OUTPUT->POSTROUTING

防火墙本机向外部地址发送数据包，首先被 OUTPUT 链处理，然后进行路由选择，再交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

转发：PREROUTING->FORWARD->POSTROUTING

来自外界的数据包到达防火墙后，首先被 PREOUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址，则内核将其传递给 FORWARD 链进行处理（允许转发、拦截或丢弃），最后交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

3.规则链内的匹配顺序

按顺序一次检查，匹配即停止（LOG策略例外）
若找不倒相匹配的规则，则按该链的默认策略处理

二、编写防火墙规则

1、安装iptables

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables。

关闭firewalld防火墙

[root@yzq ~]#systemctl stop firewalld
[root@yzq ~]#systemctl disable firewalld

1
2
3

安装iptables 防火墙

[root@yzq ~]#yum install -y iptables

1
2

设置iptables开机启动

[root@yzq ~]#systemctl start iptables.service 
[root@yzq ~]#systemctl enable iptables.service 

1
2
3

iptables防火墙的配置方法:
1.使用iptables命令行
2.使用system-config-firewall centso7不能使用 centos 6可以使用

2.语法构成

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]
iptables -t filter -I INPUT -p icmp -j REJECT

1
2
3

其中，表名、链名用来指定 iptables 命令所操作的表和链，未指定表名时将默认使用 filter 表。

管理选项：表示iptables规则的操作方式，如插入、增加、删除、查看等
匹配条件：用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理
控制类型：指的是数据包的处理方式，如允许、拒绝、丢弃等

注意事项
不指定表名时，默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写

3.常见控制类型（均大写）

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下。

ACCEPT：允许通过
DROP：直接丢弃，不给任何回应
REJECT：拒绝通过，必要时会给提示
LOG：记录日志信息，然后传给下条规则继续匹配
SNAT： 修改数据包的源地址
DNAT： 修改数据包的目的地址
MASQUERADE： 伪装成一个非固定公网IP地址

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助
动作，并没有真正处理数据包。

4.iptables 命令的常用管理选项

添加新规则

-A 在链末尾追加规则
-I 在链的开头插入规则
或者：
-2 在第二条插入
-3 在第三条

查看规则列表

-L 列出所有规则列表
-n 以数字形式显示地址，端口等信息（比如任意ip地址是0.0.0.0而不是anywhere，比如显示协议端口号而不是服务名）
-v 详细信息显示规则
–line-numbers 显示规则序号

示例：
iptables -L
iptables -n

删除，清空规则

-D 删除链内指定序号或内容的一条规则
-F 清空所有规则
例如：
iptables -D OUTPUT 5
iptables -F 清空的是默认的表，也就是filter表
iptables -t nat -F 清空nat表

设置默认策略

-P 指定默认规则 iptables -P OUTPUT ACCEPT （操作）

5.匹配规则条件

在编写防火墙规则时，匹配条件的设置起着决定性的作用。只有清晰、准确地设置好匹配条件，防火墙才知道要对符合什么条件的数据包进行处理，避免“误杀”。对于同一条防火墙规则，可以指定多个匹配条件，表示这些条件必须都满足规则才会生效。根据数据包的各种特征，结合iptables的模块结构，匹配条件的设置包括三大类：通用匹配、隐含匹配、显式匹配

通用匹配（常规匹配）

可以独立使用，不依赖于其他条件或扩展模块。 常见的通用匹配包括协议匹配、地址匹配、网络接口匹配

-p 协议名
-s 源地址
-d 目标地址，可以是IP、网段、域名、空(任何地址)
-i 入站网卡
-o 出站网卡
感叹号”!”表示取反

隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件

端口匹配（可以指定端口范围）

–sport源端口
–dport目标

–sport 1000 匹配源端口是1000的数据包
–sport 1000:3000 匹配源端口是1000-3000的数据包
–sport :3000 匹配源端口是3000及以下的数据包
–sport 1000: 匹配源端口是1000及以上的数据包
–sport和–dport 必须配合-p <协议类型>使用
icmp类型匹配：–icmp-type
示例：
iptables -A INPUT -s 192.168.10.10 -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 20:21 -j DROP
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

多个端口匹配条件（显示匹配）

要求以-m 扩展模块的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

多端口匹配：
-m multiport --sports 源端口列表
-m multiport --dports 目标
ip范围匹配：-m iprange --src-range ip范围
mac地址匹配：-m mac --mac-source MAC地址
状态匹配：-m state --state 连接状态

常见连接状态

NEW 与任何连接无关的，还没有开始连接
ESTABLISHED 响应请求或者已建立连接的，连接态
RELATED 与已有连接有相关性的(如FTP主被动模式的数据连接)，衍生态，一般与ESTABLISHED 配合使用
INVALID 不能被识别属于哪个连接或没有任何状态S（无效）

实例

不允许任何主机ping本主机

[root@yzq opt]#iptables -t filter -A INPUT -p icmp -j REJECT 

1
2

禁用某网段

[root@yzq opt]#iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 

1
2

禁用某网段22端口

[root@yzq opt]#iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP
1

禁用192.168.226.1–192.168.226.100 IP段的22端口

[root@yzq opt]#iptables -I INPUT -m iprange --src-range 192.168.226.1-192.168.226.100 -p tcp --dport 22 -j DROP

1
2

禁用192.168.226.1–192.168.226.100经过网卡ens33的IP段的22端口

[root@yzq opt]#iptables -I INPUT -m iprange --src-range 192.168.226.1-192.168.226.100 -p tcp -i ens33 --dport 22 -j DROP 
1

开启路由转发功能

vim /etc/sysctl.conf 配置内核参数开启路由转发，echo 1 >/proc/sys/net/ipv4/ip_forward为临时配置
net.ipv4.ip_forward=1
sysctl -p 从文件加载系统参数

配置防火墙策略

[root@yzq opt]#iptables -t nat -A PREROUTING -d 12.0.0.128 -i ens38 -j DNAT --to-destination 192.168.192.210
[root@yzq opt]#iptables -t nat -I POSTROUTING -s 192.168.192.0/24 -o ens38 -j SNAT --to-source 12.0.0.128

1
2
3