Linux系统上的防火墙是由iptables/netfilter组成,其中iptables是规则的制定工具,netfilter在内核协议框架中定义了5个卡点位置,并在这5个位置通过钩子函数对进出的数据包进行过滤,从而达到防火墙的功能,iptables工具工作在用户空间,它可以制定一些规则然后送达到内核空间,然后结合netfilter的钩子函数及处理方法对数据包进行放行或者拒绝处理。防火墙里面有许多个table,每个表格里面都定义许多的规则,并且每个表格的用途不同,iptables按用途和功能对其分类成四个表,这四个表又由五个链组成,这五个链对应上面五个钩子函数。
防火墙的四个表分别为:filter,nat,mangle,raw;默认表是filter,表的处理优先级依次为:raw,mangle,nat,filter。每个表的处理功能分别为
##filter:一般的过滤功能;
##nat:用于nat功能(地址转换、隐射,端口隐射);
##mangle:用于对特定数据包的修改,(较少使用);
##raw:一般是为了不在让iptables做数据包的链接跟踪处理,从而提高性能;
四个表下的五个链分别为:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
##INPUT:通过路由表判断后目的地是本机,然后进入本机内部资源
##OUTPUT:由本机产生的数据向外部转发
##FORWARD:通过路由表判断后目的地不是本机,然后通过路由转发到其他地方
##PREROUTING:流入的数据包进入路由表之前
##POSTROUTING:传出的数据包到达网卡出口前
iptables的语法格式: iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET
## -t TABLE: 指定表,默认为filter,包括filter,nat,mangle,raw四表
## SUBCOMMAND:对链的操作(被引用中的链,无法删除和改名)
-F 清空指定表的指定链上所有的规则;省略链名时,清空表中的所有链
-N 新建一个用户自定义的链;自定义链只能作为默认链上的跳转对象,即在默认链通过引用来生效自定义链
-X 删除用户自定义的空链;非空自定义链和内置链无法删除
-Z 将规则的计数器置为0
-P 设置链的默认处理机制;当所有都无法匹配或有匹配有无法做出有效处理机制时,默认策略即生效
-E 重命名自定义链
##iptables 规则管理
-A 在链尾追加一条规则
-I 在指定位置插入一条规则
-D 删除指定规则
-R 替换指定的规则
-L 列出指定链上的所有规则
##CRETERIA: 匹配条件
检查IP首部、检查TCP、UDP或ICMP首部,也可以基于扩展机制,进行额外的检查,如做连接追踪;注意,可同时指定多个条件,默认多条件要同时满足。匹配条件又分通用匹配和扩展匹配
##通用匹配
[!] -s,-src,--source IP|Network :检查报文中的IP地址
-d,--dst--destination :检查报文中的目标IP地址
-p :检查报文中的协议,包括tcp,udp,icmp
-i,--in-interface :数据报文的流入接口,通常用于PREROUTING,INPUT,FORWARD链上的规则
-o,--out-interface :数据报文的流入接口,通常用于FORWARD,OUTPUT,POSTROUTING链上的规则
##扩展匹配
隐形扩展:如果在通用匹配上使用-p选项指明了协议的话,则使用-m选项指明对其协议的扩展就变得可有可无
tcp:针对tcp协议
--dport PORT[-PORT]
--sport
--tcp-flags LIST1 LIST2
LIST1 :要检查的标志位
LIST2 :在LIST1中出现过的且为1标记位;而余下的则必须为0;
--syn :用于匹配tcp会话三次握手中的第一次
udp:针对udp协议
--sport
--dport
icmp:针对icmp协议
--icmp-types
8:echo request
0:echo reply
显式扩展:必须指明使用的扩展机制
-m 模块名称 (每个模块会引入新的匹配机制)
multiport扩展: 定义多端口匹配,最多指定15个端口
--source-ports,--sport
--destination-ports
--ports
iprange扩展:指定连续的IP地址范围,在匹配非整个网段地址时使用
[!]--src-range IP
[!]--dst-range IP
srting扩展:检查报文中出现的字符串,与给定的字符串做匹配
--algo
--string"STRING"
--hex-string"HEX_STRING":HEX_STRING为编码成16进制格式的字符串
time扩展:基于时间区间的访问控制
--datestart
--dattestop
--timestart
--timestop
--weekdays
connlimit扩展:基于连接数作限制;对每个IP能够发起的并发连接数作限制
--connlimit-above
limit扩展:基于发包速率作限制
--limit
--limit-burst
state扩展:启用连接追踪模板记录连接
NEW:新建立的连接,连接追踪模板中无相应记录时,客户端第一次发出的请求
ESTABLISHED:NEW状态后,边距追踪模板中的记录删除之前进行的通信过程
RELATED:相关联的连接
INVALIED:无法识别的状态
##TARGET:采取的动作
-j :跳转目标
ACCEPT :允许接受
DROP :丢弃
REJECT :拒绝
SNAT:主要用于实现内网客户端访问外部主机时使用,要定义在POSTOUTING链,也可以在OUTPUT上使用
DNAT:主要用于发布内部服务器,让内网中的服务器在外网中可以被访问到,要定义在PREROUTING链