Linux防火墙介绍
Linux系统防火墙功能是由内核实现的,从2.4版本之后的内核中,包过滤机制是netfilter,管理工具是iptables
netfilter
位于系统内核中的包过滤防火墙功能体系,被称为Linux防火墙的“内核态”
iptables
位于/sbin/iptables,是用来管理防火墙的命令工具,被称为linux防火墙的“用户态”
iptables的表与链介绍
链是防火墙规则或策略的集合,对于数据包进行过滤或处理,要把处理机制的不同,将各种规则放入不同的“链”中
默认的5种链如下:
INPUT:处理入站的数据包
OUTPUT:处理出站的数据包
FORWARD:处理转发数据包
POSTROUTING:在进行路由选择后处理数据包
PREROUTING:在进行路由选择前处理数据包
表是规则链的集合,具有某一类相似作用的规则,按不同的机制到不同的链之后,再被收入到不同的表中
默认的4个表如下:
raw表:确定是否对数据包进行状态跟踪
mangle表:为数据设置标记
nat表:修改数据包中的源、目IP或端口
filter表:过滤数据包或对数据包进行相关处理
iptables的表与链的结构如下
Iptables数据包过滤匹配介绍
表与表之间的优先顺序
raw— mangle–nat—filter
链之间的匹配顺序
入站数据:PREROUTING–INPUT
出站数据:OUTPUT—POSTROUTING
转发数据:PRETOUTING–FORWARD—POSTROUTINGS
链内的匹配顺序
1、按顺序依次检查,找到匹配的规则就停止检查
2、找不到匹配的规则,则按默认的策略处理
数据包匹配的流程图如下
iptables管理与配置
命令语法格式
iptables [-t 表名] 选项 [链名] [匹配条件] [-j 目标动作]
注:不指定表名时默认是filter表
不指定链名时默认是表内的所有链
除设置链的默认策略,否则需要指定匹配条件
[root@host ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
[root@host ~]# iptables -I INPUT -p udp -j ACCEPT
[root@lhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
[root@host ~]# iptables -P INPUT DROP
[root@host ~]# iptables -L INPUT –line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT udp – anywhere anywhere
2 ACCEPT icmp – anywhere anywhere
3 ACCEPT tcp – anywhere anywhere
配置匹配数据包的条件命令
协议匹配(tcp/udp/icmp)
-p 协议名
iptables -A FORWARD -p ! icmp -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT
**地址匹配 **
-s 源地址 -d 目标地址
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -s 100.0.0.100 -j ACCEPT
端口匹配
–sport 源端口 –dport 目标端口
iptables -A FORWARD -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 20:80 -j ACCEPT
常见数据包的处理动作
ACCEPT:放行数据包
DROP:丢弃数据包
REJECT:拒绝数据包
iptables规则导入、导出管理
导出:iptables-save /etc/sysconfig/iptables
导入:iptables-restore /etc/sysconfig/iptables