---

前言

在Internet中，企业通过架设各种应用系统来为用户提供各种网络服务，如web网站、电子邮件系统、FTP服务器、数据库系统等。那么，如何来保护这些服务器，过滤企业不需要的访问甚至是恶意的入侵？

---

一、Linux 防火墙基础

Linux 的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）
体现在对包内的IP地址、端口等信息的处理上
Linux系统的防火墙基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用

1.iptables概述

netfilter/iptables： IP信息包过滤系统，它实际上由两个组件netfilter和iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理
netfilter/iptables的区别
netfilter： 指的是Linux内核中实现包过滤防火墙的内部结构，不以程序或文件的形式存在，属于内核态（Kernel Space，又称为内核空间）的防火墙功能体系
iptables： 指的是用来管理Linux防火墙的命令程序，通常位于/sbin/iptables目录下，属于用户态（User Space，又称用户空间）的防火墙功能体系

2.iptables 的表、链结构

2.1 iptables的四表五链的结构介绍

iptables的作用是为包过滤机制的实现提供规则，通过各种不同的规则，告诉netfilter对来自某些源，前往某些目的或具有某些协议特征的数据包应该如何处理，为了更加方便地组织和管理防火墙规则，iptables采用了表和链的分层结构，所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机
其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链

2.2 四表五链

规则表的作用：容纳各种规则链
表的划分依据：防火墙的作用类似
规则链的作用：容纳各种防火墙规则
规则的作用：对数据包进行过滤或处理
链的分类依据：处理数据包的不同时机
表里有链，链里有规则

2.3 四表

• raw：主要用来决定是否对数据包进行状态跟踪。 包含两个规则链：OUTPUT、PREROUTING
• mangle：修改数据包的内容，用来做流量整形的，给数据包设置标记。包含五个规则链：INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
• nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链：OUTPUT、PREROUTING、POSTROUTING
• filter：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链：INPUT、FORWARD、OUTPUT

2.4五链

• INPUT：处理入站数据包，匹配目标IP为本机的数据包
• OUTPUT：处理出站数据包，一般不在此链上做配置
• FORWARD：处理转发数据包，匹配流经本机的数据包
• PREROUTING：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
• POSTROUTING：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网地址通过里路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.数据包过滤的匹配流程

3.1规则表之间的顺序

raw → mangle → nat → filter
1

3.2规则链之间的匹配顺序

主机型防火墙
数据直接进入到防火墙所在的服务器的内部某一个应用程序当中，是直接进入到服务
入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING→INPUT→本机的应用程序
出站数据（从防火墙向外部地址发送的数据包）：本机的应用程序→OUTPUT→POSTROUTING
网络型防火墙
转发数据（需要经过防火墙转发的数据包）：PREROUTING→FORWARD→POSTROUTING

3.3规则链内的匹配顺序

自上向下按顺序依次进行检查，找到相匹配的规则即停止（LOG策略例外，表示记录相关日志）要么放行，要么丢弃
若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许）

3.4数据包在规则表、链间的匹配流程

入站数据流向：来自外界的数据包到达防火墙后，首先PREROUTING链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应发往何处）；如果数据包的目标地址是防火墙本机（如 Internet 用户访问网关的 Web 服务端口），那么内核将其传递给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（如 httpd 服务器）进行响应
转发数据流向：来自外界的数据包到达防火墙后，首先被PREROUTING链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问QQ服务器），则内核将其传递给FORWARD链进行处理（允许转发或拦截、丢弃），最后交给POSTROUTING链（是否修改数据包的地址等）进行处理
出站数据流向：防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网DNS服务时），首先进行路由选择，确定了输出路径后，再经由OUTPUT链处理，最后再交POSTROUTING链（是否修改数据包的地址等）进行处理

匹配流程图

二、编写防火墙规则

1.安装iptables

CentOS7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables
关闭firewalld防火墙

systemctl stop firewalld
systemctl disable firewalld
1
2

安装iptables防火墙

yum -y install iptables iptables-services
1

设置iptables开机启动

systemctl start iptables
system enable iptables
1
2

iptables防火墙的配置方法
1.使用iptables命令行
2.使用system-config-firewall CentOS7不能使用 CentOS6可以使用

2.iptables基本语法、数据包控制类型

2.1 基本语法

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
1

其中，表明、链名用来指定iptables命令所操作的表和链，未指定表名时将默认使用filter表
管理选项：表示iptables规则的操作方式，如插入、增加、删除、查看等
匹配条件：用来指定要处理的数据包特征，不符合指定条件的数据包将不会处理
控制类型：指的是数据包的处理方式，如允许、拒绝、丢弃等

注意事项

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 选项、链名、控制类型使用大写字母，其余均为小写

2.2数据包的常见控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据的放行、封堵及做响应的日志记录等。
在iptables防火墙体系中，最常用的几种控制类型如下。

3.添加、查看、删除防火墙规则

3.1常用的管理选项

3.2查看规则列表

查看已有的防火墙规则时，使用管理选项"-L"，结合"–line-numbers"选项还可以显示各条规则在链内的顺序号

查看filter表INPUT链中的所有规则，并显示规则序号，可以执行以下操作

查看filter表所有链中的规则

当防火墙规则的数量较多时，若能够以数字形式显示地址和端口，可以减少地址解析的环节，在一定程度上加快命令执行的速度

以数字形式查看filter表INPUT链中的所有规则

通常查看链时，会以数字形式显示(-n)，并显示详细信息(-v)，并且加上序号(–line-numbers)，再加上查看选项(-L)

3.3添加新的规则

iptables -A INPUT -p icmp -j REJECT
不允许任何主机ping通本机，并给发送端一个响应信息
1
2

测试：另一台主机ping不通本机

3.4删除规则

将添加的规则删除

测试：另一台主机可以ping通