目录

前言

一、iptables概述

二、iptables的表、链结构

1、四表

2、五链

3、数据包过滤的匹配流程

三、编写防火墙规则

1、iptables安装

2、iptables基本语法、数据包控制类型

1）语法构成

2）数据包的常见控制类型

3）添加、查看、删除规则等基本操作

---

前言

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。Linux 系统的防火墙体系基于内核编码实现， 具有非常稳定的性能和高效率，也因此获得广泛的应用。

一、iptables概述

netfilter/iptables：IP 信息包过滤系统，它实际上由两个组件 netfilter 和 iptables组成。
主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

netfilter/iptables关系：
netfilter：属于“内核态”又称内核空间（kernel space）的防火墙功能体系。
linux 好多东西都是内核态 用户态，那我们运维人员关注的是用户态， 内核我们关注不是很多，内核基本是我们开发人员关心的事情
是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables :属于“用户态”(User Space， 又称为用户空间)的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

二、iptables的表、链结构

规则表的作用：容纳各种规则链; 表的划分依据：防火墙规则的作用相似
规则链的作用：容纳各种防火墙规则;规则的作用：对数据包进行过滤或处理 ;链的分类依据：处理数据包的不同时机
总结:表里有链，链里有规则

1、四表

raw：主要用来决定是否对数据包进行状态跟踪。包含两个规则链，OUTPUT、PREROUTING

mangle :  修改数据包内容，用来做流量整形的，给数据包设置标记。包含五个规则链，INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING

nat：负责网络地址转换，用来修改数据包中的源、目标IP地址或端口。包含三个规则链，OUTPUT、PREROUTING、POSTROUTING。

filter：负责过滤数据包，确定是否放行该数据包(过滤)。包含三个链，即PREROUTING、POSTROUTING、OUTPUT

注：在iptables 的四个规则表中，mangle 表 和raw表的应用相对较少

2、五链

INPUT：处理入站数据包，匹配目标IP为本机的数据包。

OUTPUT：处理出站数据包，一般不在此链上做配置。

FORWARD:  处理转发数据包，匹配流经本机的数据包。

PREROUTING：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTING：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3、数据包过滤的匹配流程

规则表应用顺序：raw（跟踪）→mangle（标记）→nat（网络地址转换）→filter（过滤）

三种报文流向（具体看下文）

流入本机：PREROUTING-->INPUT-->用户空间进程（访问我的服务）

流出本机：用户空间进程-->OUTPUT-->POSROUTING(穿过我)

转发：PREROUTING-->FORWORD-->POSROUTING(分摊流量）

数据包在规则表、链间的匹配流程（扩写上文）：

入站数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应发往何处）；如果数据包的目标地址是防火墙本机（如 Internet 用户访问网关的 Web 服务端口），那么内核将其传递给 INPUT 链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（如 httpd 服务器）进行响应。

转发数据流向：来自外界的数据包到达防火墙后，首先被 PREROUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问 QQ 服务器），则内核将其传递给 FORWARD 链进行处理（允许转发或拦截、丢弃），最后交给 POSTROUTING 链（是否修改数据包的地址等）进行处理。

出站数据流向：防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网 DNS服务时），首先进行路由选择，确定了输出路径后，再经由 OUTPUT 链处理，最后再交POSTROUTING 链（是否修改数据包的地址等）进行处理。

 

三、编写防火墙规则

1、iptables安装

CentOS7默认使用firewalld防火墙，没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙，再安装iptables。

systemctl stop firewalld
关闭防火墙
systemctl disable firewalld
关闭开机自启防火墙
yum -y install iptables iptables-services
下载iptables
systemctl start iptables
启动iptables
systemctl enable iptables
设置开机自启iptables

iptables防火墙的配置方法:
1、使用iptables命令行。
2、使用system-config-firewall centso7不能使用 centos 6可以使用

2、iptables基本语法、数据包控制类型

1）语法构成

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]

其中，表名、链名用来指定 iptables 命令所操作的表和链，未指定表名时将默认使用 filter 表；

管理选项:表示iptables规则的操作方式，如插入、增加、删除、查看等；
匹配条件:用来指定要处理的数据包的特征，不符合指定条件的数据包将不会处理；
控制类型:指的是数据包的处理方式，如允许、拒绝、丢弃等。

注意事项：

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 选项、链名、控制类型使用大写字母，其余均为小写

2）数据包的常见控制类型

对于防火墙，数据包的控制类型非常关键，直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中，最常用的几种控制类型如下。

ACCEPT：允许数据包通过。
DROP：直接丢弃数据包，不给出任何回 应信息。
REJECT:拒绝数据包通过，必要时会给数据发送端一个响应信息。
LOG:在/var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则。
SNAT:修改数据包的源地址。
DNAT:修改数据包的目的地址。
MASQUERADE:伪装成一个非固定公网IP地址。

防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例，因为 LOG 只是一种辅助

动作，并没有真正处理数据包。

注：需要大写

3）添加、查看、删除规则等基本操作

3.1）iptables 命令的常用管理选项

3.2）查看规则列表

查看已有的防火墙规则时，使用管理选项"-L"，结合"–line-numbers"选项还可以显示各条规则在链内的顺序号

查看filter表INPUT链中的所有规则，并显示规则序号，可以执行以下操作

 查看filter表所有链中的规则

 当防火墙规则的数量较多时，若能够以数字形式显示地址和端口，可以减少地址解析的环节，在一定程度上加快命令执行的速度

以数字形式查看filter表INPUT链中的所有规则

 3.3）添加新的规则

iptables -t filter -A INPUT -p icmp    -j  REJECT      
不允许任何主机ping本机，更改-j后的选项就可以选择不做回应还是任何都可以ping通

 

 测试：另一台主机ping不通主机