1. 文章引言
最近在学习Linux iptables
,从而知道,它是Linux
防火墙系统的重要组成部分。
它主要功能是实现对网络数据包进出设备及转发的控制——当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用iptables
进行控制。
它与大多数的Linux
软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT
)等功能。
此外,最近ChatGPT
比较火,借助ChatGPT
来回答,什么是Linux iptables
,如下图所示:
既然Linux iptables
如此重要,接下来,我便详细介绍Linux iptables
命令。
2. iptables的四表五链
正如我们在上文知道的,iptables
是集成在Linux
内核中的包过滤防火墙系统。
使用iptables
可以添加、删除具体的过滤规则,它默认维护着 4 个表
和 5 个链
,所有的防火墙策略规则都被分别写入这些表与链中。
2.1 何为四表
四表
是指iptables
的功能,默认的iptable
规则表如下:
-
filter
表(过滤规则表):控制数据包是否允许进出及转发,可以控制的链路有INPUT
、FORWARD
和OUTPUT
。 -
nat
表(地址转换规则表):控制数据包中地址转换,可以控制的链路有PREROUTING
、INPUT
、OUTPUT
和POSTROUTING
。 -
mangle
表(修改数据标记位规则表):修改数据包中的原数据,可以控制的链路有PREROUTING
、INPUT
、OUTPUT
、FORWARD
和POSTROUTING
。 -
raw
表(跟踪数据表规则表):控制nat
表中连接追踪机制的启用状况,可以控制的链路有PREROUTING
、OUTPUT
。
2.2 何为五链
五链
是指内核中控制网络的NetFilte
定义的5
个规则链。
每个规则表中包含多个数据链:
-
INPUT
:入站数据过滤 -
OUTPUT
:出站数据过滤 -
FORWARD
:转发数据过滤 -
PREROUTING
:路由前过滤 -
POSTROUTING
:路由后过滤
防火墙规则需要写入到这些具体的数据链中,Linux
防火墙的过滤框架,如下图所示:
可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过PREROUTING
链与INPUT
链。
如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT
链与 POSTROUTING
链。
如果防火墙作为路由负责转发数据,则数据将经过PREROUTING
链、FORWARD
链以 POSTROUTING
链。
3. iptables语法格式
iptables
命令的基本语法如下所示:
[root@test ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
各参数的含义如下:
-
-t
:指定需要维护的防火墙规则表filter
、nat
、mangle
或raw
。在不使用-t
时则默认使用filter
表 -
COMMAND
:子命令,定义对规则的管理 -
chain
:指明链表 -
CRETIRIA
:匹配参数 -
ACTION
:触发动作
iptables
命令的常用选项,以及各自的功能,如下图所示:
iptables
命令的常用匹配参数,以及各自的功能,如下图所示:
iptables
命令的触发动作,以及各自的功能,如下图所示:
内核会按照顺序依次检查iptables
防火墙规则,如果发现有匹配的规则目录,则立刻执行相关动作,停止继续向下查找规则目录。
如果所有的防火墙规则都未能匹配成功,则按照默认策略处理。
使用-A
项添加防火墙规则会将该规则追加到整个链的最后,而使用-I
选项添加的防火墙规则则会默认插入到链中作为第一条规则。
【注意】在Linux CentOS
系统中,iptables
是默认安装的,如果系统中没有iptables
工具,可以先进行安装。
4. 规则的查看与清除
-
查看规则
使用如下命令查看规则:
[root@superJson ~]# iptables -nvL
各参数的含义为:
-
-L
表示查看当前表的所有规则,默认查看的是filter
表,如果要查看nat
表,可以加上-t nat
参数。 -
-n
表示不对IP
地址进行反查,添加此参数显示速度将会加快。 -
-v
表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
例如使用如下命令查看规则,首先使用su
命令切换为root
用户:
[root@superJson ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
-
添加规则
有两个参数为添加规则,它们分别是-A
和-I
:
-
-A
是添加到规则的末尾 -
-I
可以插入到指定位置,没有指定位置的话,默认插入到规则的首部。
例如使用如下命令查看当前规则,首先使用su
命令切换为root
用户:
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
......
再例如添加一条到尾部规则,首先使用su
命令切换为root
用户,再在于终端页面输入如下命令:
[root@superJson ~]# iptables -A INPUT -s 192.168.2.6 -j DROP
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 DROP all -- 192.168.1.5 0.0.0.0/0
-
修改规则
需要使用-R
参数来修改规则。
比如把添加在第6
行规则的DROP
修改为ACCEPT
,首先使用su
命令切换为root
用户,再于终端页面输入如下命令:
[root@superJson ~]# iptables -R INPUT 6 -s 192.168.2.6 -j ACCEPT
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 ACCEPT all -- 194.168.1.5 0.0.0.0/0
由命令行可知,第6
行规则的target
已修改为ACCEPT
。
-
删除规则
删除规则有两种方法,但都必须使用-D
参数。
比如删除添加的第6
行的规则,首先使用su
命令切换为root
用户,再于终端页面输入如下命令:
[root@superJson ~]# iptables -D INPUT 6 -s 192.168.2.6 -j ACCEPT
或
[root@superJson ~]# iptables -D INPUT 6
【注意】有时需要删除的规则较长,删除时需要写一大串的代码,这样比较容易写错,这时可以先使用-line-number
找出该条规则的行号,再通过行号删除规则。
5. 防火墙的备份与还原
默认的iptables
防火墙规则会立刻生效,但如果不保存,当计算机重启后所有的规则都会丢失。
因而,对防火墙规则进行及时保存的操作是非常必要的。
iptables
软件包提供了两个非常有用的工具,我们可以使用这两个工具处理大量的防火墙规则。
这两个工具分别如下:
-
iptables-save
-
iptables-restore
使用该工具可以实现防火墙规则的保存与还原。
这两个工具的最大优势是处理庞大的规则集时速度非常快。
CentOS 7
系统中防火墙规则默认保存在/etc/sysconfig/iptables
文件中。
使用iptables-save
将规则保存至该文件中,可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。
如果使用iptables-save
将规则保存至其他位置,可以实现备份防火墙规则的作用。
当防火墙规则需要做还原操作时,可以使用iptables-restore
将备份文件直接导入当前防火墙规则。
5.1 iptables-save命令
iptables-save
命令用来批量导出Linux
防火墙规则,语法介绍如下:
- 保存在默认文件夹中(保存防火墙规则)的语法:
[root@superJson ~]# iptables-save > /etc/sysconfig/iptables
- 保存在其他位置(备份防火墙规则)的语法:
[root@superJson ~]# iptables-save > 文件名称
- 若直接执行
iptables-sav
命令,则显示出当前启用的所有规则,按照raw
、mangle
、nat
、filter
表的顺序依次列出,如下所示:
[root@superJson ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020
其中:
-
#
号开头的表示注释; -
*filter
表示所在的表; -
:链名默认策略
表示相应的链及默认策略,具体的规则部分省略了命令名iptables
-
在末尾处
COMMIT
表示提交前面的规则设置。
- 若备份到其他文件中,比如
text
文件,如下所示:
[root@superJson ~]# iptables-save > test
[root@superJson ~]# ls test
[root@superJson ~]# cat test # Generated by iptables-save v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......
- 若列出
nat
表的规则内容,命令如下:
[root@superJson ~]# iptables-save -t nat
-t表名
表示列出某一个表。
5.2 iptables-restore命令
iptables-restore
命令可以批量导入Linux
防火墙规则,同时,也需要结合重定向输入来指定备份文件的位置。
命令如下:
[root@superJson ~]# iptables-restore < 文件名称
【注意】导入的文件必须是使用iptables-save
工具导出来的才可以。
先使用iptables-restore
命令还原text
文件,然后使用iptables -t nat -nvL
命令查看清空的规则是否已经还原,如下所示:
[root@superJson ~]# iptables-restore < test
[root@superJson ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination