iptables防火墙

前言

常见的linux系统防火墙有：UFW、firewall、iptables，其中，UFW是Debian系列的默认防火墙，firewall 是红帽系列7及以上的防火墙（如CentOS7.x），iptables是红帽系列6及以下（如CentOS6.x）的防火墙。
由于FirewallD和ufw本质都是基于iptables的，那么它们都会在iptables中添加一些规则，甚至定义一些链，为了不跟往后我们自己定义的规则相冲突，第一件事，便是停止并卸掉FirewallD和ufw对应的服务。

停掉FirewallD

sudo systemctl stop firewalld //停止FirewallD
sudo systemctl disable firewalld //让FirewallD 不要随系统启动而启动

停掉ufw
`sudo ufw disable //停止并在系统启动时不启动ufw
iptables是啥
iptables是一个linux下的防火墙工具，它能帮助我们基于规则进行网络流量控制。它可以做到，但不限于以下功能：

• 允许/拒绝某种协议的链接建立，比如TCP，UDP
• 允许/拒绝 来自某个ip的访问
• 允许/拒绝某个端口被访问
• ...
表、链、规则
规则(rule)
来自192.168.2.31的访问，就要将其拒绝，这即是一条规则

链(chain)
往往我们的安全策略不只一条规则，除了 来自192.168.2.31的访问，就要将其拒绝 这条规则之外，我们还有其它规则，比如： 来自192.168.43.22的访问，也要将其拒绝

甚至，我们可能还有多个互斥的规则，这多个规则，哪个规则先执行？ 这就涉及到链这个概念。简单来讲，链就是将多个规则从上大小串起来的一个集合单位。规则按从上倒下依次进行匹配。

表(table)
链条可以有多个。将多个链条再规整在一起的集合，叫做表。

总览

在iptables中，有四张表：

• filter：这里面的链条，规则，可以决定一个数据包是否可以到达目标进程端口
• mangle: 这里面的链条，规则，可以修改数据包的内容，比如ttl
• nat：这里面的链条，规则，可以修改源和目标的ip地址，从而进行包路由。
• raw：这里面的链条，规则，能基于数据包的状态进行规则设定
上述四张表中，会内置一些链，且每个链，都有默认包处理策略，默认策略一般在链中的所有规则都没匹配时生效。 filter表中的链有：

• INPUT：对路由策略分派过来的包到达目标进程端口之前进行匹配并处理，后续会讲到细节
• FORWARD：对路由策略分派过来的包进行路由转发，后续会讲到细节
• OUTPUT：判断，从本地的目标进程端口处理好的包如何返回/要不要返回给请求方

mangle表中的链有：

PREROUTING：包在到达网口时，进行规则匹配
INPUT：含义同filter
FORWARD: 含义同filter
OUTPUT: 含义同filter
POSTROUTING: 包离开网口的时候匹配
nat表中的链有：

PREROUTING：含义同mangle
OUTPUT：含义同filter
POSTROUTING：含义同mangle
raw表中的链有： PREROUTING：含义同mangle OUTPUT：含义同filter

注意，虽然不同的表中有同名的链，但他们并不是同一个链，并且一个链只能引用同一个表中的链，不能跨表引用。，平时我们的防火墙策略配置，即是在上述各个表的各个链中配置具体的规则

规则生效顺序
虽然一个链中的规则是从上到下依次匹配，但多个表中的多个链，甚至同名链的之间的匹配优先顺序是啥？这就要看下图了

PREROUTING 链PREROUTING 链是最先生效的，当数据包到达网口时，即开始工作。同时由于其在raw, mangle, nat表中都存在，其执行的优先顺序是：raw(PREROUTING) ----> mangle(PREROUTING)----> mangle(nat)PREROUTING 一般用作对包进行目标地址修改。比如将该包的目标地址，修改为非本机的另外的网络ip，一般通过DNAT规则进行修改。路由决策（Routing Decision）决定一个包该走哪个链。如果上述PREROUTING 链对包进行了目标网络ip更改。那么决策会觉得这个是一个需要转发的数据包，于是会将该包转发给 FORWARD 链。否则， 该包会走INPUT链FORWARD 链FORWARD在各表中生效的优先顺序是：mangle(FORWARD) ----> filter(FORWARD) 处理路由决策派发发过来的包，到这里的包一般目标网络地址在PREROUTING链被修改过INPUT 链其生效顺序是： mangle(INPUT) ----> filter(INPUT) 处理路由决策派发发过来的包，到这里的包一般目标网络地址在PREROUTING链没有被修改过。OUTPUT 链在目标进程端口接收到输入数据包后，输出的数据包，将在这里进行规则应用。OUTPUT链在各表中生效的先后顺序是： raw(OUTPUT) ----> mangle(OUTPUT) ----> nat(OUTPUT) ----> filter(OUTPUT)规则详解前面铺垫了那么多，主要讲解了链的复杂生效时机，毕竟如果包最终都到不了这个链，那其中的规则配置也就没有意义。接下来，我们需要讲解，链中具体规则的设置和使用。一个规则一般分为两大部分：• 匹配： 即哪些数据包会命中这个规则，比如一个指定的ip，即是一个匹配规则• 动作： 匹配到规则之后，需要做什么动作，是放行，还是拒绝。动作分为以下几种：• ACCEPT： 直接接受该数据包，不会再走其他链条和规则。比如filter中的input表中的某个规则命中后，动作是ACCEPT，那么该数据包将被直接送达目标进程端口。• DROP： 直接抛弃该数据包，并且没有任何返回。且不会再走其他链和规则• REJECT: 跟DROP类似，但好歹还是会跟请求方返回一些拒绝信息，比如我们拒绝掉ICMP协议后，ping该主机，会返回“destination host unreachable”• RETURN: 当前规则不做任何处理，返回。让给下一个规则处理• LOG ： 同RETURN类似，但只是会将请求信息记录到系统日志中，记录路径为：/var/log/syslog or /var/log/messages如何看某个表中有哪些链和规则iptables -t nat -nvL --line-numbers-t表示想要查看那个表，这里查看的是nat表。iptables的所有命令，如果不指定-t,如果不写默认是filter表。-L表示列出该表所有链和所有规则-v详细显示，会将规则匹配的进出网口也列出来--line-numbers表示给规则进行编号处理。编号能方便我们后续对规则进行修改、删除等操作

如图所示，表头有以下信息：• num 表示当前规则编号，从1开始• in 表示该规则会匹配那些的输入网口，如果包是由该网口输入，则会被匹配• out 表示该规则会匹配的目标网口，如果包的目标网口是该网口，则会被匹配• source 表示该规则匹配的具体源ip范围• destination 表示该规则匹配的具体目标ip范围总结来看，其实一个数据包本身就有源、目标的一些信息，而规则就是基于数据包本身属性的特点进行规则设定。在已知链末尾添加规则（举例，拒绝某个ip的访问）iptables -t filter -A INPUT -s 59.45.175.62 -j REJECT-A 表示Append,其后紧跟的是链的名称，表示该条规则要被添加到哪个链中。 -s 表示包的来源ip即source。除了指定固定的ip外，我们还可以指定ip范围，比如59.45.175.0/24 -j 表示jump 也即是我们最终的动作，这里的动作是拒绝在已知链链首插入规则链尾的规则匹配优先级最低，如果前面有规则被匹配后，并将数据包进行了终态处理（比如：ACCEPT, DROP, REJECT），那么链尾的规则将永远不会被使用。如果我们想要该规则优先匹配，可以选择将其放入链首，使用-I参数，表示insert。举例：iptables -t filter -I INPUT -s 59.45.175.62 -j REJECT删除规则想要删除已配置的规则，可以使用-D参数，参数iptables -t filter -D INPUT -s 59.45.175.62 -j REJECT这种删法，要我们明确知道当初添加进去的规则是怎么写的。如果忘了，我们可以通过规则编号进行删除。在查看规则时使用参数--line-numbers（例如：iptables -nvL --line-numbers），可以对规则进行编号，然后基于编号进行删除

iptables -t filter -D FOWARD 1 //表示删除filter表中的FORWARD链的第一条规则拒绝掉对某个ip的回应iptables -A OUTPUT -d 31.13.78.35 -j DROP-d 表示destination，即所有返回给ip 31.13.78.35的数据包都直接丢掉，不回应。清空某个链中的所有规则iptables -t filter -F INPUT所有TCP协议的数据包，都丢弃iptables -A INPUT -p tcp -j DROP-p表示protocol丢弃掉某个ip对端口22的访问iptables -A INPUT -p tcp -m tcp --dport 22 -s 59.45.175.0/24 -j DROP由于要对端口进行精准匹配，所以先-m tcp 进行tcp module加载。如何对多个端口进行匹配iptables -A INPUT -p tcp -m multiport --dports 22,5901 -s 59.45.175.0/24 -j DROP匹配指定链接状态的数据包链接状态有以下几种：• NEW：新创建的连接• ESTABLISHED 已经建立的连接• RELATED：跟已经创建的连接相关的连接• INVALID：非正常状态• DNAT：如果一个连接其目标地址被nat表PREROUTING链中的规则修改了，即是这个状态• SNAT：如果一个连接其源地址被nat表中的规则修改了，即是这个状态iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT即只对已经建立的连接和由此产生的相关连接进行放行有些版本的linux，对应的module不是conntrack，而是state。 对应指定状态的参数不是ctstate 而是--state。所以，上述写法在有些linux版本中需要替换成iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT一般来讲，这些规则不可能单独出现，如果都不允许任何NEW状态连接建立，那哪来的已建立连接和相关连接？所以正确的做法一般是：iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //这条规则允许已经建立的连接和相关连接
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT //新建链接如果是访问22号端口，则允许访问改变某个链的默认规则一般每个链都有默认规则，即该链没有任何规则或者没有任何一条规则被匹配的情况下，对数据的放行策略是怎么样的。Chain INPUT (policy ACCEPT)
...
Chain FORWARD (policy ACCEPT)
...
Chain OUTPUT (policy ACCEPT)
..以filter表的三个链为例，默认是ACCEPT。 但是我们可以改变这个模型规则，比如默认规则就是DROPiptables -t filter -P INPUT DROP回环地址的访问始终允许iptables -t filter -A INPUT -i lo -j ACCEPT //在本地网络通信的所有包，都放行-i 表示input 输入网口。lo表示本地的网络接口。这里没有指定-s 或 -d地址 ，表示在回环网络上通信的所有端口，都放行，这样我们本机的web service，访问本机的mysql数据库才不会有问题。当然一般INPUT的默认规则是ACCEPT，你不用配置上述的规则，只要没有其它规则去限制，那么本机回环地址之间的端口通信也是放行的，除非你对INPUT链默认开启了拒绝策略在使用某个网络时，不响应请求iptables -A OUTPUT -o wlan0 -d 121.18.238.0/29 -j DROP 上述配置含义：所有发给目标网口是wlan0 且 目标ip是121.18.238.0/29 地址的包，都会被丢弃。 -o 表示 数据包的目标网口。在linux命令行中，使用ifconfig,就能看见当前已连接的所有网络接口

规则的取反配置上述规则配置，一般都是满足某某条件，做什么动作。除此之外，我们还可以配置，如果不满足某某条件，则做某个动作。iptables -A INPUT -p tcp -m multiport ! --dports 22,80,443 -j DROP这个不满足则的取动作，是通过感叹号来实现的。 上述命令的含义是：非22,80,443的端口，我们直接丢弃。当然这条命令之前，应该要配置一条规则：iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT因为通过22或80建立的连接，可能会衍生出一些RELATED的连接，他们的端口可能不是22或80，那样也就被拒掉了。会导致通信出问题。如何将规则持久化上述命令对iptable的操作，并不是永久生效的，机器重启后，对应配置会丢失。如果需要持久化，则需要以下命令进行保存centos1. 第一步，在修改iptables配置后，将其导出到某个文件，比如: /etc/iptables.conf 。命令为：iptables-save > /etc/iptables.conf 这一步，每次修改后都要做2. 第二步，在/etc/rc.local中添加命令iptables-restore < /etc/iptables.conf。从此之后，每次重启，系统会自动从/etc/iptables.conf恢复对应的iptables配置。这一步只需要做一次ubuntu安装iptables-persistent，它会在系统启动时，从/etc/iptables/rules.v4 和 /etc/iptables/rules.v6分别加载ipv4 和ipv6的iptables 规则sudo apt install iptables-persistent所以，每次我们对iptables进行了任何改动，使用下面的命令，将当前生效的iptables配置，导出到/etc/iptables/rules.v4 和 /etc/iptables/rules.v6即可sudo iptables-save > /etc/iptables/rules.v4 //如果添加了ipv4 规则，执行这步
sudo ip6tables-save > /etc/iptables/rules.v6 //如果添加了ipv6规则，执行这步自定义链除了在现有的链中添加规则，我们也可以自定义链，自定义链可以帮助我们将一组规则收纳在一起，方便我们管理。比如：1. 我们可以定义一个名为ssh-rules的链来管理ssh登录的一些规则iptables -t filter -N ssh-rules1. 在这个链中添加具体的规则iptables -t filter -A ssh-rules -s 18.130.0.0/16 -j ACCEPT
iptables -t filter -A ssh-rules -s 18.11.0.0/16 -j ACCEPT
iptables -t filter -A ssh-rules -j DROP1. 然后将该链作为一个规则出口，挂在到iptable内置的链上。iptables -A INPUT -p tcp -m tcp --dport 22 -j ssh-rules以上含义就是在Input链中添加一个规则，所有22号端口的访问，都会导向ssh-rules 再次强调: 只要不指定具体使用的表，默认都是filter表删除自定义链当我们想要删除自定义链时，使用命令：iptables -X ssh-rules如何屏蔽docker 暴露的端口一般我们会在filter中的input链中，配置对某个端口的限制。但是在装有docker的linux服务器上，docker暴露的任何端口，我们却无法通过在filter表中的input链的规则进行限制，这是为什么呢？ 我们通过上文的对整个iptables的工作机制，来拆解下原因。访问docker服务时，iptables的工作机制比如，我们在docker 中启动一个mysql，暴露端口是3306。 docker宿主机所在ip： 192.168.31.102。docker 服务启动的虚拟网段：172.17.0.1/16 ， 启动的mysql在该虚拟网络的ip是: 172.17.0.2

该机器真正的网口是enp0s3。 docker 启动的虚拟网口是docker0docker服务本身会在iptables中插入很多规则，甚至定义许多自定义化的链当我们我们在192.68.31.23 这台机器上访问192.168.31.102的3306端口时。首先数据包被nat表中PREROUTING链命中

该链中的规则会被命中，同时将数据包导向nat表的DOCKER 链nat中的DOCKER链修改目标地址

• 第一条规则的输入网口是docker0，显然从192.168.31.102外部访问该机器不可能走这个网口进入，因为docker建立了虚拟网络，不可能被外部访问，所以第一条规则不会命中• 第二条规则的输入网口是!docker0，表示非docker网络，该规则能被匹配。由于mysql 实际安装在docker内，如果最终要实现访问，就要对请求包的目标地址进行修改，于是该条规则在匹配后的动作是：tcp dpt:3306 to:172.17.0.2:3306，即将目标网络端口改成docker网段下的172.17.0.2:3306路由决策到filter中的forward链

由于prerouting对包进行了目标地址的修改，于是路由决策会将该包路由到foward链。所有表中的input 链将直接忽略。• forward链中的第一条规则，会应用于DOCKER-USER链。该链的规则是直接返回包。

相当于第一条规则没启作用。直接会进入第二条规则进行匹配计算• 第二条链会包导入DOCKER-ISOLATION-STAGE-1链进行规则计算•

• 一路链下去，最终只有图中的规则③能命中，而该规则对包的处理方式，是RETURN，也即交给下个规则处理• 第三条规则

是对目标网口是docker0的包进行匹配，按理说我们的包会匹配这条规则， 但是这条规则被匹配还有一个条件，就是包链接的状态要是已建立的连接才行，我们第一次从外部对数据库进行访问显然不符合这个要求，于是该规则不会命中。进入第四条规则匹配• 第四条规则命中后，进入DOCKER 链

从截图可以看到，包到了这里，被完美匹配。该包首先是一个非docker网络到docker网络的访问，其次，其目标ip是172.17.0.2 的3306端口，匹配后，处理动作是ACCEPT。也即最终该访问被响应，我们从外部网络访问到数据库了。docker服务无法被iptables限制问题总结及解决办法说白了，由于数据包被更改了目标地址，于是路由策略将该包导向了FORWARD链。所以我们在INPUT链中再怎么定义规则，都无法限制外网对docker服务的访问。那解决办法很简单，既然包导向了FORWARD链，那么在FORWARD链中添加拦路虎，不就得了嘛。DOCKER官方给的建议便是如此，比如，针对本文中的例子，我们可以添加如下规则，即可实现所有外部网络都无法访问docker中的服务： iptables -I DOCKER-USER -i enp0s3 -j DROP规则含义是：所有从外部网络进入的数据包，直接被丢弃。 DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。 外部访问的数据包，其输入网口，肯定是enp0s3，因为在本例中，它是对外通信的网口。 当然我们也可以在此，插入只允许某个网络访问，或某个网络不能访问的规则，不再赘述。

iptables脚本实例

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 8005 -j ACCEPT
#iptables -A INPUT -p tcp --dport 10007 -j ACCEPT
#iptables -A INPUT -p tcp --dport 10008 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000 -j ACCEPT
iptables -A INPUT -p tcp --dport 9001 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
service iptables save

设置iptables之后不能正常访问ftp解决方法

设置了iptables的禁止所有的端口，只容许可能访问了策略后大部分情况下会出现ftp不能正常访问的问题，因为ftp有主动和被动连接两种模式，少添加一些策略就会出问题。在这里我就相信的说明下解决方法：首先加载：

#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp

然后加载策略

、、、
#iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#iptables -I INPUT -p tcp –dport 21 -j ACCEPT#iptables -I OUTPUT -p tcp –dport 21 -j ACCEPT

如果不想每次都加载模块的话请在 /etc/sysconfig/iptables-config添加

vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_netbios_ns"
IPTABLES_MODULES="ip_conntrack_ftp"
PTABIES_MODULES="ip_nat_ftp"

启动及关闭iptables

设置iptables开机启动
chkconfig iptables on
chkconfig iptables off
即时启动iptables
service iptables start
即时关闭iptables
service iptables stop

ubuntu中启动及关闭iptables

在ubuntu中由于不存在 /etc/init.d/iptales文件，所以无法使用service等命令来启动iptables，需要用modprobe命令。
启动iptables
modprobe ip_tables
关闭iptables（关闭命令要比启动复杂）
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
modprobe -r ip_tables
依次执行以上命令即可关闭iptables，否则在执行modproble -r ip_tables时将会提示
FATAL: Module ip_tables is in use.

保存和恢复 IPTables 规则

防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导，这些规则就会自动被清除并重设。要保存规则以便今后载入，请使用以下命令：

/sbin/service iptables save

保存在 /etc/sysconfig/iptables 文件中的规则会在服务启动或重新启动时（包括机器被重新引导时）被应用。