1. 文章引言
最近在学习Linux iptables,从而知道,它是Linux防火墙系统的重要组成部分。
它主要功能是实现对网络数据包进出设备及转发的控制——当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用iptables进行控制。
它与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
此外,最近ChatGPT比较火,借助ChatGPT来回答,什么是Linux iptables,如下图所示:
既然Linux iptables如此重要,接下来,我便详细介绍Linux iptables命令。
2. iptables的四表五链
正如我们在上文知道的,iptables是集成在Linux内核中的包过滤防火墙系统。
使用iptables可以添加、删除具体的过滤规则,它默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。
2.1 何为四表
四表是指iptables的功能,默认的iptable规则表如下:
-
filter表(过滤规则表):控制数据包是否允许进出及转发,可以控制的链路有INPUT、FORWARD和OUTPUT。 -
nat表(地址转换规则表):控制数据包中地址转换,可以控制的链路有PREROUTING、INPUT、OUTPUT和POSTROUTING。 -
mangle表(修改数据标记位规则表):修改数据包中的原数据,可以控制的链路有PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING。 -
raw表(跟踪数据表规则表):控制nat表中连接追踪机制的启用状况,可以控制的链路有PREROUTING、OUTPUT。
2.2 何为五链
五链是指内核中控制网络的NetFilte 定义的5个规则链。
每个规则表中包含多个数据链:
-
INPUT:入站数据过滤 -
OUTPUT:出站数据过滤 -
FORWARD:转发数据过滤 -
PREROUTING:路由前过滤 -
POSTROUTING:路由后过滤
防火墙规则需要写入到这些具体的数据链中,Linux防火墙的过滤框架,如下图所示:
可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过PREROUTING链与INPUT链。
如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT链与 POSTROUTING链。
如果防火墙作为路由负责转发数据,则数据将经过PREROUTING链、FORWARD链以 POSTROUTING链。
3. iptables语法格式
iptables命令的基本语法如下所示:
[root@test ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
各参数的含义如下:
-
-t:指定需要维护的防火墙规则表filter、nat、mangle或raw。在不使用-t时则默认使用filter表 -
COMMAND:子命令,定义对规则的管理 -
chain:指明链表 -
CRETIRIA:匹配参数 -
ACTION:触发动作
iptables命令的常用选项,以及各自的功能,如下图所示:
iptables命令的常用匹配参数,以及各自的功能,如下图所示:
iptables命令的触发动作,以及各自的功能,如下图所示:
内核会按照顺序依次检查iptables防火墙规则,如果发现有匹配的规则目录,则立刻执行相关动作,停止继续向下查找规则目录。
如果所有的防火墙规则都未能匹配成功,则按照默认策略处理。
使用-A 项添加防火墙规则会将该规则追加到整个链的最后,而使用-I选项添加的防火墙规则则会默认插入到链中作为第一条规则。
【注意】在Linux CentOS系统中,iptables是默认安装的,如果系统中没有iptables工具,可以先进行安装。
4. 规则的查看与清除
-
查看规则
使用如下命令查看规则:
[root@superJson ~]# iptables -nvL
各参数的含义为:
-
-L表示查看当前表的所有规则,默认查看的是filter表,如果要查看nat表,可以加上-t nat参数。 -
-n表示不对IP地址进行反查,添加此参数显示速度将会加快。 -
-v表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
例如使用如下命令查看规则,首先使用su命令切换为root用户:
[root@superJson ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
-
添加规则
有两个参数为添加规则,它们分别是-A和-I:
-
-A是添加到规则的末尾 -
-I可以插入到指定位置,没有指定位置的话,默认插入到规则的首部。
例如使用如下命令查看当前规则,首先使用su命令切换为root用户:
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
......
再例如添加一条到尾部规则,首先使用su命令切换为root用户,再在于终端页面输入如下命令:
[root@superJson ~]# iptables -A INPUT -s 192.168.2.6 -j DROP
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 DROP all -- 192.168.1.5 0.0.0.0/0
-
修改规则
需要使用-R参数来修改规则。
比如把添加在第6行规则的DROP修改为ACCEPT,首先使用su命令切换为root用户,再于终端页面输入如下命令:
[root@superJson ~]# iptables -R INPUT 6 -s 192.168.2.6 -j ACCEPT
[root@superJson ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 ACCEPT all -- 194.168.1.5 0.0.0.0/0
由命令行可知,第6行规则的target已修改为ACCEPT。
-
删除规则
删除规则有两种方法,但都必须使用-D参数。
比如删除添加的第6行的规则,首先使用su命令切换为root用户,再于终端页面输入如下命令:
[root@superJson ~]# iptables -D INPUT 6 -s 192.168.2.6 -j ACCEPT
或
[root@superJson ~]# iptables -D INPUT 6
【注意】有时需要删除的规则较长,删除时需要写一大串的代码,这样比较容易写错,这时可以先使用-line-number找出该条规则的行号,再通过行号删除规则。
5. 防火墙的备份与还原
默认的iptables防火墙规则会立刻生效,但如果不保存,当计算机重启后所有的规则都会丢失。
因而,对防火墙规则进行及时保存的操作是非常必要的。
iptables软件包提供了两个非常有用的工具,我们可以使用这两个工具处理大量的防火墙规则。
这两个工具分别如下:
-
iptables-save -
iptables-restore
使用该工具可以实现防火墙规则的保存与还原。
这两个工具的最大优势是处理庞大的规则集时速度非常快。
CentOS 7系统中防火墙规则默认保存在/etc/sysconfig/iptables文件中。
使用iptables-save将规则保存至该文件中,可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。
如果使用iptables-save将规则保存至其他位置,可以实现备份防火墙规则的作用。
当防火墙规则需要做还原操作时,可以使用iptables-restore将备份文件直接导入当前防火墙规则。
5.1 iptables-save命令
iptables-save命令用来批量导出Linux防火墙规则,语法介绍如下:
- 保存在默认文件夹中(保存防火墙规则)的语法:
[root@superJson ~]# iptables-save > /etc/sysconfig/iptables
- 保存在其他位置(备份防火墙规则)的语法:
[root@superJson ~]# iptables-save > 文件名称
- 若直接执行
iptables-sav命令,则显示出当前启用的所有规则,按照raw、mangle、nat、filter表的顺序依次列出,如下所示:
[root@superJson ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020
其中:
-
#号开头的表示注释; -
*filter表示所在的表; -
:链名默认策略表示相应的链及默认策略,具体的规则部分省略了命令名iptables -
在末尾处
COMMIT表示提交前面的规则设置。
- 若备份到其他文件中,比如
text文件,如下所示:
[root@superJson ~]# iptables-save > test
[root@superJson ~]# ls test
[root@superJson ~]# cat test # Generated by iptables-save v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......
- 若列出
nat表的规则内容,命令如下:
[root@superJson ~]# iptables-save -t nat
-t表名表示列出某一个表。
5.2 iptables-restore命令
iptables-restore命令可以批量导入Linux防火墙规则,同时,也需要结合重定向输入来指定备份文件的位置。
命令如下:
[root@superJson ~]# iptables-restore < 文件名称
【注意】导入的文件必须是使用iptables-save工具导出来的才可以。
先使用iptables-restore命令还原text文件,然后使用iptables -t nat -nvL命令查看清空的规则是否已经还原,如下所示:
[root@superJson ~]# iptables-restore < test
[root@superJson ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination