[系统运维]防火墙(iptables)详解

基本概念

什么是防火墙？路由策略和策略路由/ipsec vpn gre hdlc ppp 硬件 iDS+

在计算中，防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
防火墙分为软件防火墙和硬件防火墙，他们的优缺点：
**硬件防火墙：**拥有经过特别设计的硬件及芯片，性能高、成本高(当然硬件防火墙也是有软件的，只不过有部分功能由硬件实现，所以硬件防火墙其实是硬件+软件的方式)；
**软件防火墙：**应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能比硬件防火墙低、成本低。

Netfilter与iptables的关系

首先我们应该清楚真正起到包过滤作用的为Netfilter,iptables只是其中的插件，
Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation，NAT)，以及基于用户及媒体访问控制(Media Access Control，MAC)地址的过滤和基于状态的过滤、包速率限制等。Iptables/Netfilter的这些规则可以通过灵活组合，形成非常多的功能、涵盖各个方面，这一切都得益于它的优秀设计思想。
Netfilter是Linux操作系统核心层内部的一个数据包处理模块，它具有如下功能：

• 网络地址转换(Network Address Translate)
• 数据包内容修改
• 以及数据包过滤的防火墙功能
  Netfilter平台中制定了数据包的五个挂载点(Hook Point，我们可以理解为回调函数点，数据包到达这些位置的时候会主动调用我们的函数，使我们有机会能在数据包路由的时候改变它们的方向、内容)，这5个挂载点分别是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING(称为五链)
  Netfilter所设置的规则是存放在内核空间中的，而iptables是一个应用层的应用程序，它通过Netfilter放出的接口来对存放在内核空间中的 XXtables(Netfilter的配置表)进行修改。这个XXtables由表tables、链chains、规则rules组成，iptables在应用层负责修改这个规则文件，类似的应用程序还有firewalld(CentOS7默认防火墙)。
  所以Linux中真正的防火墙是Netfilter，但由于都是通过应用层程序如iptables或firewalld进行操作，所以我们一般把iptables或firewalld叫做Linux的防火墙。
  注意:以上说的iptables都是针对IPv4的，如果IPv6，则要用ip6tables，至于用法应该是跟iptables是一样的。
  注：Linux系统运行时，内存分内核空间和用户空间，内核空间是Linux内核代码运行的空间，它能直接调用系统资源，用户空间是指运行用户程序的空间，用户空间的程序不能直接调用系统资源，必须使用内核提供的接口“system call”。

链的概念

iptables开启后，数据报文从进入服务器到出来会经过5道关卡，分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后)：

每一道关卡中有多个规则，数据报文必须按顺序一个一个匹配这些规则，这些规则串起来就像一条链，所以我们把这些关卡都叫**“链”**：

• INPUT链当接收到防火墙本机地址的数据包(入站)时，应用此链中的规则；
• OUTPUT链当防火墙本机向外发送数据包(出站)时，应用此链中的规则；
• FORWARD链当接收到需要通过防火墙发送给其他地址的数据包(转发)时，应用此链中的规则；
• PREROUTING链（互联网进入局域网）在对数据包作路由选择之前，应用此链中的规则，如DNAT；
• POSTROUTING链（局域网出互联网）在对数据包作路由选择之后，应用此链中的规则，如SNAT。
  其中中INPUT、OUTPUT链更多的应用在“主机防火墙”中，即主要针对服务器本机进出数据的安全控制；而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”中，特别是防火墙服务器作为网关使用时的情况。

表的概念(四表)

虽然每一条链上有多条规则，但有些规则的作用(功能)很相似，多条具有相同功能的规则合在一起就组成了一个“表”，iptables提供了四种“表”：
– filter表主要用于对数据包进行过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)，所谓的防火墙其实基本上是指这张表上的过滤规则，对应内核模块iptables_filter；
– nat表 network address translation，网络地址转换功能，主要用于修改数据包的IP地址、端口号等信息(网络地址转换，如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次，如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作，也就是说，余下的包不会再通过这个表。对应内核模块iptables_nat；
– mangle表拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，以实现Qos(Quality Of Service，服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。对应内核模块iptables_mangle；
– raw表是自1.2.9以后版本的iptables新增的表，主要用于决定数据包是否被状态跟踪机制处理，在匹配数据包时，raw表的规则要优先于其他表，对应内核模块iptables_raw。
我们最终定义的防火墙规则，都会添加到这四张表中的其中一张表中。

表链关系

5条链(即5个关卡)中，并不是每条链都能应用所有类型的表，事实上除了Ouptput链能同时有四种表，其他链都只有两种或三种表：

实际上由上图我们可以看出，无论在哪条链上，raw表永远在mangle表上边，而mangle表永远在nat表上边，nat表又永远在filter表上边，这表明各表之间是有匹配顺序的。
前面说过，数据报文必须按顺序匹配每条链上的一个一个的规则，但其实同一类(即属于同一种表)的规则是放在一起的，不同类的规则不会交叉着放，按上边的规律，每条链上各个表被匹配的顺序为：raw→mangle→nat→filter。
前面说过，我们最终定义的防火墙规则，都会添加到这四张表中的其中一张表中，所以我们实际操作是对“表”进行操作的。
综上，数据包通过防火墙的流程可总结为下图：

规则的概念

iptables规则主要包含“条件&动作”，即匹配出符合什么条件(规则)后，对它采取怎样的动作。

匹配条件

• S_IPsource ip，源ip
• S_PORTsource port，源端口
• D_IP destination ip，目标ip
• D_PORT destination port，目标端口
• TCP/UDP第四层(传输层)协议

处理的动作

• ACCEPT允许数据包通过；
• DROP直接丢弃数据包，不回应任何信息，客户端只有当该链接超时后才会有反应；
• REJECT拒绝数据包，会给客户端发送一个数据包被丢弃的响应的信息；
• SNATS指Source，源NAT(源地址转换)。在进入路由层面的route之后，出本地的网络栈之前，改写源地址，目标地址不变，并在本机建立NAT表项，当数据返回时，根据NAT表将目的地址数据改写为数据发送出去时候的源地址，并发送给主机。解决私网用户用同一个公网IP上网的问题；
• MASQUERADE是SNAT的一种特殊形式，适用于动态的、临时会变的IP上；
• **DNAT：**D指Destination，目的NAT，解决私网服务端，接收公网请求的问题。和SNAT相反，IP包经过route之前，重新修改目标地址，源地址不变，在本机建立NAT表项，当数据返回时，根据NAT表将源地址修改为数据发送过来时的目标地址，并发给远程主机。可以隐藏后端服务器的真实地址；
• REDIRECT在本机做端口映射；
• LOG在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。
  除去最后一个LOG，前3条规则匹配数据包后，该数据包不会再往下继续匹配了，所以编写的规则顺序极其关键。

黑白名单机制

报文在经过iptables的链时，会匹配链中的规则，遇到匹配的规则时，就执行对应的动作，如果链中的规则都无法匹配到当前报文，则使用链的默认策略（默认动作），链的默认策略通常设置为ACCEPT或者DROP。
那么，当链的默认策略设置为ACCEPT时，如果对应的链中没有配置任何规则，就表示接受所有的报文，如果对应的链中存在规则，但是这些规则没有匹配到报文，报文还是会被接受。
同理，当链的默认策略设置为DROP时，如果对应的链中没有配置任何规则，就表示拒绝所有报文，如果对应的链中存在规则，但是这些规则没有匹配到报文，报文还是会被拒绝。
所以，当链的默认策略设置为ACCEPT时，按照道理来说，我们在链中配置规则时，对应的动作应该设置为DROP或者REJECT，为什么呢？
因为默认策略已经为ACCEPT了，如果我们在设置规则时，对应动作仍然为ACCEPT，那么所有报文都会被放行了，因为不管报文是否被规则匹配到都会被ACCEPT，所以就失去了访问控制的意义。
所以，当链的默认策略为ACCEPT时，链中的规则对应的动作应该为DROP或者REJECT，表示只有匹配到规则的报文才会被拒绝，没有被规则匹配到的报文都会被默认接受，这就是”黑名单”机制。
同理，当链的默认策略为DROP时，链中的规则对应的动作应该为ACCEPT，表示只有匹配到规则的报文才会被放行，没有被规则匹配到的报文都会被默认拒绝，这就是”白名单”机制。
如果使用白名单机制，我们就要把所有人都当做坏人，只放行好人。
如果使用黑名单机制，我们就要把所有人都当成好人，只拒绝坏人。
白名单机制更加安全一些，黑名单机制更加灵活一些。

自定义链

在最前面的时候就说过，iptables有五个“关卡”，即五条“链”，这些都是默认的，但其实我们可以创建自己的自定义链。
还记得前面介绍iptables -L时的那个“target”列吗？为什么target列都是一些“动作”呢？这样的话为什么不把target写成“action”呢？其实就是因为target不一定是“动作”，它还可以是“自定义链”，当指定target为自定义链时，如果匹配上了，那么就会跳转到指定的自定义链中。
你可能会问，前面一直用默认链不也都能实现想要实现的功能吗？为什么还要自定义呢？
原因是当默认链中的规则非常多时，不方便我们管理。
想象一下，如果INPUT链中存放了200条规则，这200条规则有针对httpd服务的，有针对sshd服务的，有针对私网IP的，有针对公网IP的，假如，我们突然想要修改针对httpd服务的相关规则，难道我们还要从头看一遍这200条规则，找出哪些规则是针对httpd的吗？这显然不合理。
所以，iptables中，可以自定义链，通过自定义链即可解决上述问题。
假设，我们自定义一条链，链名叫IN_WEB，我们可以将所有针对80端口的入站规则都写入到这条自定义链中，当以后想要修改针对web服务的入站规则时，就直接修改IN_WEB链中的规则就好了，即使默认链中有再多的规则，我们也不会害怕了，因为我们知道，所有针对80端口的入站规则都存放在IN_WEB链中，同理，我们可以将针对sshd的出站规则放入到OUT_SSH自定义链中，将针对Nginx的入站规则放入到IN_NGINX自定义链中，这样，我们就能想改哪里改哪里，再也不同担心找不到规则在哪里了。
但是要注意的是，自定义链并不能直接使用，而是需要被默认链引用才能够使用，即默认生效的还是默认的五条链，而自定义链必须在某条默认链的某个规则里设置target为自定义链，然后才会被引用。