8張圖帶你瞭解iptables的前世今生

1 安全技術和防火牆

1 安全技術和防火牆

• 入侵檢測系統(Intrusion Detection Systems):特點是不阻斷任何網路訪問，量化、定位來自內 外網路的威脅情況，主要以提供報警和事後監督為主，提供有針對性的指導措施和安全決策依據,類 似於監控系統一般採用旁路部署方式

• 入侵防禦系統(Intrusion Prevention System):以透明模式工作，分析資料包的內容如:溢位攻 擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等進行準確的分析判斷，在判定為攻擊行為後立即予以 阻斷，主動而有效的保護網路的安全，一般採用線上部署方式

• 防火牆( FireWall ):隔離功能，工作在網路或主機邊緣，對進出網路或主機的資料包基於一定的 規則檢查，並在匹配某規則時由規則定義的行為進行處理的一組功能的元件，基本上的實現都是默 認情況下關閉所有的通過型訪問，只開放允許訪問的策略,會將希望外網訪問的主機放在DMZ (demilitarized zone)網路中.

防水牆 
廣泛意義上的防水牆:防水牆(Waterwall)，與防火牆相對，是一種防止內部資訊洩漏的安全產品。網路、外設介面、儲存介質和印表機構成資訊洩漏的全部途徑。
防水牆針對這四種洩密途徑，在事前、事中、事後進行全面防護。其與防病毒產品、外部安全產品一起構成完整的網路安全體系。

1.2 防火牆的分類

按保護範圍劃分:

• 主機防火牆:服務範圍為當前一臺主機

• 網路防火牆:服務範圍為防火牆一側的區域網

按實現方式劃分:

• 硬體防火牆:在專用硬體級別實現部分功能的防火牆;另一個部分功能基於軟體實現，如:華為， 山石hillstone,天融信，啟明星辰，綠盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40億美元收購)等

• 軟體防火牆:執行於通用硬體平臺之上的防火牆的應用軟體，Windows 防火牆 ISA --> Forefront TMG

按網路協議劃分:

• 網路層防火牆:OSI模型下四層，又稱為包過濾防火牆

• 應用層防火牆/代理伺服器:proxy 代理閘道器，OSI模型七層

包過濾防火牆

網路層對資料包進行選擇，選擇的依據是系統內設定的過濾邏輯，被稱為訪問控制列表(ACL)，通過 檢查資料流中每個資料的源地址，目的地址，所用埠號和協議狀態等因素，或他們的組合來確定是否 允許該資料包通過

優點:對使用者來說透明，處理速度快且易於維護

缺點:無法檢查應用層資料，如病毒等

應用層防火牆
應用層防火牆/代理服務型防火牆，也稱為代理伺服器(Proxy Server) 將所有跨越防火牆的網路通訊鏈路分為兩段 內外網使用者的訪問都是通過代理伺服器上的“連結”來實現

優點:在應用層對資料進行檢查，比較安全

缺點:增加防火牆的負載

提示:現實生產環境中所使用的防火牆一般都是二者結合體，即先檢查網路資料，通過之後再送到應用
層去檢查

2 Linux 防火牆的基本認識

2.1 Netfilter

Linux防火牆是由Netfilter元件提供的，Netfilter工作在核心空間，整合在linux核心中

Netfilter 是Linux 2.4.x之後新一代的Linux防火牆機制，是linux核心的一個子系統。Netfilter採用模組 化設計，具有良好的可擴充性，提供擴充套件各種網路服務的結構化底層框架。Netfilter與IP協議棧是無縫 契合，並允許對資料包進行過濾、地址轉換、處理等操作

Netfilter官網文件:https://netfilter.org/documentation/

[root@centos8 ~]#grep -m 10 NETFILTER /boot/config-4.18.0-240.15.1.el8_3.x86_64
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_FAMILY_BRIDGE=y
CONFIG_NETFILTER_FAMILY_ARP=y
# CONFIG_NETFILTER_NETLINK_ACCT is not set
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
[root@centos8 ~]#


root@ubuntu20:~# grep -m 10 NETFILTER /boot/config-5.8.0-50-generic
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_FAMILY_BRIDGE=y
CONFIG_NETFILTER_FAMILY_ARP=y
CONFIG_NETFILTER_NETLINK_ACCT=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
root@ubuntu20:~#

[root@centos7 ~]# grep -m 10 NETFILTER /boot/config-3.10.0-1160.el7.x86_64
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_NETLINK_ACCT=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
CONFIG_NETFILTER_NETLINK_QUEUE_CT=y
CONFIG_NETFILTER_SYNPROXY=m
[root@centos7 ~]#

2.2 防火牆工具介紹

2.2.1 iptables

由軟體包iptables提供的命令列工具，工作在使用者空間，用來編寫規則，寫好的規則被送往netfilter，告 訴核心如何去處理資訊包

[root@centos8 ~]#yum -y install iptables
[root@centos8 ~]#rpm -qi iptables
Name        : iptables
Version     : 1.8.4
Release     : 15.el8_3.3
Architecture: x86_64
Install Date: Tue 11 May 2021 09:32:18 AM CST
Group       : Unspecified
Size        : 1992105
License     : GPLv2 and Artistic 2.0 and ISC
Signature   : RSA/SHA256, Fri 18 Dec 2020 09:02:38 AM CST, Key ID 05b555b38483c65d
Source RPM  : iptables-1.8.4-15.el8_3.3.src.rpm
Build Date  : Fri 18 Dec 2020 07:27:23 AM CST
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://www.netfilter.org/projects/iptables
Summary     : Tools for managing Linux kernel packet filtering capabilities
Description :
The iptables utility controls the network packet filtering code in the
Linux kernel. If you need to set up firewalls and/or IP masquerading,
you should either install nftables or this package.

Note: This package contains the nftables-based variants of iptables and
ip6tables, which are drop-in replacements of the legacy tools.
[root@centos8 ~]#

[root@centos8 ~]#iptables --version
iptables v1.8.4 (nf_tables)
[root@centos8 ~]#ll /usr/sbin/iptables
lrwxrwxrwx 1 root root 17 Dec 18 07:27 /usr/sbin/iptables -> xtables-nft-multi*
[root@centos8 ~]#


root@ubuntu20:~# iptables --version
iptables v1.8.5 (nf_tables)
root@ubuntu20:~# ll /usr/sbin/iptables
lrwxrwxrwx 1 root root 26  4月 30 16:25 /usr/sbin/iptables -> /etc/alternatives/iptables*
root@ubuntu20:~#

[root@centos7 ~]# yum -y install iptables
[root@centos7 ~]# iptables --version
iptables v1.4.21
[root@centos7 ~]# ll /usr/sbin/iptables
lrwxrwxrwx. 1 root root 13 3月  25 10:18 /usr/sbin/iptables -> xtables-multi
[root@centos7 ~]#

示例：安裝 iptables 的 service 包

[root@centos8 ~]#dnf -y install iptables-services
[root@centos8 ~]#rpm -ql iptables-services
/etc/sysconfig/ip6tables
/etc/sysconfig/iptables
/usr/lib/systemd/system/ip6tables.service
/usr/lib/systemd/system/iptables.service
/usr/libexec/initscripts/legacy-actions/ip6tables
/usr/libexec/initscripts/legacy-actions/ip6tables/panic
/usr/libexec/initscripts/legacy-actions/ip6tables/save
/usr/libexec/initscripts/legacy-actions/iptables
/usr/libexec/initscripts/legacy-actions/iptables/panic
/usr/libexec/initscripts/legacy-actions/iptables/save
/usr/libexec/iptables
/usr/libexec/iptables/ip6tables.init
/usr/libexec/iptables/iptables.init
[root@centos8 ~]#

2.2.2 firewalld

從CentOS 7 版開始引入了新的前端管理工具

軟體包

• firewalld

• firewalld-config

管理工具

• firewall-cmd 命令列工具

• firewall-config 圖形工作

2.2.3 nftables

此軟體是CentOS 8 新特性,Nftables最初在法國巴黎的Netfilter Workshop 2008上發表，然後由長期的 netfilter核心團隊成員和專案負責人Patrick McHardy於2009年3月釋出。它在2013年末合併到Linux內 核中，自2014年以來已在核心3.13中可用。

它重用了netfilter框架的許多部分，例如連線跟蹤和NAT功能。它還保留了命名法和基本iptables設計的 幾個部分，例如表，鏈和規則。就像iptables一樣，表充當鏈的容器，並且鏈包含單獨的規則，這些規 則可以執行操作，例如丟棄資料包，移至下一個規則或跳至新鏈。

從使用者的角度來看，nftables新增了一個名為nft的新工具，該工具替代了iptables，arptables和 ebtables中的所有其他工具。從體系結構的角度來看，它還替換了核心中處理資料包過濾規則集執行時 評估的那些部分。

檢視 nftables 軟體包

[root@centos8 ~]#rpm -qi nftables
Name        : nftables
Epoch       : 1
Version     : 0.9.3
Release     : 16.el8
Architecture: x86_64
Install Date: Sat 08 May 2021 02:51:22 PM CST
Group       : Unspecified
Size        : 811386
License     : GPLv2
Signature   : RSA/SHA256, Wed 12 Aug 2020 05:05:16 AM CST, Key ID 05b555b38483c65d
Source RPM  : nftables-0.9.3-16.el8.src.rpm
Build Date  : Wed 12 Aug 2020 04:59:03 AM CST
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://netfilter.org/projects/nftables/
Summary     : Netfilter Tables userspace utillites
Description :
Netfilter Tables userspace utilities.
[root@centos8 ~]#

CentOS 8 支援三種防火牆服務

[root@centos8 ~]#systemctl status iptables.service
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
[root@centos8 ~]#systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)
[root@centos8 ~]#systemctl status nftables.service
● nftables.service - Netfilter Tables
   Loaded: loaded (/usr/lib/systemd/system/nftables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: man:nft(8)
[root@centos8 ~]#

2.3 netfilter 中五個勾子函式和報文流向

Netfilter在核心中選取五個位置放了五個hook(勾子) function(INPUT、OUTPUT、FORWARD、 PREROUTING、POSTROUTING)，而這五個hook function向使用者開放，使用者可以通過一個命令工具 (iptables)向其寫入規則 由資訊過濾表(table)組成，包含控制IP包處理的規則集(rules)，規則被分組放在鏈(chain)上

提示:從 Linux kernel 4.2 版以後，Netfilter 在prerouting 前加了一個 ingress 勾子函式。可以使用這 個新的入口掛鉤來過濾來自第2層的流量，這個新掛鉤比預路由要早，基本上是 tc 命令(流量控制工 具)的替代品

三種報文流向

• 流入本機:PREROUTING --> INPUT-->使用者空間程式

• 流出本機:使用者空間程式 -->OUTPUT--> POSTROUTING

• 轉發:PREROUTING --> FORWARD --> POSTROUTING

2.4 iptables的組成

iptables由五個表table和五個鏈chain以及一些規則組成

鏈（chain）

• 內建鏈:每個內建鏈對應於一個鉤子函式

• 自定義鏈:用於對內建鏈進行擴充套件或補充，可實現更靈活的規則組織管理機制;只有 Hook 鉤子呼叫自定義鏈時，才生效

五個內建鏈chain

• INPUT

• OUTPUT

• FORWARD

• PREROUTING

• POSTROUTING

五個表table

• filter:過濾規則表，根據預定義的規則過濾符合條件的資料包,預設表

• nat:network address translation 地址轉換規則表

• mangle:修改資料標記位規則表

• raw:關閉啟用的連線跟蹤機制，加快封包穿越防火牆速度

• security:用於強制訪問控制(MAC)網路規則，由Linux安全模組(如SELinux)實現

優先順序由高到低的順序為

security -->raw-->mangle-->nat-->filter

表和鏈對應關係

核心中資料包的傳輸過程

• 當一個資料包進入網路卡時，資料包首先進入PREROUTING鏈，核心根據資料包目的IP判斷是否需要轉送出去

• 如果資料包是進入本機的，資料包就會沿著圖向下移動，到達INPUT鏈。資料包到達INPUT鏈後， 任何程式都會收到它。本機上執行的程式可以傳送資料包，這些資料包經過OUTPUT鏈，然後到達 POSTROUTING鏈輸出

• 如果資料包是要轉發出去的，且核心允許轉發，資料包就會向右移動，經過FORWARD鏈，然後到 達POSTROUTING鏈輸出

檢視 iptables 表

[root@centos8 ~]#iptables -vnL -t filter
[root@centos8 ~]#iptables -vnL -t nat
[root@centos8 ~]#iptables -vnL -t mangle
[root@centos8 ~]#iptables -vnL -t raw
[root@centos8 ~]#iptables -vnL -t security

# CentOS 6 nat表不支援INPUT鏈
[root@centos6 ~]#iptables -vnL -t nat

3 iptables

3.1 iptables 規則說明

3.1.1 iptables 規則組成

規則rule:根據規則的匹配條件嘗試匹配報文，對匹配成功的報文根據規則定義的處理動作作出處理，
規則在連結上的次序即為其檢查時的生效次序

匹配條件:預設為與條件，同時滿足

基本匹配:IP，埠，TCP的Flags(SYN,ACK等)

擴充套件匹配:通過複雜高階功能匹配

處理動作:稱為target，跳轉目標

• 內建處理動作:ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG...

• 自定義處理動作:自定義chain，利用分類管理複雜情形

規則要新增在鏈上，才生效;新增在自定義鏈上不會自動生效

白名單:只有指定的特定主機可以訪問,其它全拒絕（生產環境建議）

# 白名單，沒有被明確允許的都拒絕

iptables -A INPUT -s 10.0.0.10 -j ACCETP                # 允許本機（windows）機器

iptables -A INPUT -i lo -j ACCEPT                      # 允許本地迴環地址

iptables -A INPUT -j REJECT                             # 預設全部拒絕

iptables -I INPUT 2 -s 10.0.0.12 -p icmp -j REJECT      # 拒絕 10.0.0.12 ping 本機

黑名單:只有指定的特定主機拒絕訪問,其它全允許,預設方式

3.1.2 iptables規則新增時考量點

• 要實現哪種功能:判斷新增在哪張表上

• 報文流經的路徑:判斷新增在哪個鏈上

• 報文的流向:判斷源和目的

• 匹配規則:業務需要

3.1.3 環境準備

為了防止 iptables 和 firewalld 出現衝突，我們可以關閉 firewalld

CentOS7+

systemctl stop firewalld.service
systemctl disable  firewalld. service
# 或者
systemctl disable --now firewalld. service

CentOS6

service iptables stop
chkconfig iptables off