1.课程内容

• 常见防火墙选用

硬件
开源软件:iptables （默认规则改为 INPUT DROP）
云服务器:安全组（阿里云 白名单[默认是拒绝]）

• Iptables使用 执行过程
• Iptables 4表5链

filter nat mangle raw
filter    : INPUT
nat       : PREROUTING POSTROUTING
             pre prefix xxx之前
             routing route
             post xxx之后

• 准备Iptables环境

• Iptables功能之防火墙-filter
  封IP 封端口
准许某个ip访问 网段访问

• 实际生产iptables配置

• Iptables功能之内网服务器上外网（共享上网）

• Iptables功能之端口转发

2.常见防火墙选用

1.公司网站入口使用的硬件防火墙、三层路由带有防火墙功能
2.Iptables访问量小 C5 C6 默认，CentOS 7 Firewalld（关闭 安装iptables）
3.SELinux

3. 名词（关系）与单词

名词                          含义                         对比
容器                    存放内容/存放东西
Netfilter/iptables      Netfilter/iptables是表的容器        国家
表 （table)             表是用来存放链的容器                  省
链 (chain)              链存放 规则容器                      市
规则 ( policy )         准许/拒绝访问                      区县具体地点

4.防火墙执行过程

1. 防火墙是层层过滤的，实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2. 如果匹配上规则，即明确表示是阻止(DROP)还是通过(ACCEPT)数据包就不再向下匹配新的规则。
3. 如果规则中没有明确表明是阻止还是通过的，也就是没有匹配规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4. 防火墙的默认规则是所有规则执行完才执行的。

image.png

5. 四表五链

• 5.1 整体说明 4表及作用

表                    功能
Filter                过滤，默认的表，防火墙功能
NAT                   实现NAT转化:1.共享上网 2.端口转发
mangle                熟悉名字即可
raw                   熟悉名字即可

参考查询帮助: man iptables

• 5.2 4表中的5链

  
  
  image.png

image.png

• 5.2.1 filter表

filter表      企业工作场景：主机防火墙
INPUT         就是过滤进入主机的数据包
FORWARD       负责转发流经主机的数据包。
OUTPUT        就是处理从主机发出去的数据包

• 5.2.2 nat表

PREROUTING          处理用户请求中的目的地址 目的端口 端口转发 ip映射
POSTROUTING         处理离开服务器的请求 源端口 源ip ：共享上网
OUTPUT              和主机放出去的数据包有关，改变主机发出数据包的目的地址。

• 5.2.3 Mangle表

主要负责修改数据包中特殊的路由标记，如TTL，TOS，MARK等，这个表定义了5个链
（chains）：

6. 防火墙之filter表

• 6.1 环境准备
  m01 iptables
  db01

yum install iptables iptables-services
[root@m01 ~]# rpm -qa iptables-services
iptables-services-1.4.21-28.el7.x86_64
[root@m01 ~]# rpm -ql iptables-services
/etc/sysconfig/ip6tables
/etc/sysconfig/iptables #iptables 配置文件
/usr/lib/systemd/system/ip6tables.service
/usr/lib/systemd/system/iptables.service #iptables服务管理配置

启动防火墙：

1 systemctl start iptables.service
2 systemctl enable iptables.service

检查防火墙内核模块是否加载成功:

[root@m01 ~]# lsmod |egrep 'nat|ipt|filter'
ipt_REJECT 12541 2
nf_reject_ipv4 13373 1 ipt_REJECT
iptable_filter 12810 1
xt_nat 12681 1
iptable_nat 12875 1
nf_nat_ipv4 14115 1 iptable_nat
nf_nat 26787 2 nf_nat_ipv4,xt_nat
nf_conntrack 133095 4
nf_nat,nf_nat_ipv4,xt_conntrack,nf_conntrack_ipv4
ip_tables 27126 2 iptable_filter,iptable_nat
libcrc32c 12644 3 xfs,nf_nat,nf_conntrack

手动加载内核模块:

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

• 6.2 配置规则-禁止访问22端口

[root@m01 ~]# iptables -F
[root@m01 ~]# iptables -X
[root@m01 ~]# iptables -Z
[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@m01 ~]# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

配置防火墙规则注意事项：
1. 去机房重启系统或者登陆服务器删除刚才的禁止规则。
2. 让机房人员重启服务器或者让机房人员拿用户密码登录进去
3. 通过服务器的远程管理卡管理（推荐）
4. 先写一个定时任务，每5分钟就停止防火墙
5. 测试环境测试好，写成脚本，批量执行

• 6.3 iptables 命令及参数

iptables
-t                  指定表 filter(默认) nat
-A                  append 把规则追加到末尾
-I (大写字母I)       insert 把规则插入到规则的第1条 （添加拒绝类规则的时候）
-p                  protocal 指定协议:tcp /udp/icmp
--dport             destination port 目标端口
--sport             source port 源端口
-d                  dest ip address 目标ip地址
-s                  source ip address 源ip地址
-i                  input数据进来的时候通过的网卡

-j                  jump 方法 DROP（拒绝） ACCEPT(准许) REJECT（拒绝）的

iptables查看 删除
-F                            清除链中所有的规则
-X                            清空自定义链的规则
-Z                            清空计数器
-n                            不要把端口解析服务名字
-L                            显示表中的规则
--line-number                 给每个链中的规则加上行号
-D                            删除规则 根据规则的号码进行删除 -D INPUT 2

image.png

• 6.4 filter表其他规则配置
  6.4.1 只让10.0.0.0/24网段进行访问
  只要是10.0.0.0/24 局域网的用户 访问m01 都ACCEPT
  此例子主要限制：网段或ip地址

[root@m01 ~]# iptables -I INPUT -p tcp ! -s 10.0.0.0/24 -j DROP
[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- !10.0.0.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

• 6.4.2 准许或禁止端口
  多个端口：表示范围 1-1024范围

[root@m01 ~]# iptables -I INPUT -p tcp ! --dport 1:1024 -j DROP
[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
dpts:!1:1024
DROP tcp -- !10.0.0.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT)

nc用法:
nc -l 指定监听端口
nc/telnet 连接
nc 服务端:

[root@m01 ~]# nc -l 99 >/tmp/new.txt
[root@m01 ~]# cat /tmp/new.txt
127.0.0.1 localhost localhost.localdomain localhost4
localhost4.localdomain4
::1 localhost localhost.localdomain localhost6
localhost6.localdomain6
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web01
172.16.1.8 web02
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.51 db01 db01.etiantian.org
172.16.1.61 m01

nc客户端

[root@m01 ~]# cat /etc/hostname |nc 10.0.0.61 99

多个端口 不连续 80,433,52113,22
-m multiport 指定多个端口

[root@m01 ~]# iptables -I INPUT -p tcp -m multiport ! --dport 80,443,22 -
j DROP
[root@m01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport
dports !80,443,22
DROP tcp -- !10.0.0.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination