6.1 了解iptables基本概念与原理

6.1.1 Netfilter与iptables概述

Netfilter 是 Linux 内核中的一个框架，允许在内核空间对网络数据包进行过滤、修改和重定向。它是 Linux 防火墙的基础，提供了以下功能：

o 数据包过滤：根据规则允许或阻止数据包通过。

o 网络地址转换（NAT）：修改数据包的源或目标地址，常用于路由器和防火墙。

o 数据包修改：如修改数据包的 TTL（Time to Live，生存时间）或 TOS（Type of Service，服务类型）。

o 连接跟踪：跟踪网络连接状态，用于状态防火墙。 Netfilter 通过钩子（hooks）在内核的网络协议栈中插入处理函数，这些钩子位于数据包处理的各个阶段，如接收、转发、发送等。

iptables 是用户空间的工具，用于配置和管理 Netfilter 的规则。它通过命令行接口让用户定义数据包的处理规则，并将这些规则传递给内核中的 Netfilter。 iptables有多个表，每个表包含一系列规则链（Chains），用于处理不同类型的任务。主要功能包括：

o 定义规则：允许或阻止特定类型的数据包。

o 管理链（Chains）：规则被组织成链，常见的链有 INPUT、OUTPUT 和 FORWARD。

o 执行动作：如 ACCEPT、DROP、REJECT 等。

Linux防火墙能力构建在内核态Netfilter子系统之上，该框架通过在内核网络协议栈的关键位置设置钩子点（Hook Points）实现流量控制，iptables作为用户空间配置工具，本质是通过/proc/net/ip_tables接口向Netfilter注入控制规则。这种分层设计使运维人员无需修改内核即可实现灵活的策略管控，但同时也带来规则匹配的性能损耗（单核处理器处理小包能力约1Gbps）。

6.1.2 iptables体系结构：表、链与规则

（1）规则表（Tables）：功能分层

filter 表：

核心功能：数据包过滤（过滤规则），是默认加载的表。

应用场景：控制哪些流量可以进入（INPUT）、流出（OUTPUT）或经过本机转发（FORWARD）。

典型规则：拒绝恶意 IP 访问 SSH 端口，允许特定网段访问 Web 服务。

nat 表：

核心功能：网络地址转换（NAT），包括源地址转换（SNAT）和目标地址转换（DNAT）。

应用场景：

DNAT（目标转换）：实现端口转发（如将公网 8080 端口映射到内网服务器 80 端口）。

SNAT（源转换）：为内网设备分配统一公网 IP 访问互联网（共享上网）。

mangle 表：

核心功能：修改数据包元数据（如 TOS 字段、MARK 标记），用于流量分类或 QoS（服务质量）控制。

典型场景：标记视频流为高优先级，确保带宽分配。

raw 表：

核心功能：关闭连接追踪（Connection Tracking），用于特殊场景（如 DNS 缓存）。

（2）规则链（Chains）：流量处理路径

每个表包含若干链，链定义了数据包在特定阶段的处理顺序。

filter 表默认链：

INPUT 链：处理进入本机的数据包（目标地址为本机 IP）。

OUTPUT 链：处理本机主动发出的数据包（源地址为本机 IP）。

FORWARD 链：处理需经本机转发的数据包（源和目标均非本机 IP，需开启 IP 转发）。

nat 表默认链：

PREROUTING 链：在数据包进入路由决策前处理（常用于 DNAT，如公网端口映射）。

POSTROUTING 链：在数据包完成路由决策后处理（常用于 SNAT，如内网共享上网）。

OUTPUT 链：处理本机生成的需进行 NAT 的数据包（如本机访问内网服务时的地址转换）。

（3）规则（Rules）：流量匹配与动作

基本条件：源 / 目标 IP 地址、协议（TCP/UDP/ICMP）、端口号。

状态匹配：--state（如 ESTABLISHED 已建立连接的数据包，NEW 新建连接）。

接口匹配：-i（入站接口，如 eth0）、-o（出站接口，如 wlan0）。

ICMP 类型：--icmp-type（如允许 ping 请求 echo-request）。

执行动作（Target）：

ACCEPT：允许数据包通过。

DROP：静默丢弃数据包（无响应）。

REJECT：拒绝数据包并返回错误信息（如 TCP 的 RST 包、ICMP 的不可达消息）。

LOG：记录数据包信息到系统日志（配合其他动作使用，如 ACCEPT 前先记录）。

SNAT/DNAT：执行源 / 目标地址转换。

6.1.3 iptables规则处理逻辑

优先级顺序：

表的优先级：raw 表 > mangle 表 > nat 表 > filter 表（由内核模块加载顺序决定）。

链的处理顺序：

入站流量：PREROUTING 链（nat） → INPUT 链（filter）。

出站流量：OUTPUT 链（filter） → POSTROUTING 链（nat）。

转发流量：PREROUTING 链（nat） → FORWARD 链（filter） → POSTROUTING 链（nat）。

规则匹配逻辑：

数据包按顺序匹配链中的规则，一旦命中某条规则即执行对应动作，不再继续匹配后续规则。

若未匹配任何规则，则执行链的 默认策略（-P 参数设置，默认通常为 ACCEPT，但生产环境建议设为 DROP）。

6.1.4 iptables与firewalld对比

iptables 是底层核心工具，适合需要高度定制化策略的场景；firewalld 是上层管理工具，适合标准化服务配置。两者可共存，firewalld 本质上通过 iptables 实现规则。

6.2 iptables语法与规则

6.2.1 iptables命令与选项

通过命令iptables --help查看帮助，下面是iptables命令的详细解释。

选项的详细解释

IPTABLES 完整语法：

6.2.2 基本基本语法

命令解释：

匹配条件（rule-specification）:

控制类型（target）：

6.2.3 IPtables常用操作

（1）关闭并禁用firewall，两者都是防火墙管理工具，同一个系统中只能使用其中一种，若先择使用iptables，需要关闭firewall。

（2）安装iptables工具yum -y install iptables。

（3）启动并设置开机自启动systemctl start iptables && systemctl enable iptables。

（4）查看规则并显示规则行号iptables -nL --line-number

（5）列出指定链中的规则iptables -L INPUT

（6）添加规则

丢弃所有进入的 ICMP 数据包，通常用于禁止所有 ping操作。

在INPUT链的末尾添加一条规则，允许（ACCEPT）目标端口为21（ftp服务端口）的TCP数据包通过。

在INPUT链的第一个位置插入一条规则，允许目标端口为80（HTTP服务端口）的TCP数据包通过，-I（insert）用于在指定链的 指定位置 插入 一条规则。（如果没有指定位置，默认插入到链的开头）。

允许源端口为 80 的 TCP 数据包通过，--sport（source port）指定源端口号。

允许来自IP地址为192.168.1.100的数据包通过，-s（source）指定数据包的源地址。可以是IP地址、IP地址范围或主机名等。

允许来自IP地址为192.168.1.100/24网段且目的端口是22的数据包通过。

允许目标地址为192.168.1.100的数据包通过，-d（destination）指定数据包的目的地址。

当从ens33出去的，访问目的地址是 192.168.23.253 ，且目的端口是80的route，允许通过。

-i（in-interface）指定输入接口

当从ens33进来的，原地址是 192.168.23.253 ，且目的端口是80的route，允许通过。

（7）删除规则

删除INPUT链的第一条规则并查看结果。

删除INPUT链中匹配这条规则（允许目标端口为80的TCP数据包通过）的规则并查看结果。

清空 FORWARD链中的所有规则。如果不指定链，默认清空所有链中的规则（iptables -F）。

（8）保存规则，iptables防火墙工具保存规则有三种方式，具体命令如下：

6.3 iptables实战案例

6.3.1 基本防火墙规则设置

（1）iptables -F清空所有规则，剩下的是系统默认的规则。

（2）设置默认策略 ，将INPUT 和FORWARD 链的默认策略设置为DROP，这样没有匹配规则的数据包都会被丢弃，增强了系统的安全性。

（3）允许本地回环接口iptables -A INPUT -i lo -j ACCEPT。

（4）允许已建立的连接iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

（5）禁止外部 ICMP (ping) 本机。

（6）允许外部SSH连接本机iptables -A INPUT -p tcp --dport 22 -j ACCEPT

（7）允许外部访问本机的HTTP服务，在任务五的iptables实验中，我们将http服务的端口改成了12090，因此这里我们要放行12090端口，iptables -I INPUT -p tcp --dport 12090 -j ACCEPT，这条规要使用-I选项，将这条规则置于其他规则上面，否则会被下面的规则覆盖。

（8）在宿主机上的浏览器访问虚拟机的http服务。

6.3.2 NAT相关规则

假设本机有一个公网IP地址为 192.0.2.1，内部有一台主机IP地址为 192.168.232.10，运行着一个HTTP服务（监听端口8080）

（1）端口转发（REDIRECT）通常用于将外部访问的 HTTP 流量（端口 80）重定向到本机的另一个端口（例如 8080）。

将端口 80 转发至 8080并查看结果

（2）多端口转发：将端口 1000-2000 转发至 3000-400并查看结果。

6.3.3 目标网络地址转换（DNAT）

DNAT（Destination NAT）：修改数据包的目的地址，通常用于将外部网络的公共 IP 地址映射到内部网络的私有 IP 地址。

可以用于将外部网络的请求，转发到内部网络的特定主机和服务，将流量转发到另一个服务器（例如内网中的另一台机器）。

假设本机有一个公网IP地址为 192.0.2.1，内部有一台主机IP地址为 192.168.1.100，运行着一个HTTP服务（监听端口8080）

（1）当用户访问公网IP:端口时，将流量转发到内网主机IP:端口上，具体实现如下。

（2）在nat表的PREROUTING链中，将目标端口为 80 的数据包的目标地址，修改为 192.168.1.100，目标端口修改为8080。

6.3.4 源网络地址转换（SNAT）

SNAT（Source NAT）：修改数据包的源地址，通常用于将内部网络的私有 IP 地址转换为外部网络的公共 IP 地址。

MASQUERADE 会自动将数据包的源 IP 地址替换为网关的出接口 IP 地址（通常是公网 IP 地址），并且在数据包返回时，再将目标 IP 地址转换回原始的私有 IP 地址。

#在路由后，将内部源地主，转化成外部源地址

iptables -t nat -A POSTROUTING -s <内部源地址> -j SNAT --to-source <外部源地址

假设内部主机 192.168.1.100 需要访问外部网络，本机需要将内部主机的源地址 192.168.1.100 修改为公网IP地址 192.0.2.1。

（1）设置当内部主机192.168.1.100 发送数据包到外部网络时，SNAT规则将源地址 192.168.1.100 修改为192.0.2.1。

1. 当 FORWARD出来后，访问的目的地址是 192.168.23.223端口是80的，进行DNAT地址转换，把源地址改为192.168.23.252。

#网络安全有你有我##我要上头条#