iptables概念与操作

2021/4/18 7:25:33

编程Tag： 请求操作概念 input 端口规则匹配 Iptables

本文主要是介绍iptables概念与操作，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

基本概念

有一些同学知道，linux除了防火墙firewell以外，还有一个iptables可以实现对服务器端口访问的限制
那iptables是啥呢

iptables其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的”安全框架”中，这个”安全框架”才是真正的防火墙，这个框架的名字叫netfilter
iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架

netfilter/iptables（下文中简称为iptables）组成Linux平台下的包过滤防火墙，它可以完成封包过滤、封包重定向和网络地址转换等功能

Netfilter是Linux操作系统核心层内部的一个数据包处理模块，它具有如下功能：

网络地址转换(Network Address Translate)
数据包内容修改
数据包过滤的防火墙功能

所以说，虽然我们使用service iptables start启动iptables”服务”，但是其实准确的来说，iptables并没有一个守护进程，所以并不能算是真正意义上的服务，而应该算是内核提供的功能

外界请求服务器中的服务时，先从网卡进入，然后经过内核空间，规则链INPUT，去到用户空间对应地址的逻辑中，用户空间的程序处理好了请求进行返回的时候，也是从用户空间先进入内核空间，经过规则链OUTPUT，最后走网卡出去
在这里插入图片描述
这里INPUT和OUTPUT说的就是iptables的规则链，如果我们对这些规则链配置规则，就能够在请求经过规则链的时候对请求进行匹配，请求如果匹配上了规则，则会进行相应的处理，没有匹配上的话就按默认规则进行处理

确切的说，请求进入服务器，及返回离开服务器时，经过的规则链是这样的
在这里插入图片描述
如果我们的服务器不是作为被请求的目标，而是作为转发服务器，那也会经过iptables规则链，只不过经过的规则链不太一样

这样我们就已经看到了所有的预置iptables规则链，他们分别是PREROUTING、INPUT、OUTPUT、FORWARD

规则链

刚才说他们四个是规则链，为什么我们要称其为规则链呢
执行iptables -L -n可以查看服务器上的iptables规则链，我这里用INPUT举例

规则链的匹配方式为从上到下，也就是说当一个请求开始匹配INPUT规则链时，他会按照我们这里所见的顺序从上往下一条一条规则去判断，直到匹配中某条规则，或者所有规则都没有匹配中，则按照默认规则执行

比如我现在有一个来自127.0.0.1的对6379端口的请求
从上往下匹配的话，第一条规则就会匹配中，第一条规则我们写的是ACCEPT，也就是直接放行，所以这个请求就会离开INPUT规则链，不去管后面的所有规则，被直接放行

再比如我现在有一个来自192.168.22.10的对6379端口的请求
第一条规则匹配不中，于是会检查第二条规则
第二条规则会匹配所有ip对6379端口的访问，规则为REJECT，也就是拒绝包
所以这个请求会匹配中第二条规则，然后离开INPUT规则链，并且此请求的包被拒绝，有必要的话会向请求来源发送一个拒绝信息
虽然这个规则匹配的是所有ip对6379端口的访问，但是如果是127.0.0.1访问6379，则这个请求会先匹配中第一条规则然后被放行，根本就不会到这第二条规则来，所以截图中这种设置方式能够实现6379端口只允许127.0.0.1访问，禁止其余ip访问

再再比如我现在有一个来自192.168.22.10的对8000端口的请求
这个请求无法匹配中规则1和规则2
所以他会在走完INPUT规则链后执行INPUT规则链的默认规则，也就是截图中第一行括号里的内容，ACCEPT

我们甚至可以把规则链写成switch

swtich 请求 {
case 请求6379端口 && 请求来自127.0.0.1:
    return ACCEPT
case 请求6379端口 && 请求来自0.0.0.0:
    return REJECT
default:
    return ACCEPT
}

除了【ACCEPT放行】和【REJECT拒绝】以外，还有几种处理方式，可按需选用

处理	效果
ACCEPT	放行
REJECT	拒绝数据包通过，必要时会给数据发送端一个响应的信息，客户端刚请求就会收到拒绝的信息
DROP	直接丢弃数据包，不给任何回应信息，这时候客户端一般就会等待直到超时
SNAT	源地址转换，解决内网用户用同一个公网地址上网的问题
MASQUERADE	是SNAT的一种特殊形式，适用于动态的、临时会变的ip上
DNAT	目标地址转换
REDIRECT	在本机做端口映射
LOG	在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，也就是说除了记录以外不对数据包做任何其他操作，仍然让下一条规则去匹配

注意规则链并不只有上面讲到的四个，比如DOCKER会自己注册规则链，用于对docker服务的管理，如果你要对docker服务写iptables规则，只能在DOCKER规则链写，写INPUT之类的地方是不会生效的【详情见iptables配置docker服务端口访问限制】，具体可以执行iptables -L -n命令来查看你服务器上目前所有的规则链

命令语法

查询规则

查询服务器上所有规则链

iptables -L -n

查询服务器上所有规则链，并带有编号【编号可用于删除、修改、插入等操作】

iptables -L -n  --line-number

查询指定规则链的规则

iptables -L 规则链

新增规则

在规则链头部新增规则的命令模板
iptables -I 规则链 -s 匹配ip -p 通信协议 --dport 匹配端口 -j 执行规则
下面是范例命令
iptables -I DOCKER -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT

参数	效果
-I 规则链	本条规则添加到指定规则链的头部，也就是优先匹配，如果你要连续写好几条规则的话，那就是【先写后匹配】
-I 规则链规则编号	如果在使用 -I 时在规则链后加上规则编号，则代表要将本条规则插入到指定规则链的指定位置，原位置的规则会下移
-A 规则链	本条规则添加到指定规则链的尾部，也就是最后匹配，如果你要连续写好几条规则的话，那就是【先写先匹配】
-D 规则链规则编号	删除规则；详情见下文
-R 规则链规则编号	修改规则，修改指定编号的规则，会直接替换原规则；其余参数语法与-I相同

参数	效果
-s 匹配ip	设置本条规则要匹配的ip；如果写0.0.0.0或者直接不写此参数则匹配所有ip
-p 通信协议	设置匹配的通信协议，常见的值有tcp、udp、icmp、all
–dport 目标端口	设置本条规则匹配的目标端口【本机上被访问的端口】
–sport 来源端口	设置本条规则匹配的请求来源端口【请求方向我们发出请求的端口】
-j 执行规则	设置本条匹配规则匹配中了以后的行为，具体可参照上一章的处理方式表格

删除规则

因为一台服务器上的iptables规则可能很多，所以为了便于删除，我们在删除之前先使用iptables -L -n --line-number命令查看带编号的iptables规则，然后再删除指定编号的规则

查看规则编号的命令
iptables -L -n  --line-number
删除规则的命令模板
iptables -D 规则链 规则编号
下面是范例命令
iptables -D INPUT 2

设置默认规则

设置默认规则的命令模板
iptables -P 规则链 执行规则
下面是范例命令
iptables -P INPUT ACCEPT

默认规则就是第一行括号里的规则，在本规则链匹配结束，都没有匹配中的情况下采用
强烈建议默认规则都写ACCEPT
如果默认规则写的是REJECT，然后人不小心用iptables -F清空了所有规则，那你连ssh都连不上服务器

重命名规则

iptables -E oldname newname

很好理解，就不多解释了

清空全部规则

iptables -F

想清楚了再执行就行

参考文档

Linux：CentOS7下配置 iptables
iptables详解（1）：iptables概念
CentOS 7 iptables的安装及使用
Linux服务器如何删除iptables指定的规则？

这篇关于iptables概念与操作的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！