（服务运维）Linux内核防火墙Netfilter和iptables用户工具 _LINUX内核

知识为进步之母,而进步又为富强之源泉。这篇文章主要讲述（服务运维）Linux内核防火墙Netfilter和iptables用户工具相关的知识，希望能为你提供帮助。
netfilter简介
Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作。常用的用户空间工具有nftables、iptables（重点）、firewalld。只学实战操作语法转到页面最下方iptables实战策略
netfilter完整流程
netfilter勾子函数Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上
提示：从 Linux kernel 4.2 版以后，Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量，这个新挂钩比预路由要早，基本上是 tc 命令（流量控制工具）的替代品

图示总结出三种报文流向
流入本机：PREROUTING --> INPUT--> 用户空间进程
流出本机：用户空间进程 --> OUTPUT--> POSTROUTING
直接转发：PREROUTING --> FORWARD --> POSTROUTING
firewalld简介基于iptables二次开发整合使用简单，但我们还是需要关注学习iptables这样更加理解内核的原理，请关闭firewalld

启动： systemctl start firewalld
关闭： systemctl stop firewalld
查看状态： systemctl status firewalld
开机禁用： systemctl disable firewalld
开机启用： systemctl enable firewalld

iptables组成iptables由五个表table和五个链chain以及一些规则组成，分别查询方法 iptables -vnL -t filter/nat/raw/security/mangle

链 chain
内置链：每个内置链对应于一个钩子函数（INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING ）
自定义链：用于对内置链进行扩展或补充，可实现更灵活的规则组织管理机制；只有Hook钩子调用自定义链时，才生效
五个内置链chain
五个表table：filter（重点）、nat（重点）、mangle、raw、security（基本关闭，安全意味复杂）

filter：过滤规则表，根据预定义的规则过滤符合条件的数据包,默认表
nat：network address translation 地址转换规则表
mangle：修改数据标记位规则表
raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度
security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux）实现

优先级由高到低的顺序为
security --> raw--> mangle--> nat--> filter
表和链对应关系
【（服务运维）Linux内核防火墙Netfilter和iptables用户工具】

查询包含的表iptables -L

内核中数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去
如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达POSTROUTING链输出
如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出

iptables 规则说明规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动作作出处理，规则在链接上的次序即为其检查时的生效次序
匹配条件：默认为与条件，同时满足
基本匹配：IP，端口，TCP的Flags（SYN,ACK等）
扩展匹配：通过复杂高级功能匹配
处理动作：称为target，跳转目标，规则要添加在链上，才生效；添加在自定义链上不会自动生效

内建处理动作：ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG...
自定义处理动作：自定义chain，利用分类管理复杂情形

白名单:只有指定的特定主机可以访问,其它全拒绝
黑名单:只有指定的特定主机拒绝访问,其它全允许,默认方式
iptables规则添加时考量点

要实现哪种功能：判断添加在哪张表上
报文流经的路径：判断添加在哪个链上
报文的流向：判断源和目的
匹配规则：业务需要

帮助信息

动作拓展

规则优化最佳实践
1. 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条，效率更高
2. 谨慎放行入站的新请求
3. 有特殊目的限制访问功能，要在放行规则之前加以拒绝
4. 同类规则（访问同一应用，比如：http ），匹配范围小的放在前面，用于特殊处理
5. 不同类的规则（访问不同应用，一个是http，另一个是mysql ），匹配范围大的放在前面，效率更高
6. 应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率
7. 设置默认策略，建议白名单（只放行特定连接）iptables -P，不建议，容易出现“自杀现象”；规则的最后定义规则做为默认策略，推荐使用，放在最后一条

iptables实战策略（重点）添加拒绝策略
iptables有隐式拒绝、规则从前到后，命中即停止。不指定顺序默认加最后，不指定目的地址默认本机
iptables -t filter -A INPUT -s 192.168.1.100 -j DROP #禁止host 192.168.1.100访问任何IP和端口
iptables -t filter -A INPUT -s 192.168.1.0/24 -j DROP #禁止192.168.1.0网段访问任何IP和端口
iptables -t filter -A INPUT -s 192.168.1.102 -p tcp --DROP 22 -j DROP #禁止192.168.1.102访问TCP22端口
iptables -t filter -I INPUT -s 172.16.10.5 -j ACCEPT
添加放行策略
iptables -t filter -A INPUT -s 192.168.1.100 -j ACCEPT #放行host 192.168.1.100访问任何IP和端口
iptables -t filter -A INPUT -s 192.168.1.102 -p tcp --DROP 22 -j ACCEPT #放行host 192.168.1.102访问TCP22端口
删除对应规则
iptables -t filter -L -n --line-number #查看表内容并显示具体行数
iptables -t filter -D INPUT 7#快速删除INPUT表对应行7
端口拓展匹配

保存规则策略
注入策略是临时性的，需要永久保存执行service iptables save