Linux CentOS7 安装配置 IPtables

2021-08-11

1. 前言
　　防火墙其实就是实现 Linux 下访问控制功能的，分为硬件和软件的防火墙两种类型。无论在何网络中，防火墙工作的地方一定是网络的边缘。防火墙的策略、规则就是去定义防火墙到底如何工作，以达到让它对出入网络的 IP 、数据进行检测。
　　目前市面上比较常见的有三四层的防火墙，叫网络层的防火墙，还有七层的防火墙，即代理层的网关。
　　对于 TCP/IP 的7层模型来讲，第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测；对于七层的防火墙，无论你源端口或者目标端口，源地址或者目标地址是什么，都将对你的所有信息进行检查。根据设计原理来看，七层防火墙会更加的安全，但是这样也会导致效率的下降，故市面上通用的防火墙方案都是二者相结合的。

2. IPtables 简介
　　IPtables 可以将规则组成一个列表，实现绝对详细的访问控制功能。
　　IPtables 是工作在用户空间中，定义规则的工具，本身并不算是防火墙。它定义的规则，可以让在内核空间当中的 NetFilter 读取，实现让防火墙工作。放入内核的地方必须是 TCP/IP 的协议栈经过的地方，可以实现读取规则的地方就叫做 NetFilter (网络过滤器)。
　　作者一共在内核空间中选择了五个位置，来作为控制的地方
　　1. 内核空间中：从一个网络接口进来，到另一个网络接口去的
　　2. 数据包从内核流入用户空间的
　　3. 数据包从用户空间流出的
　　4. 进入/离开本机的外网接口
　　5. 进入/离开本机的内网接口
　　前三个位置已经基本上能将路径彻底封锁了，但是为什么已经在进出的口设置了关卡之后还要在内部卡呢？ 因为数据包尚未进行路由决策，还不知道数据要走向哪里，所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡，进入用户空间的关卡，从用户空间出去的关卡。那么，既然他们没什么用，那我们为什么还要放置他们呢？因为我们在做 NAT 和 DNAT 的时候，目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。       
　　这五个位置也被称为五个钩子函数（hook functions）,也叫五个规则链。
       1.PREROUTING (路由前)
       2.INPUT (数据包流入口)
       3.FORWARD (转发管卡)
       4.OUTPUT (数据包出口)
       5.POSTROUTING (路由后)
　　这是 NetFilter 规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。 CentOS7 默认的防火墙不是 IPtables，而是 firewalle，现在我们来在 CentOS7 环境下安装配置 IPtables。

3. 下载安装 iptables iptables-services

# 检查系统中是否已经安装了 iptables
service iptables status

# 安装 iptables
yum install -y iptables

# 升级 iptables
yum update iptables 

# 安装 iptables-services
yum install iptables-services

    由图可见，该主机已经安装了 iptables ，所以只需要安装 iptables-services ，但是为了将流程演示，还是把所有的命令输了一遍。

 4. 禁用/停止自带的 firewalld 服务

# 停止 firewalld 服务
systemctl stop firewalld

# 禁用 firewalld 服务
systemctl disable firewalld

# 查看 firewalld 状态
systemctl status firewalld 

 
5. 设置现有规则

# 查看 iptables 现有规则
iptables -L -n

# 先允许所有,不然有可能会出问题
iptables -P INPUT ACCEPT

# 清空所有默认规则
iptables -F

# 清空所有自定义规则
iptables -X

# 所有计数器归 0
iptables -Z

# 允许来自于 lo 接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT

# 开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# 开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

# 允许接受本机请求之后的返回数据 RELATED ,是为 FTP 设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

# 其他入站一律丢弃
iptables -P INPUT DROP

# 所有出站一律绿灯
iptables -P OUTPUT ACCEPT

# 所有转发一律丢弃
iptables -P FORWARD DROP

 
6. 其他规则设定

# 如果要添加内网 ip 信任（接受其所有 TCP 请求）
iptables -A INPUT -p tcp -s 192.168.1.104 -j ACCEPT

# 过滤所有非以上规则的请求
iptables -P INPUT DROP

# 要封停一个 IP，使用下面这条命令：
iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一个 IP，使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP

7. 保存规则设定

# 保存上述规则
service iptables save

8. 开启 iptables 服务

# 注册 iptables 服务
# 相当于以前的 chkconfig iptables on
systemctl enable iptables

# 开启服务
systemctl start iptables

# 查看状态
systemctl status iptables

9. 关闭 SELINUX

vi /etc/selinux/config

SELINUX=disabled

 
10. 补充

# 参数
-A 将规则追加在原有规则的最后一条
-I 将新添加的规则加在原有规则的第一条
-L 列出当前的所有规则
-n 以数字的方式显示 ip
-s 指定作为源地址匹配，这里不能指定主机名称，必须是IP 
 IP | IP/MASK | 0.0.0.0/0.0.0.0 
 而且地址可以取反，加一个“!”表示除了哪个 IP 之外 
-p 用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP）

# 命令
iptables-save 保存 iptables 的表配置
iptables-restore 还原 iptables 表的配置

# 将现有规则保存到一个 .bak 文件中（文件名任意）
iptables-save > iptables_20210811.bak

# 修改规则
vi iptables_20210811.bak

# 将修改后的规则输出到 iptables 列表中
iptables-restore < iptables_20210811.bak

# 指定源地址访问端口
vi iptables_20210811.bak
# 在第一行输入以下内容，注意：该 ip 是电脑主机的 ip，不是虚拟机的
-A INPUT -p tcp -s 192.168.1.107 --dport 8081 -j ACCEPT

# 指定网段
-A INPUT -p tcp -s 192.168.1.0/24 --dport 8081 -j ACCEPT