防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。
ipatbles命令仅支持ipv4,如果使用的IP协议是ipv6则需要使用专门的管理工具ip6tables。
iptables不是真正的防火墙,它只是用来定义防火墙策略的防火墙管理工具而已,或者说,它只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。
策略与规则链
防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
一般来说,从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是INPUT规则链,该规则链可以增大黑客人员从外网入侵内网的难度。
iptables服务的术语中分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。
基本的命令参数
-t<表> 指定要操纵的表
-A 向规则链中追加条目
-D 从规则链中删除条目
-I 向规则链中插入条目
-R 替换规则链中的相应条目
-L 显示规则链中的已有条目
-F 清除规则链中的现有条目。不改变规则链的默认目标策略
-Z 清空规则链中的数据包计数器和字节计数器
-N 创建新的用户自定义规则链
-P 定义规则链中的默认目标(策略)
-h 显示帮助信息
-p<协议> 指定要匹配的数据包的协议类型
-s<源地址> 指定要匹配的数据包的源IP地址
-j<目标> 指定要跳转的目标
-i<网络接口> 指定数据包进入本机的网络接口
-o<网络接口> 指定数据包离开本机做使用的网络接口
-c<包计数> 在执行插入、追加和替换操作时初始化包计数器和字节计数器