Linux的防火牆體系主要工作在網路層，針對TCP/IP資料包實施過濾和限制，屬於典型的包過濾防火牆(或網路層防火牆)。在Linux中netfilter和iptables都是指Linux防火牆。區別在於：

netfilter：指的是Linux核心中實現包過濾防火牆的內部結構，不以程式或檔案的形式存在，屬於“核心態”的防火牆功能體系。

iptables：指的是用來管理Linux防火牆的命令程式，通常位於/sbin/iptables，屬於“使用者態”的防火牆管理體系。

在下述的內容中我們就以iptables來稱呼Linux防火牆了。

瞭解iptables的表和鏈的結構

iptables的作用在於為包過濾機制的實現提供規則，通過各種不同的規則，告訴netfilter對來自某些源，前往某些目的的或具有某些協議特徵的資料包應該如何處理。為了更加方便地組織和管理防火牆規則，iptables採用了“ 表”和“鏈”的分層結構。iptables的規則表和規則鏈的示意圖如下：

1、規則表

規則表中包含各種規則鏈，iptables管理著四個不同的規則表，其功能分別由獨立的核心模組實現。各表解釋如下：

filter表：主要用來對資料包進行過濾，根據具體的規則要求決定如何處理一個數據包。包含INPUT、FORWAED、OUTPUT等三個規則鏈。

nat表：主要用修改資料包IP地址、埠號等資訊，也稱網路地址轉換。包含PREROUTING、POSTROUTING、OUTPUT等三個規則鏈。

mangle表：主要用來修改資料包的TOS，TTL值，或者為資料包設定Mark標記，以實現流量整形，策略路由等高階應用。包含PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD等五個規則鏈。

raw表：主要用來決定是否對資料包進行狀態跟蹤。包含OUTPUT、PREROUTING兩個規則鏈。

在iptables規則表中，filter表和nat表用的比較多，而其他兩個表用的相對來說比較少。所以後面我們大多是以filter表和nat表中的規則鏈做策略。

2、規則鏈

規則鏈的作用是容納各種防火牆規則，規則兩分為五種，分別在不同的時機處理資料包。

INPUT鏈：處理入站資料包。

OUTOPUT鏈：處理出站資料包。

FORWARD鏈：處理轉發資料包。

POSTROUTING鏈：在進行路由選擇後處理資料包。

PREROUTING鏈：在進行路由選擇前處理資料包。

其中INPUT和OUTPUT鏈主要用在“主機型防火牆”中，而FORWARD、POSTROUTING和PREROUTING鏈主要用在“閘道器防火牆”中。

熟知資料包過濾的匹配流程

注意：熟知資料包過濾的匹配流程是學習iptables的重點，只有知道資料包經過防火牆的過程，我們才知道在那個表的那個鏈裡面設定規則可以對資料包進行如何操作。

1、規則之間的順序

當資料包抵達防火牆時，將依次應用raw，mangle，net和filter表中對應鏈內的規則(如果有的話)。

2、規則鏈之間的順序。

入站資料流向：來自外界的資料包到達防火牆後，首先被PREROUTING鏈處理，然後進行路由選擇，如果資料的目標地址時防火牆本機，那麼核心將其傳遞給INPUT鏈進行處理，通過處理後再交給上層應用程式。

轉發資料流向：來自外界的資料包到達防火牆，首先被PREROUTING鏈處理，然後再進行路由選擇，如果資料包的目標地址是其他外部地址，則核心將其傳遞給FORWARD鏈處理，最後交給POSTROUTING鏈進行處理。

出站資料流向：防火牆向外部地址傳送資料包，首相被OUTPUT鏈進行處理，然後進進行路由選擇，再交給POSTROUTING鏈進行處理。

3、規則鏈內部各條防火牆規則之間的順序。

當資料包經過規則鏈時，依次按照第一條規則，第二條規則......的順序進行匹配和處理，鏈內的過濾遵循“匹配即停止”的原則，一旦找到一條匹配的規則，則不在檢查本鏈中後續的規則。

編寫防火牆規則

基本語法、控制型別

使用iptables命令管理，編寫防火牆規則時，基本的命令的格式如下所示：

iptables [-t 表名] 管理選項 [鏈名] [匹配條件] [-j 控制型別]

-t：用來指定表名，預設是filter表。

表名，鏈名：用來指定iptables命令所操作的表和鏈。

管理選項：表示iptables規則的做方式，如：插入，增加，刪除，檢視等。

匹配條件：用來指定要處理的處理資料包的特徵，不符合指定條件的將不會處理。

控制型別：指的是資料包的處理方式，如：允許，拒絕，丟棄等。

iptables常見的管理選項如下表所示：

iptables常見的控制型別如下：

ACCEPT：允許資料包通過。

DROP：直接丟棄資料包，不給出任何迴應資訊。

REJECT：拒絕資料包通過，必要時會給資料包傳送端一個響應資訊。

LOG：在/var/log/messages檔案中記錄日誌資訊，然後將資料包傳遞給下一條規則。

iptables規則的匹配條件

1、通用匹配

通用匹配也稱常規匹配，這種匹配方式可以獨立使用，不依賴其他條件或擴充套件模組，常見的通用匹配包括協議匹配，地址匹配，網路介面匹配。

1)協議pipe

編寫iptables規則時使用“-p 協議名”的形式指定，用來檢查資料包所使用的網路協議，如：tcp、udp、icmp等。

列如：編寫iptables拒絕通過icmp的資料包。

[[email protected] /]#iptables -A INPUT -p icmp -j DROP

2)地址匹配

編寫iptables規則時使用“-s源地址”或“-d目標地址”的形式指定，用來檢查資料包的源地址或目標地址。

列如：編寫iptables拒絕轉發192.168.1.0/24到202.106.123.0/24的資料包。

[[email protected] /]#iptables -A FORWARD -s 192.168.1.0/24 -d 202.106.123.0/24 -j DROP

3)網路介面匹配

編寫iptables規則時使用“-i 介面名”和“-o 介面名”的形式，用於檢查資料包從防火牆的哪一個介面進入或發出，分別對應入站網絡卡(--in-interface)，出站網絡卡(--out-interface)。

列如：拒絕從防火牆的eth1網絡卡介面ping防火牆主機。

[[email protected] /]#iptables -A INPUT -i eth1 -p icmp -j DROP

2、隱含匹配

這種匹配方式要求以指定的協議匹配作為前提條件，相當於子條件，因此無法獨立使用，其對應的功能由iptables在需要時自動隱含載入核心。常見的隱含匹配包括埠匹配，TCP標記匹配，ICMP型別匹配。

1)埠匹配

編寫iptable規則時使用“--sport 源埠”或“--dport”的形式，針對的協議為TCP或UDP，用來檢查資料包的源埠或目標埠。單個埠或者以“：”分隔的埠範圍都是可以接受的，但不支援多個不連續的埠號。

列如：編寫iptables規則允許FTP資料包通過，則需要允許20,21和用於被動模式的24500-24600的埠範圍。

[[email protected] /]#iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[[email protected] /]#iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

2)TCP標記匹配

編寫iptables規則時使用“--tcp-flags 檢查範圍 被設定的標記”的形式，針對的協議為TCP，用來檢查資料包的標記位。其中“檢查範圍”指出需要檢查資料包的那幾個標記位，“被設定的標記”則明確匹配對應值為1的標記，多個標記之間以逗號進行分隔。

列如：若要拒絕外網絡卡介面(eth1)直接訪問防火牆本機的TCP請求，但其他主機發給防火牆的TCP響應等資料包應允許，可執行如下操作。

[[email protected] /]#iptables -A INPUT -i eth1 -p tcp --tcp-flags SYN，RST，ACK SYN -j DROP

3)ICMP型別匹配

編寫iptables規則時使用“--icmp-type ICMP型別”的形式，針對的協議為ICMP，用來檢查ICMP資料包的型別。ICMP型別使用字串或數字程式碼表示，如“Echo-quest”(程式碼為8)，“Echo-Reply”(程式碼為0)，“Destination-Unreachable”(程式碼為3)，分別對應ICMP協議的請求，回顯，目標不可達。

列如：若要禁止從其他主機ping防火牆本機，但允許防火牆本機ping其他主機，可執行以下操作。

[[email protected] /]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[[email protected] /]#iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

[[email protected] /]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

3、顯示匹配

這種匹配方式要求有額外的核心模組提供支援，必須手動以“-m 模組名稱”的形式呼叫相應的模組。然後方可設定匹配條件。常見的顯示匹配包括多埠匹配，IP範圍匹配，MAC地址匹配，狀態匹配。

1)多埠匹配

編寫iptables規則時使用“-m multiport --dport 埠列表”或“-m multiport --sport 埠列表”的形式，用來檢查資料包的源埠，目標埠，多埠之間以逗號進行分隔。

列如：若允許本機開放25,80,110,143等埠，以便提供電子郵件服務，可執行如下操作。

[[email protected] /]#iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

2)IP地址範圍匹配

編寫iptables規則時使用“-m iprange --src-range IP範圍”，“-m -iprange --dst-range IP地址範圍”的形式，用來檢查資料包的源地址，目標地址，其中IP範圍採用“起始地址-結束地址”的形式表示。

列如：若要允許轉發源地址IP位於192.168.4.21與192.168.4.28之間的TCP資料包，可執行如下操作。

[[email protected] /]#iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT

3)MAC地址匹配

編寫iptables規則時使用“-m mac --mac-source MAC地址”的形式，用來檢查資料包的源MAC地址。由於MAC地址本身的侷限性，此類匹配條件一般只適用於內部網路。

列如：若要根據MAC地址封鎖主機，禁止其訪問本機的任何應用，可以執行如下操作。

[[email protected] /]#iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP

4)狀態匹配

編寫iptables規則時使用“-m state --state 連線狀態”的形式，基於iptables的狀態跟蹤機制用來檢查資料包的連線狀態。常見的連線狀態包括NEW(如任何連線無關的)，ESTABLISHED(相應請求或者一建立連線的)，RELATED(與已有連線有相關性的，如FTP資料連線)。

列如：編寫iptables規則，只開放本機的80埠服務，對於傳送給本機的TCP應答資料包給予放行，其他入站資料包均拒絕，可執行如下操作。

[[email protected] /]#iptables -A INPUT -p tcp -m multiport --dport 80 -j ACCEPT

[[email protected] /]#iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT