LinuxCentOS7 安装配置 IPtables

2021-08-11

1. 前言

　　防火墙其实就是实现 Linux 下访问控制功能的，分为硬件和软件的防火墙两种类型。无论在何网络中，防火墙工作的地方一定是网络的边缘。防火墙的策略、规则就是去定义防火墙到底如何工作，以达到让它对出入网络的 IP 、数据进行检测。
　　目前市面上比较常见的有三四层的防火墙，叫网络层的防火墙，还有七层的防火墙，即代理层的网关。
　　对于 TCP/IP 的7层模型来讲，第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测；对于七层的防火墙，无论你源端口或者目标端口，源地址或者目标地址是什么，都将对你的所有信息进行检查。根据设计原理来看，七层防火墙会更加的安全，但是这样也会导致效率的下降，故市面上通用的防火墙方案都是二者相结合的。

2. IPtables 简介

　　IPtables 可以将规则组成一个列表，实现绝对详细的访问控制功能。
　　IPtables 是工作在用户空间中，定义规则的工具，本身并不算是防火墙。它定义的规则，可以让在内核空间当中的 NetFilter 读取，实现让防火墙工作。放入内核的地方必须是 TCP/IP 的协议栈经过的地方，可以实现读取规则的地方就叫做 NetFilter (网络过滤器)。
　　作者一共在内核空间中选择了五个位置，来作为控制的地方
　　1. 内核空间中：从一个网络接口进来，到另一个网络接口去的
　　2. 数据包从内核流入用户空间的
　　3. 数据包从用户空间流出的
　　4. 进入/离开本机的外网接口
　　5. 进入/离开本机的内网接口
　　前三个位置已经基本上能将路径彻底封锁了，但是为什么已经在进出的口设置了关卡之后还要在内部卡呢？ 因为数据包尚未进行路由决策，还不知道数据要走向哪里，所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡，进入用户空间的关卡，从用户空间出去的关卡。那么，既然他们没什么用，那我们为什么还要放置他们呢？因为我们在做 NAT 和 DNAT 的时候，目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。       
　　这五个位置也被称为五个钩子函数（hook functions）,也叫五个规则链。
       1.PREROUTING (路由前)
       2.INPUT (数据包流入口)
       3.FORWARD (转发管卡)
       4.OUTPUT (数据包出口)
       5.POSTROUTING (路由后)
　　这是 NetFilter 规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。 CentOS7 默认的防火墙不是 IPtables，而是 firewalle，现在我们来在 CentOS7 环境下安装配置 IPtables。

3. 下载安装 iptables iptables-services

# 检查系统中是否已经安装了 iptables
service iptables status
# 安装 iptables
yum install -y iptables
# 升级 iptables
yum update iptables 
# 安装 iptables-services
yum install iptables-services