(第九篇)Iptables详解

Posted wsxcode

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(第九篇)Iptables详解相关的知识,希望对你有一定的参考价值。

常见的网络攻击形式

1.拒绝服务攻击:DOS

2.分布式拒绝服务攻击 DDOS

3.漏洞入侵

4.口令猜测

以上内容简单了解,具体可自行百度,此处不必知晓。

Linux防火墙基础

Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙);

Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。

1.Netfilter和iptables的区别:

Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系;

(filter是过滤器的意思,netfilter即网络层过滤)

Iptables:指的是用来管理Linux防火墙的命令程序,通常位于/sbin/iptables,属于“用户态”(UserSpace,又称用户空间)的防火墙管理体系;

(iptables: IP信息包过滤系统)

2.包过滤的工作层次:

主要是网络层,针对IP数据包;体现在对包内的IP地址、端口等信息的处理上;

3.Iptables的表、链结构:

iptables作用:为包过滤机制的实现提供规则(或策略),通过各种不同的规则,告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。

规则链

规则的作用:对数据包进行过滤或处理

链的作用:容纳各种防火墙规则

链的分类依据:处理数据包的不同时机

5种规则链

INPUT:处理入站数据包

OUTPUT:处理出站数据包

FORWARD:处理转发数据包

POSTROUTING链:在进行路由选择后处理数据包(对数据链进行源地址修改转换)

PREROUTING链:在进行路由选择前处理数据包(做目标地址转换)

 

INPUT、OUTPUT链主要用在“主机型防火墙”中,即主要针对服务器本机进行保护的防火墙;而FORWARD、PREROUTING、POSTROUTING链多用在“网络型防火墙”中。

4个规则表

表的作用:容纳各种规则链

表的划分依据:防火墙规则的作用相似

默认包括4个规则表:

raw表:确定是否对该数据包进行状态跟踪;对应iptable_raw,表内包含两个链:OUTPUT、PREROUTING

mangle表:为数据包的TOS(服务类型)、TTL(生命周期)值,或者为数据包设置Mark标记,以实现流量整形、策略路由等高级应用。其对应iptable_mangle,表内包含五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

nat表:修改数据包中的源、目标IP地址或端口;其对应的模块为iptable_nat,表内包括三个链:PREROUTING、POSTROUTING、OUTPUT

filter表:确定是否放行该数据包(过滤);其对应的内核模块为iptable_filter,表内包含三个链:INPUT、FORWARD、OUTPUT

4.规则表之间的顺序:

raw->mangle->nat->filter

规则链之间的顺序

入站:PREROUTING->INPUT

出站:OUTPUT->POSTROUTING

转发:PREROUTING->FORWARD->POSTROUTING

规则链内的匹配顺序

按顺序依次检查,匹配即停止(LOG策略例外)

若找不到相匹配的规则,则按该链的默认策略处理

表和链的关系:表下面是链,表容纳链

编写防火墙规则

1.语法构成:iptables [ -t表名]选项[链名] [条件] [ -j控制类型]

不指定表名时,默认指filter表

不指定链名时,默认指表内的所有链

除非设置链的默认策略,否则必须指定匹配条件

选项、链名、控制类型使用大写字母,其余均为小写

2.选项(也叫操作)

(1)添加新的规则:

-A:在链的末尾追加一条规则;“-p协议名” 

-I:在链的开头(或指定序号)插入一条规则

(2)查看规则列表:

-L:列出所有的规则条目

-n:以数字形式显示地址、端口等信息

-v:以更详细信息显示规则

eg:以数字地址形式查看filter表INPUT链中的所有规则:

[[email protected] ~]# iptables -vnL INPUT         #常一起搭配使用-vnL

 (3)删除、清空规则:

-D:删除链内指定序号(或内容)的一条规则

-F:清空所有的规则 

-P:为指定的链设置默认规则

-X:删除自定义的规则链

设置默认策略:

当找不到任何一条能够匹配的数据包的规则时,则执行默认策略(默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种。 

3.条件(也叫规则) 

协议匹配:-p协议名

(eg:tcp、udp、icmp、all(针对所有IP数据包)),可用的协议类型存放于Linux系统的/etc/procotols文件中;

例:

[[email protected] ~]# iptables -A FORWARD -p ! icmp -j ACCEPT

(!表示取反,即非icmp)

地址匹配:-s源地址、-d目的地址

可以是IP地址、网段地址,但不建议使用主机名、域名地址,因为解析过程会影响效率

当遇到小规模的网络扫描或攻击时,封IP地址是比较有效的方式。

接口匹配:-i入站网卡(外网)-o出站网卡

端口匹配:--sport源端口、--dport目的端口

单个端口号或者以冒号或“:”分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式。

eg:构建vsftpd服务器时,开放20、21端口,以及用于被动模式的端口范围24500~24600:

#此时端口为目的地址

[[email protected] ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

4.控制类型

ACCEPT:允许通过

DROP:直接丢弃,不给出任何回应

REJECT:拒绝通过,必要时会给出提示

iptables实例

(1)filter表理解配置练习,

现有一台服务器,装两块网卡,一块外网网卡名称是eth0绑定了IP1.1.1.1/32,另一块内网网卡名称是eth1绑定了IP192.168.0.2/24。这台服务器上运行有nginx(80端口)和mysql(3306端口),为这台服务器实现以下规则的防火墙:

1.默认禁止全部协议和端口访问

2.开放nginx的任意来源的访问

3.开放mysql的eth1网卡上的来源IP与eth1同网段的访问

4.拒绝icmp协议访问

 

实现过程

一、首先关闭和禁用系统的防火墙服务(已经关闭过则跳过此步)

systemctl stop firewalld

systemctl disable firewalld

二、清空所有的iptables规则

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -X

iptables -F

三、添加新规则

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT

iptables -A INPUT -p icmp -j REJECT

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

iptables -A INPUT -j DROP

 

(2)nat表理解练习

现在我们只有一条网线是能上网的,现有1台服务器有两块网卡,能上网的网线接在eth0,还有一块网卡eth1和很多台电脑接在同一个内网里,现在电脑需要上网,为服务器设计一个iptables防火墙,实现电脑可以上网

 

实现过程

一、首先关闭和禁用系统的防火墙服务(已经关闭过则跳过此步)

systemctl stop firewalld

systemctl disable firewalld

二、清空所有的iptables规则

iptables -t nat -P INPUT ACCEPT

iptables -t nat -P OUTPUT ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables –t nat -X

iptables –t nat -F

三、添加新规则

iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE

另外需要开启内核的包转发参数:

echo 1 > /proc/sys/net/ipv4/ip_forward

四、其他配置

其他电脑上将网关设置成服务器上eth1网卡的IP就可以上网了。

以上是关于(第九篇)Iptables详解的主要内容,如果未能解决你的问题,请参考以下文章

iptables详解

Docker iptables 详解

iptables详解之filter

iptables详解

iptables详解

iptables详解:iptables规则管理