(第九篇)Iptables详解
Posted wsxcode
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(第九篇)Iptables详解相关的知识,希望对你有一定的参考价值。
常见的网络攻击形式
1.拒绝服务攻击:DOS
2.分布式拒绝服务攻击 DDOS
3.漏洞入侵
4.口令猜测
以上内容简单了解,具体可自行百度,此处不必知晓。
Linux防火墙基础
Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙);
Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。
1.Netfilter和iptables的区别:
Netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系;
(filter是过滤器的意思,netfilter即网络层过滤)
Iptables:指的是用来管理Linux防火墙的命令程序,通常位于/sbin/iptables,属于“用户态”(UserSpace,又称用户空间)的防火墙管理体系;
(iptables: IP信息包过滤系统)
2.包过滤的工作层次:
主要是网络层,针对IP数据包;体现在对包内的IP地址、端口等信息的处理上;
3.Iptables的表、链结构:
iptables作用:为包过滤机制的实现提供规则(或策略),通过各种不同的规则,告诉netfilter对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
5种规则链
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包(对数据链进行源地址修改转换)
PREROUTING链:在进行路由选择前处理数据包(做目标地址转换)
INPUT、OUTPUT链主要用在“主机型防火墙”中,即主要针对服务器本机进行保护的防火墙;而FORWARD、PREROUTING、POSTROUTING链多用在“网络型防火墙”中。
4个规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
默认包括4个规则表:
raw表:确定是否对该数据包进行状态跟踪;对应iptable_raw,表内包含两个链:OUTPUT、PREROUTING
mangle表:为数据包的TOS(服务类型)、TTL(生命周期)值,或者为数据包设置Mark标记,以实现流量整形、策略路由等高级应用。其对应iptable_mangle,表内包含五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
nat表:修改数据包中的源、目标IP地址或端口;其对应的模块为iptable_nat,表内包括三个链:PREROUTING、POSTROUTING、OUTPUT
filter表:确定是否放行该数据包(过滤);其对应的内核模块为iptable_filter,表内包含三个链:INPUT、FORWARD、OUTPUT
4.规则表之间的顺序:
raw->mangle->nat->filter
规则链之间的顺序
入站:PREROUTING->INPUT
出站:OUTPUT->POSTROUTING
转发:PREROUTING->FORWARD->POSTROUTING
规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理
表和链的关系:表下面是链,表容纳链
编写防火墙规则
1.语法构成:iptables [ -t表名]选项[链名] [条件] [ -j控制类型]
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
2.选项(也叫操作)
(1)添加新的规则:
-A:在链的末尾追加一条规则;“-p协议名”
-I:在链的开头(或指定序号)插入一条规则
(2)查看规则列表:
-L:列出所有的规则条目
-n:以数字形式显示地址、端口等信息
-v:以更详细信息显示规则
eg:以数字地址形式查看filter表INPUT链中的所有规则:
[[email protected] ~]# iptables -vnL INPUT #常一起搭配使用-vnL
(3)删除、清空规则:
-D:删除链内指定序号(或内容)的一条规则
-F:清空所有的规则
-P:为指定的链设置默认规则
-X:删除自定义的规则链
设置默认策略:
当找不到任何一条能够匹配的数据包的规则时,则执行默认策略(默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种。
3.条件(也叫规则)
协议匹配:-p协议名
(eg:tcp、udp、icmp、all(针对所有IP数据包)),可用的协议类型存放于Linux系统的/etc/procotols文件中;
例:
[[email protected] ~]# iptables -A FORWARD -p ! icmp -j ACCEPT
(!表示取反,即非icmp)
地址匹配:-s源地址、-d目的地址
可以是IP地址、网段地址,但不建议使用主机名、域名地址,因为解析过程会影响效率
当遇到小规模的网络扫描或攻击时,封IP地址是比较有效的方式。
接口匹配:-i入站网卡(外网)、-o出站网卡
端口匹配:--sport源端口、--dport目的端口
单个端口号或者以冒号或“:”分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式。
eg:构建vsftpd服务器时,开放20、21端口,以及用于被动模式的端口范围24500~24600:
#此时端口为目的地址
[[email protected] ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[[email protected] ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT
4.控制类型
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
iptables实例
(1)filter表理解配置练习,
现有一台服务器,装两块网卡,一块外网网卡名称是eth0绑定了IP1.1.1.1/32,另一块内网网卡名称是eth1绑定了IP192.168.0.2/24。这台服务器上运行有nginx(80端口)和mysql(3306端口),为这台服务器实现以下规则的防火墙:
1.默认禁止全部协议和端口访问
2.开放nginx的任意来源的访问
3.开放mysql的eth1网卡上的来源IP与eth1同网段的访问
4.拒绝icmp协议访问
实现过程
一、首先关闭和禁用系统的防火墙服务(已经关闭过则跳过此步)
systemctl stop firewalld
systemctl disable firewalld
二、清空所有的iptables规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -X
iptables -F
三、添加新规则
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p icmp -j REJECT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -j DROP
(2)nat表理解练习
现在我们只有一条网线是能上网的,现有1台服务器有两块网卡,能上网的网线接在eth0,还有一块网卡eth1和很多台电脑接在同一个内网里,现在电脑需要上网,为服务器设计一个iptables防火墙,实现电脑可以上网
实现过程
一、首先关闭和禁用系统的防火墙服务(已经关闭过则跳过此步)
systemctl stop firewalld
systemctl disable firewalld
二、清空所有的iptables规则
iptables -t nat -P INPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables –t nat -X
iptables –t nat -F
三、添加新规则
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE
另外需要开启内核的包转发参数:
echo 1 > /proc/sys/net/ipv4/ip_forward
四、其他配置
其他电脑上将网关设置成服务器上eth1网卡的IP就可以上网了。
以上是关于(第九篇)Iptables详解的主要内容,如果未能解决你的问题,请参考以下文章