配置IPTABLES防火墻(1)
iptables技能: 需要熟悉linux防火墻的表,鏈結構;理解數據包匹配的基本流程;會管理和設置iptbables規則;會使用防火墻腳本的一般方法。
linux防火墻功能是由內核實現的:
2.0版本中,包過濾機制是ipfw,管理工具是ipfwadm
2.2版本中,包過濾機制是ipchain,管理工具是ipchains
2.4以後的版本中,包過濾機制是netfilter,管理工具是iptables(本次介紹的就是iptables)
netfilter:
位於linux內核中的包過濾防火墻功能體系
稱為linux防火墻的"內核態"
iptables:
位於/sbin/iptables,是用來管理防火墻的命令工具
為防火墻體系提供過濾規則和策略,決定如何過濾或處理到達防火墻主機的數據包(工作於TCP/IP的網絡層)
稱為linux防火墻的"用戶態"
iptables的規則鏈,規則表結構
規則鏈:
規則的作用在於對舉報進行過濾或處理,根據處理時機的不同,各種規則被組織在不同的鏈中
規則鏈是防火墻規則/策略的集合
默認的5種規則鏈:
INPUT 處理入站數據包
OUTPUT 處理出站數據包
FORWARD 處理轉發數據包
POSTROUTING 在進行路由選擇後處理數據包
PRERROUTING 在進行路由選擇前處理數據包
規則表:
具有某一類相似類型的防火墻規則,按照不通的處理時機去分到不同的規則鏈之後,被歸置到不同的表中
規則表是規則鏈的集合
默認的4張表:
raw 確定是否對該數據包進行狀態跟蹤
managle 為數據包設置標記
nat表 修改數據包中的源,目標ip地址或者端口
filter 確定是否放行該數據包(過濾)
數據包過濾匹配流程
規則表的優先順序
raw --> managle --> nat --> filter
規則鏈間的匹配順序
入站數據 PREROUTING --> INPUT
出站數據 OUTPUT --> POSTROUTING
轉發數據 PREROUTING --> FORWARD --> POSTROUTING
規則鏈內的匹配順序
按順序依次進行檢查,找到相匹配的規則即停止(log策略除外)
若找不到的匹配的規則,則按照默認策略處理
入站數據流:
來自外界的數據包到達防火墻 -->被PREROUTING處理(確認是需要修改數據包地址等)--->路由選擇(判斷數據包應該發往何處)---> 如果目標地址是防火墻本身,那麽內核將其傳遞給INPUT鏈進行處理(決定是否通過)---> 通過以後則交給上層應用程序處理
轉發數據流:
來自外界的數據包到達防火墻 -->被PREROUTING處理(確認是需要修改數據包地址等)--->路由選擇(判斷數據包應該發往何處)---> 如果目標地址是其他外部地址,那麽內核將其傳遞給FORWARD鏈進行處理(是否轉發或者攔截)---> 然後在交給POSTROUTING鏈(是否修改數據包地址等)進行處理
出站數據流:
防火墻本機向外部地址發送數據包--->先被OUTPUT鏈規則處理(是否放行)---> 路由選擇 --->然後傳遞給POSTROUTING(是否修改數據包的地址等)進行處理
管理和設置iptables規則
iptables 命令的語法格式
iptables [-t 表名] 管理選項 [鏈名] [條件批匹配] [-j 目標動作或者跳轉]
iptables -t 表名
<-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網>
--sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動作
幾個註意事項
不指定表名時,默認是的表是filter
不指定鏈名時,默認時該表內所有的鏈
除非設置規則鏈的缺省策略,否則都需要指定匹配條件
iptables命令的管理選項
-t<表>:指定要操縱的表; -A:向規則鏈中添加條目; -D:從規則鏈中刪除條目; -i:向規則鏈中插入條目; -R:替換規則鏈中的條目; -L:顯示規則鏈中已有的條目; -F:清楚規則鏈中已有的條目; -Z:清空規則鏈中的數據包計算器和字節計數器; -N:創建新的用戶自定義規則鏈; -P:定義規則鏈中的默認目標; -h:顯示幫助信息; -p:指定要匹配的數據包協議類型; -s:指定要匹配的數據包源ip地址; -d<目標>:指定要跳轉的目標; -i<網絡接口>:指定數據包進入本機的網絡接口; -o<網絡接口>:指定數據包要離開本機所使用的網絡接口。
設置規則內容
iptables -t filter -A INPUT -p tcp -j ACCEPT 在input表末尾添加一條規則
iptables -I INPUT -p udp -j ACCETP 插入到input表第一行,原來第一行變為的第二行
iptables -I INPUT 2 -p icmp -j ACCEPT 插入到input表第二行,原來的第二行變為的第三行 iptables -P INPUT DROP 設置默認input表規則為DROP
iptables -L INPUT --line-number 顯示input表規則以及行數
清除規則
iptables -D INPUT 2 清除INPUT第二條規則
設置匹配數據包的條件
通用條件匹配
可直接使用,不依賴其他的條件或者擴展模塊
包括網絡協議,ip地址,網絡接口等匹配方式
隱含條件匹配
一般需要以特定的協議匹配作為前提
包括端口,tcp標記,icmp類型等匹配方式
顯式條件匹配
需要使用"-m 擴展模塊" 的形式明確指定匹配方式
包括多端口,mac地址,ip地址範圍,數據包狀態等匹配方式
eg.通用條件匹配
協議匹配
使用"-p 協議名"的形式
協議名可使用在/etc/protocols 文件中定義的名稱
常用協議有 tcp udp icmp
地址匹配
使用"-s 源地址","-d 目標地址" 的形式
iptables -I INPUT -p icmp -j REJECT 拒絕icmp協議
iptables -A FORWARD ! -p icmp -j ACCEPT 允許非icmp協議的轉發
iptables -A FORWARD -s 192.168.1.11 -j REJECT 禁止轉發來源地址是192.168.1.11的數據
iptables -A FORWARD -s 192.168.0.0/20 -j ACCEPT 允許192.168.0.0/20網段數據轉發
iptables -A INPUT -i eth1 -s 192.168.0.0/20 -j DROP 丟棄192.168.0.0/20通過eth1訪問的數據包
iptables -I FORWARD -o eth1 -d 192.168.3.114 -j DROP
iptables -I FORWARD -i eth1 -s 192.168.3.114 -j DROP
# 封堵網段2小時
iptables -I INPUT -s 172.16.10.0/24 -j DROP
iptables -I FORWARD -s 172.16.10.0/24 -j DROP
echo "iptables -D INPUT 1" >> /root/deliptables
echo "iptables -D FORWARD 1 " >> /etc/deliptables
at now +2 hours -f /etc/deliptables
eg. 隱含條件匹配
端口匹配
使用"--sport 源端口", "--dport 目標端口"的形式
采用 "端口1:端口2"的形式可以指定一個範圍的端口
TCP標記匹配
使用 "--tcp-flaqs檢測範圍,被設置的的標記"的形式
1.只允許的192.168.3.114通過22端口
iptables -A INPUT -p tcp --dport 22 -s 192.168.3.114 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
2.防止tcp泛洪攻擊
iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ACK SYN -j REJECT
3.禁ping(不允許別人ping,允許自己可以ping)
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP # 拒絕ping請求也可以使用數據8
iptables -I INPUT -p icmp --icmp-type Echo-Reonly -j ACCEPT # 允許ping應答也可以使用數字0
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT #暫時不知道是什麽鬼。等有時間研究下
4.開放服務器10000端口到10010端口
iptables -A INPUT -p tcp --dport 10000:10010 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 10000:10010 -j ACCEPT
eg. 顯式條件匹配
mac地址匹配
使用"-m mac" 結合 "--mac-source mac地址"的形式
多端口匹配
使用"-m multiport" 結合 "--sports 源端口列表" 或者的是"--dports 目標端口列表"的形式
多個端口之間使用逗號","分隔,連續的端口使用冒號":"
1. 禁止轉發來自mac地址為00:0C:BA:25:34:3B的主機的數據包
iptables -A FORWARD -m mac --mac-source 00:0C:BA:25:34:3B -j DROP
2. 開放防火墻本機的TCP端口:22,23,25,110,10000-10010
iptables -A INPUT -p tcp -m multiport --dports 22,23,25,110,10000:10010 -j ACCEPT
3.禁止轉發源ip地址為192.168.3.100-192.168.3.110的tcp數據包
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.3.100-192.168.3.110 -j DROP
4.禁止轉發與正常tcp連接無關的非--syn的包
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
5.拒絕訪問主機的新數據包,但是允許訪問已經建立連接的相關數據包
iptables -A INPUT -m state --state NEW -p tcp -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
數據包控制
常見的數據包處理方法(後面會詳細說明這個)
ACCEPT 放行數據包
DROP 丟棄數據包
REJECT 拒絕數據包
LOG 記錄日誌,並傳遞給下一個規則處理
用戶自定義的鏈名 傳遞給自定義的鏈內的規則處理
導入,導出防火墻規則
導出規則
iptables-save
結合重定向輸出">"符號保存規則信息
導入規則
iptables-restore
結合重定向輸入"<"符號恢復規則信息
iptables-save > /etc/sysconfig/iptables
iptables-save < /etc/sysconfig/iptables
本文出自 “Poor Wretch” 博客,請務必保留此出處http://youprince.blog.51cto.com/9272426/1982752
配置IPTABLES防火墻(1)