成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供原陽網(wǎng)站建設(shè)、原陽做網(wǎng)站、原陽網(wǎng)站設(shè)計、原陽網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、原陽企業(yè)網(wǎng)站模板建站服務(wù),10余年原陽做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。
在Linux運維工作中,在涉及Linux安全時,我們第一時間想到的一般都是iptables這個工具。作為一個linux初學(xué)者來講,在剛學(xué)習(xí)linux的過程中,有些實驗總是總不成功。這時我們總會檢查防火墻是否關(guān)閉,selinux是否關(guān)閉。在深入學(xué)習(xí)iptbales之后,這些以前知其然,不知其所以然的操作在內(nèi)心就很敞亮了。想深入學(xué)習(xí)一個東西,總要問一下what is it?
本節(jié)學(xué)習(xí)目標(biāo)
防火墻分類
Netfilter防火墻工作原理
iptables四表五鏈
iptables規(guī)則設(shè)定要點
iptables工具使用方法(熟練使用,包括主機(jī)防火墻配置,網(wǎng)絡(luò)防火墻配置,以及nat配置)
防火墻是一種隔離工具。工作于主機(jī)或者網(wǎng)絡(luò)的邊緣,對于進(jìn)出本主機(jī)或者本地網(wǎng)絡(luò)的報文根據(jù)事先定義好的規(guī)則做匹配檢測,對于能夠被規(guī)則所匹配到的報文做出相應(yīng)處理(允許,拒絕,丟棄等)。根據(jù)其管理的范圍來分可以將其劃分為主機(jī)防火墻和網(wǎng)絡(luò)防火墻。根據(jù)其工作機(jī)制來區(qū)分又可分為包過濾型防火墻(netfilter)和代理服務(wù)器(Proxy)。有些人把tcp_warrpers也劃分為防火墻的一種。這種是根據(jù)服務(wù)程序軟件的名稱來控制數(shù)據(jù)包的方法。
包過濾防火墻Netfilter是linux內(nèi)核所支持的一個功能模塊框架。Iptables是配置管理Netfilter的一個軟件工具。所以Netfilter是工作與內(nèi)核空間的。Netfilter是內(nèi)核中一系列的鉤子(hook),為內(nèi)核模塊在網(wǎng)絡(luò)協(xié)議棧中的不同位置注冊回調(diào)函數(shù)(callback)。在數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)協(xié)議棧中的不同位置時做相應(yīng)的處理。
Netfilter中的五個鉤子NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_POST_ROUTING,NF_IP_LOCAL_OUT。。其中網(wǎng)絡(luò)數(shù)據(jù)包的流向圖如下圖所示
1網(wǎng)絡(luò)數(shù)據(jù)包從網(wǎng)卡進(jìn)來之后進(jìn)入內(nèi)核空間的TCP/IP協(xié)議棧進(jìn)行層層解封裝;
2 在數(shù)據(jù)包剛剛進(jìn)入網(wǎng)絡(luò)層的數(shù)據(jù)包通過NF_IP_PRE_FORWARD,在此店之后要進(jìn)行一次路由選擇,當(dāng)目標(biāo)地址為本機(jī)地址時,數(shù)據(jù)進(jìn)入NF_IP_LOCAL_IN,非本地的目標(biāo)地址進(jìn)入NF_IP_FORWARD,所以目標(biāo)地址轉(zhuǎn)換通常在此點進(jìn)行;
3 NF_IP_LOCAL_IN:經(jīng)過路由之后送往本地的數(shù)據(jù)包經(jīng)過此點,所以過濾INPUT包在此點進(jìn)行。
4 NF_IP_FORWARD:經(jīng)過路由選擇之后要轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過此點,所以網(wǎng)絡(luò)防火墻通常在此點配置。
5 NF_IP_LOCAL_OUT:由本地用戶空間應(yīng)用進(jìn)程產(chǎn)生的數(shù)據(jù)包過此檢測點,所以O(shè)UTPUT包過濾在此點進(jìn)行。
6 NF_IP_POST_ROUTING:剛剛通過NF_IP_FORWARD和NF_IP_LOCAL_OUT檢測點的數(shù)據(jù)包要通過一次路由選擇由哪個接口送往網(wǎng)絡(luò)中,經(jīng)過路由之后的數(shù)據(jù)包要通過NF_IP_POST_ROUTING此檢測點,所以,源地址轉(zhuǎn)換通常在此點進(jìn)行。
iptables是工作在用戶空間的一個管理netfilter的工具,該工具默認(rèn)有五條鏈(chain), REROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING分別由netfilter的五個鉤子函數(shù)來觸發(fā)。Iptables設(shè)有四張表,用以實現(xiàn)Netfilter的不同功能。
filter表:iptables中使用最廣泛的表,作用是進(jìn)行包過濾,由此表來決定該數(shù)據(jù)包是否繼續(xù)向它的目標(biāo)地址前進(jìn)。
Nat表:又此表的名稱可以看出,該表用于網(wǎng)絡(luò)地址轉(zhuǎn)換用的,這也就是防火墻的另外一個功能,對源地址或者目標(biāo)地址的修改。
mangle表:mangle表用于對ip報文的首部信息進(jìn)行修改。
raw表:raw表的功能是為防火墻提供一種禁用連接狀態(tài)追蹤的機(jī)制,在大流量對外業(yè)務(wù)的服務(wù)器上使用這個表可以有效的避免連接追蹤帶來的性能問題,比如游戲服務(wù)器通常通過此表或者重新編譯內(nèi)核的方式禁用防火墻的連接追蹤機(jī)制。
除此之外,在iptable的幫助文檔中提到還有一張security表,用于在數(shù)據(jù)包總加入selinux特×××,該表很少用到,這里不再詳述。
Iptables的四張表有著不同的處理優(yōu)先級,raw-->mangle-->nat -->filter,從左至右優(yōu)先級依次降低。由于數(shù)據(jù)包進(jìn)入?yún)f(xié)議棧中的鉤子的位置不同以及表的優(yōu)先級順序不同,所以防火墻對于數(shù)據(jù)包的處理順序特別容易混淆,這里引用一張胥峰前輩的處理順序圖(由于該圖顯示不清晰,可到附件下載):
想要配置一個較為安全的防火墻策略就需要了解其規(guī)則的組成以及設(shè)置規(guī)則時所需要思考的要點。
規(guī)則組成:報文的匹配條件,匹配到之后的處理動作
匹配條件:根據(jù)協(xié)議報文特征指定匹配條件,基本匹配條件和擴(kuò)展匹配條件
處理動作:內(nèi)建處理機(jī)制由iptables自身提供的一些處理動作
自定義處理機(jī)制:可自定義鏈來對匹配到的報文做處理。
注意:報文不會經(jīng)過自定義鏈,只能在內(nèi)置鏈上通過規(guī)則進(jìn)行引用后生效,也就是所自定義鏈為規(guī)則的一個處理動作的集合。
設(shè)置iptables規(guī)則時需要考量的要點:
1、根據(jù)要實現(xiàn)哪種功能,判斷添加在那張表上;
2、根據(jù)報文流經(jīng)的路徑,判斷添加在那個鏈上
流入:PREROUTING--->INPUT
流出:OUTPUT--->POSTROUTING
轉(zhuǎn)發(fā):PREROUTING---->FORWARD--->POSTROUTING
鏈上其規(guī)則的次序,即為檢查的次序,排列好檢查次序能有效的提高性能,因此隱含一定的法則
1、同類規(guī)則(訪問同一應(yīng)用),匹配范圍小的放上面
2、不同類規(guī)則(訪問不同應(yīng)用),匹配到報文頻率大的放上面:
3、將那些可由一條規(guī)則描述的多個規(guī)則合并為一個
4、設(shè)置默認(rèn)策略
遠(yuǎn)程連接主機(jī)配置防火墻時注意要點:
1,不要把鏈的默認(rèn)策略修改為拒絕。因為有可能配置失敗或者清除所有策略后無法遠(yuǎn)程到服務(wù)器。盡量使用規(guī)則條目配置默認(rèn)策略
2,為防止配置失誤策略把自己也拒掉,可在配置策略時設(shè)置計劃任務(wù)定時清除策略。當(dāng)確定無誤后,關(guān)閉該計劃任務(wù)。
磨刀不誤砍柴工,當(dāng)以上的東西在腦海中已經(jīng)有一個框架之后,再學(xué)習(xí)iptables規(guī)則管理工具才會得心應(yīng)手。
Man文檔是學(xué)習(xí)工具的最好方法。這里不再詳述,下面把我的學(xué)習(xí)筆記粘貼出來,以供讀者參考如有錯誤敬請指正。
iptables命令: iptables [-t table] {-A|-C|-D} chain rule-specification ip6tables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain [rulenum]] iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...] iptables [-t table] -N chain iptables [-t table] -X [chain] iptables [-t table] -P chain target iptables [-t table] -E old-chain-name new-chain-name
iptables [-t table] SUBCOMMAND CHAIN CRETERIA -j TARGET
-t table: filter ,nat,mangle,raw 默認(rèn)為filter
鏈管理: -F:flush,清空規(guī)則鏈:省略鏈表示清空指定表上的所有的鏈 -N:new,創(chuàng)建新的自定義規(guī)則鏈: -X:drop,刪除用戶自定義的空的規(guī)則鏈: -Z:zero,清零,置零規(guī)則計數(shù)器 -P:policy,為指定鏈設(shè)置默認(rèn)策略,對filter表中的鏈而言,默認(rèn)策略通常有ACCEPT,DROP,REJECT; -E:rEname,重命名自定義鏈,引用計數(shù)不為0的自定義鏈,無法改名,也無法刪除 規(guī)則管理: -A:append,將新的規(guī)則追加與指定鏈的尾部 -I:insert,將新規(guī)則插入至指定鏈的指定位置(需指定序號,默認(rèn)為第一條): -D:delete,刪除指定鏈上的指定規(guī)則: 兩種指定方式: 1、指定匹配條件 2、指定規(guī)則編號 -R:replace,替換指定鏈上的指定規(guī)則。
查看: -L:list,列出指定鏈上的所有規(guī)則。 -n:numberic ,以數(shù)字格式顯示地址和端口號 -v:verbose,顯示詳細(xì)信息 -vv,-vvv --line-numbers:顯示規(guī)則編號 -x:exectly,顯示計數(shù)器計數(shù)結(jié)果的精確值。
匹配條件: 基本匹配: [!] -s, --src,--source IP|Netaddr:檢查報文中的源ip地址是否符合此處指定的地址范圍 [!] -d,--dst,--destination IP|Netaddr:檢查報文中的目標(biāo)ip地址是否符合此處指定的地址范圍 -p ,--protocal{tcp|udp|icmp}:檢查報文中的協(xié)議,即ip首部中的protocol所標(biāo)識的協(xié)議,8bit,6標(biāo)識tcp.17表示udp -i,--in-inteface IFACE :數(shù)據(jù)報文的流入接口。僅能用于PREROUTING,INPUT,F(xiàn)ORWARD鏈 -o,--out-inteface :數(shù)據(jù)報文的流出接口。僅能用于FORWARD,OUTPUT,POSTROUTING鏈上
擴(kuò)展匹配:-m macth_name --spec_options eq: -m tcp --dport 22 表示使用tcp擴(kuò)展的目標(biāo)端口為22 隱式擴(kuò)展:對-p protocal指明的協(xié)議進(jìn)行擴(kuò)展,可省略-m選項: -p tcp --dport PORT[-PORT]:目標(biāo)端口,可以是單個端口或者連續(xù)多個端口 --sport PORT[-PORT] --tcp-flags list1 list2 :檢查list1所指明的所有標(biāo)志位,且這其中,list2所表示出的所有標(biāo)記必須為1,而余下的必須為0,沒有l(wèi)ist1中指明的,不做檢查。 SYN,ACK,F(xiàn)IN,RST,PSH,URG, eq:--tcp-flags SYN,ACK,F(xiàn)IN,RST SYN ===== --syn:檢查三次握手的第一次握手 -p udp --dport --sport -p icmp --icmp-type 可用數(shù)字表示其類型: 0 echo-reply 8 echo-request
顯示擴(kuò)展:
目標(biāo): -j target:jump至指定的target ACCEPT:接收 DROP:丟棄 REJECT;拒絕 RETURN:返回調(diào)用鏈 REDIRECT:端口重定向 LOG:記錄日志 MARK:做防火墻標(biāo)記 DNAT:目標(biāo)地址轉(zhuǎn)換 SNAT:源地址轉(zhuǎn)換 MASQUERADE:地址偽裝 ... 自定義鏈:由自定義鏈上的規(guī)則進(jìn)行匹配檢查。
顯示擴(kuò)展:必須顯示指明使用的擴(kuò)展模塊(rpm -ql iptables|grep "\.so") centos6 man iptables centos7 man iptbales-extensions
1、multiport擴(kuò)展 以離散方式定義多端口匹配:最多匹配15個端口 [!] --source-ports,--sports port[,port|,port:port]... 指明多個源端口 [!] --destination-ports,--dports port[,port|,port:port]...指明多個離散的目標(biāo)端口 [!] --ports port[,port|,port:port]...
例子: # iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT # iptables -A OUTPUT -p tcp -m multiport --sports 22,80 -j ACCEPT
2、iprange擴(kuò)展 指明連續(xù)的(但一般不能擴(kuò)展為整個網(wǎng)絡(luò))ip地址范圍
[!] --src-range from[-to] 匹配指明連續(xù)的源IP地址范圍 [!] --dst-range from[-to] 指明連續(xù)的目標(biāo)IP地址范圍
# iptables -A INPUT -m iprange --src-range 172.18.11.0-172.18.11.100 -j DROP # iptables -A INPUT -p tcp -m multiport --dports 22,80 -m iprange --src-range 172.18.11.0-172.18.11.100 -j DROP
3、string擴(kuò)展 檢查報文中出現(xiàn)的字符串:
--algo {bm|kmp}:
[!] --string pattern [!] --hex-string pattern 16進(jìn)制
iptables -I OUTPUT -m string --algo bm --string "movle" -j DROP
4、time擴(kuò)展 根據(jù)報文到達(dá)的時間與指定的時間范圍進(jìn)行匹配 --datestart --datestop
--timestart --timestop
--monthdays --weekdays # iptables -I INPUT -d 172.18.11.7 -p tcp --dport 80 -m time --timestart 8:00 --timestop 10:00 -j DROP
#注意 centos7使用的是UTC時間
5、connlimit擴(kuò)展 根據(jù)每客戶端ip(也可以是地址塊)做并發(fā)連接數(shù)數(shù)量匹配:
--connlimit-above n連接數(shù)量大于n --connlimit-upto n 連接數(shù)量小于等于n # iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT # ssh連接大于3后鏈接被拒絕 6、limit擴(kuò)展 基于收發(fā)報文速率做檢查: 令牌桶過濾器:
--limit rate[/second|/minute|/hour|/day] --limit-burst number # iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit 6/minute -j ACCEPT # iptables -A INPUT -p icmp -j REJECT
##跳過5個包,然后沒10秒鐘一個回應(yīng)一個ping包
7、state擴(kuò)展 檢查連接追蹤機(jī)制檢查連接的狀態(tài):
調(diào)整連接追蹤功能所能容納的最大連接數(shù)量: /proc/sys/net/nf_conntrack_max 已經(jīng)追蹤到并記錄下的連接: /proc/net/nf_conntrack
不同協(xié)議或者連接類型追蹤的時長 /proc/sys/net/netfilter/
可追蹤的連接狀態(tài): NEW:新發(fā)出的請求:連接追蹤模板中不存在此連接相關(guān)的信息條目,因此,將其識別為第一次發(fā)出的請求 ESTABLISHED:NEW狀態(tài)之后,連接追蹤模板中為其建立的條目失效之前期間內(nèi)所進(jìn)行的通信的狀態(tài)。 RELATED:相關(guān)的連接:如ftp協(xié)議中的命令連接與數(shù)據(jù)連接之間的關(guān)系 INVALIED:無法識別的連接
--state state1 state2... 例子: # iptables -I INPUT -d 172.18.11.7 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -I OUTPUT -s 172.18.11.7 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
#對新發(fā)起的http和ssh訪問請求做控制, # iptables -A INPUT -d 172.16.100.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A OUTPUT -s 172.16.100.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
如何開放被動模式的FTP服務(wù)?
(1)裝載ftp追蹤時專用的模塊 #modprobe nf_conntrack_ftp
路徑 /lib/modules/3.10.0-514.el7.x86_64/kernel/net/netfilternf_conntrack_ftp.ko 模塊信息 modinfo nf_conntrack_ftp.ko (2)放行請求報文: 命令連接:NEW,ESTABLISHED 數(shù)據(jù)連接:RELATED,ESTABLISHED
#iptables -A INPUT -d localIP -p tcp -dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A INPUT -d localIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT (3)放行響應(yīng)報文 ESTABLISHED #iptables -A OUTPUT -d localIP -p tcp -m state --state ESTABLISHED -j ACCEPT
如何保存及重載規(guī)則: 保存規(guī)則至指定文件: iptables-save > /path/to/somefile
從指定文件重載規(guī)則: iptables-restore < /path/from/somefile
centos6: service iptables save iptable-save >/etc/sysconfig/iptables service iptables restart iptables-restore < /etc/sysconfig/iptables 網(wǎng)絡(luò)防火墻: 核心轉(zhuǎn)發(fā)配置:/proc/sys/net/ipv4/ip_forward /etc/sysctl.conf net.ipv4.ip_forward=1 nat: SNAT:只修改請求報文的源地址 DNAT:只修改請求報文的目標(biāo)地址
nat表: PREROUTING: DNAT OUTPUT POSTROUTING: SNAT
源地址轉(zhuǎn)換 iptables -t nat -A POSTROUTING -s local_net ! -d local_net -j SNAT --to-source public_ip 公網(wǎng)ip固定 iptables -t nat -A POSTROUTING -s local_net ! -d local_net -j MASQUERADE公網(wǎng)ip不固定
目標(biāo)地址轉(zhuǎn)換 iptables -t nat -A POSTROUTING -d public_ip -p tcp|udp --dport PORT -j DNAT --to-destination local_ip:port |
文章名稱:從零開始認(rèn)識iptables
標(biāo)題URL:http://aaarwkj.com/article0/jpocoo.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供虛擬主機(jī)、網(wǎng)站導(dǎo)航、電子商務(wù)、ChatGPT、外貿(mào)網(wǎng)站建設(shè)、企業(yè)建站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)