Linux网络安全之iptables 详解(二) – 21运维
通知: .-...

Linux网络安全之iptables 详解(二)

linux 21运维 2078浏览 0评论

iptables是用来管理防火墙的命令工具包过滤防火墙,工作在网络层。大体常用的规则总结如下:

-A  INPUT  -s  1.2.3.4  -p tcp  -m tcp  –dport 80  -j  DROP 封进来的包 s源   input入站  -p指定协议

-A  OUTPUT -d  1.2.3.4  -p tcp -m tcp  –dport  80  -j  DROP 封出去发包 d目标  output出站 
iptables基础知识说明:

一.规则链:规则链是防火墙规则/策略的集合

INPUT:处理入站数据包

OUTPUT:处理出站数据包

FORWARD:处理转发数据包

POSTROUTING链:在进行路由选择后处理数据包

PREROUTING链:在进行路由选择前处理数据包

二.规则表:规则表是规则链的集合(优先顺序:raw、mangle、nat、filter)

raw表:确定是否对该数据包进行状态跟踪(OUTPUT、PREROUTING)

mangle表:为数据包设置标记(PREROUNTING、POSTROUTING、INPUT、OUPUT、FORWARD)

nat表:修改数据包中的源、目标IP地址或端口(PREROUTING、POSTROUTIN、OUTPUT)

filter表:确定是否放行该数据包(过滤)(INPUT FOREARD、OUTPUT)

规则链间的匹配顺序

入站数据:PREROUTING、INPUT

出站数据:OUTPUT、POSTROUTING

转发数据:PREROUTING、FORWARD、POSTROUTING

三iptables命令的语法格式

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

注意:不指定表名时,默认表示filter表

不指定链名时,默认表示该表内所有链

除非设置规则链的缺省策略,否则需要指定匹配条件

四.命令选项

-A:在指定链的末尾添加(–apped)一条新的规则(注意与-I的插入位置区别)
-D:删除(–delete)指定链中的某一条规则,按规则序号或内容确定要删除的规则
-I:在指定链中插入(–insert)一条新的规则,若未指定插入位置,则默认在链的开头插入
-R:修改、替换(–replace)指定链的某一条规则,按规则序号或内容确定要替换的规则

-L:列出(–list)指定链中所有的规则进行查看,若未指定链名,则列出表中所有链的内容
-F:清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链的内容
-N:新建(–new-chain)一条用户自己定义的规则链

-X:删除指定表中用户自定义的规则链
-P:设置指定链的默认策略(–policy)
-n:使用数字形式(–numeric)显示输出结果
-v:查看规则列表时显示详细(–verbose)的信息
-Z: 清空防火墙包的数量和字节数
-V:查看iptables命令工具的版本(–version)信息
-h:查看命令帮助信息(–help)

–line-numbers:查看规则表时,同时显示规则在链中的顺序号
其中-A  -I的区别在于,-A添加到链末尾,-I插入到链最前边。 防火墙规则是越前边的越先生效,存在生效次序的差别。

五.通用(general)条件匹配

可直接使用,不依赖于其他的条件或扩展模块

包括网络协议、IP地址、网络接口等匹配方式

1.协议匹配

使用“-p 协议名”的形式

协议名可使用在“/etc/protocols”文件中定义的名称

常用的协议包括tcp、udp、icmp等

例:拒绝进入防火墙的所有icmp协议的数据包

iptables -I INPUT -p icmp -j REJECT

2.地址匹配

使用“-s源地址(–source)”、“-d 目标地址(–destination)”的形式

地址可以是单个IP地址、网络地址(带掩码长度)

例:拒绝转发来自192.168.1.11主机的数据

itables -A FORWARD -s 192.168.1.11 -j REJECT

3.网络端口匹配

使用“-i 网络接口名 (–in-interface)”、 “-o 网络接口名(–out-interface)”的形式,分别对应接收、发送数据包的网络接口

例:丢弃10.20.30.0/24网段,并在2小时后解封

iptables -I INPUT -s 10.20.30.0/24 -j REJECT

iptables -I FORWARD -s 10.20.30.0/24 -j DROP

at now +2 hours

at > iptables -D INPUT 1

at > iptables -D FORWARD 1

(crtl + D 结束)

六.隐含(implicit)条件匹配

1.端口匹配

使用“–sport 源端口”、“–dport 目标端口”的形式

采用“端口1:端口2”的形式可以指定一个范围的端口

例:仅允许管理员从202.13.0.0/16使用ssh

 iptables -A INPUT  118.114.245.37  -p tcp  22000 -s  -j ACCEPT

 iptables -A INPUT -p tcp  22000 -j DROP

2.TCP标记匹配

使用“–tcp-flags 检查范围 被设置的标记”的形式

如“–tcp-flags SYN,RST,ACK SYN”表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件

例:拒绝从外网接口(eth1)直接访问防火墙备机的数据包,但是允许响应防火墙TCP请

 求的数据包进入

 iptables -P INPUT DROP

 iptables -I INPUT -i eth1 -p tcp –tcp-flags SYN, RST, ACK SYN -j REJECT

 iptables -I INPUT -i eth1 -p tcp –tcp-flags !–syn -j ACCEPT

(–syn的用法为兼容旧版本iptables的形式,此处等于–tcp-flags SYN, RST, ACK SYN)

3.ICMP类型匹配

使用“–icmp-type ICMP类型”的形式

ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Request、Echo-Reply

例:禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机(允许接收ICMP

 回应数据)

 iptables -A INPUT -p icmp –icmp-type Echo-Request -j DROP

 iptables -A INPUT -p icmp –icmp-type Echo-Reply -j ACCEPT

 iptables -A INPUT -p icmp –icmp-type destination-Unreachable -j ACCEPT

七.显示条件匹配

1.MAC地址匹配

使用“-m mac”结合“–mac-source MAC地址”的形式

例:禁止转发来自MAC地址为00:0C:29:27:55:3F的主机的数据包

 iptables -A FORWARD -m mac –mac-source 00:0C:29:27:55:3F -j DROP

2.多端口匹配

使用“-m multiport”结合“–sports 源端口列表”或者“–dports 目标端口列表”的形式

多个端口之间使用逗号“,”分隔,连续的端口也可以使用冒号“:”分隔

例:允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

 iptables -A INPUT -p tcp -m multiport –dport 20,21,25,110,1250:1280 -j ACCEPT

3.IP地址范围匹配

使用“-m iprange”结合“–src-range 源IP范围”或者“–dst-range 目标IP范围” 的形式

以“-”符号连接起始IP地址、结束IP地址

例:禁止转发源IP地址为192.168.1.20~192.168.1.99的TCP数据包

 iptables -A FORWARD -p tcp -m iprange –src-range 192.168.1.20-192.168.1.99 -j DROP

4.数据包状态匹配

使用“-m state”结合“–state 状态类型”的形式

同时表示多种状态时以逗号“,”分隔

常见的数据包状态包括:NEW、ESTABLISHED、RELATED

例:拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包

 iptables -A INPUT -p tcp -m state –state NEW -j DROP

 iptables -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT

八.数据包控制

常见的数据包处理方式

ACCEPT:放行数据包

DROP:丢弃数据包,不给出任何回应信息

REJECT:拒绝数据包,必要时会给数据发送端一个响应信息

LOG:记录日志信息,并传递给下一条规则处理

用户自定义链名:传递给自定义链内的规则进行处理

SNAT:修改数据包的源地址信息

DNAT:修改数据包的目标地址信息

九.导入、导出防火墙规则

导出规则

iptables-save

结合重定向输出“>”符号保存规则信息

导入规则

iptables-restore

结合重定向输入“<”符号恢复规则信息

十.SNAT策略

SNAT策略的典型应用环境

局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

源地址转换,Source Network Address Translation

修改数据包的源IP地址

前提条件

局域网各主机正确设置IP地址/子网掩码

局域网各主机正确设置默认网关地址

推荐实现步骤

1. 开启网关主机的路由转发功能

2. 添加使用SNAT策略的防火墙规则

 

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0-j SNAT –to-source 218.29.30.31

(在路由选择之后进行处理,-s 特定局域网,-o需要从接口eth0外出的数据包–to-source 218.29.30.31网关主机外网口ip地址)

十一.MASQUERADE(地址伪装)策略

只需将 “-j SNAT –to-source 218.29.30.31”的形式改为“-j MASQUERADE”即可

如果是通过ADSL拨号方式连接Internet,则外网接口名称通常为 ppp0、ppp1等

MASQUERADE策略应用示例

iptables -t nat -A POSTROUTING -s 192.168.1.0/24-o ppp0 -j MASQUERADE

十二.DNAT策略

DNAT策略的典型应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

目标地址转换,Destination Network Address Translation

修改数据包的目标IP地址

前提条件

局域网的Web服务器正确设置了IP地址/子网掩码

局域网的Web服务器正确设置了默认网关地址

推荐实现步骤

1. 确认已开启网关的路由转发功能

2. 添加使用DNAT策略的防火墙规则

规则示例:

iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp –dport 80 -j DNAT–to-destination192.168.1.6

(在路由选择之前进行处理,-i 外网接口进入的数据包,-d访问网关的公网ip地址的数据包,-dport访问标准Web服务端口的数据包,–to-destination内网中Web服务器的实际IP地址)

通过DNAT策略同时修改目标端口号

使用形式

只需要在“–to-destination”后的目标IP地址后面增加“:端口号”即可,即:

-j DNAT –to-destination 目标IP:目标端口

通过DNAT策略修改目标端口号的应用示例

从Internet中访问网关主机(218.29.30.31)的 2222 端口时,实际由运行在局域网主机(192.168.1.5)的 22 端口的应用程序提供服务

iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.5:22

十三.iptables的开启和关闭

1. Linux防火墙(Iptables)重启系统生效

  1. 开启: chkconfig iptables on  
  2. 关闭: chkconfig iptables off  

2.Linux防火墙(Iptables) 即时生效,重启后失效

  1. 开启: service iptables start  
  2. 关闭: service iptables stop

转载请注明:21运维 » Linux网络安全之iptables 详解(二)

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址