ipables防火墙

一、Linux防火墙基础

Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典 型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,也因此获得广泛的应用。

在许多安全技术资料中,netfilter iptables 都用来指 Linux 防火墙,往往使读者产生 迷惑。netfilter iptables 的主要区别如下。

netfilter:指的是 Linux 内核中实现包过滤防火墙的内部结构,不以程序或文件的形式 存在,属于“内核态Kernel Space,又称为内核空间)的防火墙功能体系。

 iptables:指的是用来管理 Linux 防火墙的命令程序,通常位于/sbin/iptables 目录下, 属于“用户态User Space,又称为用户空间)的防火墙管理体系。

二、IP tables的架构

iptables 的作用是为包过滤机制的实现提供规则(或称为策略),通过各种不同的规则,告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理。为了更加方便地组织和管理防火墙规则,iptables 采用了“表”的分层结构,如图示。

其中,每个规则相当于内核空间的一个容器,根据规则集的不同用途划分为默认的 四个表;在每个“容器内包括不同的规则,根据处理数据包的不同时机划分为五种链; 而决定是否过滤或处理数据包的各种规则,则是按先后顺序存放在各规则链中。

1.规则表

为了从规则集的功能上有所区别,iptables 管理着四个不同的规则表,其功能分别由独立的内核模块实现。这四个表的名称、包含的链及各自的用途如下。

filter 表:filter 表用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据 包。filter 表对应的内核模块为 iptable_filter,表内包含三个链,即 INPUTFORWARD、OUTPUT。

nat 表:natNetwork Address Translation,网络地址转换)表主要用来修改数据包的IP 地址、端口号等信息。nat 表对应的内核模块为 iptable_nat,表内包含三个链,即PREROUTING、POSTROUTINGOUTPUT

mangle 表:mangle 表用来修改数据包的 TOSType Of Service,服务类型)、TTLTimeTo Live,生存周期),或者为数据包设置 Mark 标记,以实现流量整形、策略路由等高级应用 。 mangle 表 对 应 的 内 核 模 块 为 iptable_mangle , 表 内 包 含 五 个 链 , 即PREROUTING、POSTROUTINGINPUTOUTPUTFORWARD

raw 表:raw 表是自 1.2.9 以后版本的 iptables 新增的表,主要用来决定是否对数据包进行状态跟踪。raw 表对应的内核模块为 iptable_raw,表内包含两个链,即 OUTPUT、PREROUTING。在 iptables 的四个规则表中,mangle 表和 raw 表的应用相对较少。

2.规则链

在处理各种数据包时,根据防火墙规则的不同介入时机,iptables 默认划分为五种不同的规则链。这五种链的名称、各自的介入时机如下。

INPUT 链:当收到访问防火墙本机地址的数据包(入站)时,应用此链中的规则。

OUTPUT 链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则。

FORWARD 链:当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时,应用此链中的规则。

PREROUTING 链:在对数据包做路由选择之前,应用此链中的规则。

POSTROUTING 链:在对数据包做路由选择之后,应用此链中的规则。

其中,INPUTOUTPUT 链主要用在主机型防火墙中,即主要针对服务器本机进行保护的防火墙;而 FORWARDPREROUTINGPOSTROUTING 链多用在网络型防火墙” 中,如使用 Linux 防火墙作为网关服务器,在公司内网与 Internet 之间进行安全控制。

3.数据包过滤匹配流程

1.规则表之间的顺序

当数据包抵达防火墙时,将依次应用 raw 表、mangle 表、nat 表和 filter 表中对应链内的规则(如果存在),应用顺序为 raw→mangle→nat→filter

2.规则链之间的顺序

根据规则链的划分原则,不同链的处理时机是比较固定的,因此规则链之间的应用顺序取决于数据包的流向,如图所示,具体表述如下。

入站数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理(是否修改数据包地址等),然后进行路由选择(判断该数据包应发往何处);如果数据包的目标地址是防火墙本机(如 Internet 用户访问网关的 Web 服务端口),那么内核将其传递给 INPUT 链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序(如 httpd 服务器)进行响应。

转发数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理,然后再进行路由选择;如果数据包的目标地址是其他外部地址(如局域网用户通过网关访问 QQ 服务器),则内核将其传递给 FORWARD 链进行处理(允许转发或拦截、丢弃),最后交给 POSTROUTING 链(是否修改数据包的地址等)进行处理。

出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网 DNS服务时),首先进行路由选择,确定了输出路径后,再经由 OUTPUT 链处理,最后再交给 POSTROUTING 链(是否修改数据包的地址等)进行处理。

三、编写防火墙规则

1.基本语法、数据包控制类型

[root@localhost ~]# yum install -y iptables-services

[root@localhost ~]# systemctl start iptables  

命令格式:iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

实例:在filter表的input链中插入一条规则,拒绝发给本机的使用ICMP协议的数据包

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT        //阻止其他pc端ping“我”

备注:

-I:插入一条规则,要指定在哪一行插入,不指定默认第一行

REJECT:拒绝

删除此规则

iptables -t filter -D INPUT -p icmp -j REJECT        //删除这条规则

-D:删除

2.添加、查看、删除规则等基本操作

1.添加新的规则

在filter表INPUT链的末尾添加一条防火墙规则

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -j ACCEPT     \\允许tcp的数据包通过

 备注:

-A:在末尾追加

-I:在开头添加

ACCEPT:允许 

在filter表INPUT链的添加以下两条规则,这两条规则分别位于第一条和第二条(指定位置:-I,大写i)

[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT      \\允许udp数据包通过,放到第一条

[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT   \\允许icmp数据包通过,放到第二条

2.查看规则列表

查看filter表INPUT链中的所有规则,并显示规则序号(列出所有规则:-L)

[root@localhost ~]# iptables -L INPUT --line-numbers

[root@localhost ~]# iptables -L INPUT --line

以数字形式查看filter表INPUT链中的所有规则(数字形式显示:-n)

--line:显示行号

[root@localhost ~]# iptables -n -L INPUT

[root@localhost ~]# iptables -nL INPUT

[root@localhost ~]# iptables -nL INPUT -t filter --line

3.删除、清空规则

删除filter表INPUT链中的第三条规则

[root@localhost ~]# iptables -D INPUT 3

[root@localhost ~]# iptables -nL INPUT --line

清空指定链或表中的所有防火墙规则,使用管理选项“-F”

清空filter表INPUT链中所有的规则

[root@localhost ~]# iptables -F INPUT

[root@localhost ~]# iptables -nL INPUT --line

分别清空filter表,nat表,mangle表中所有链的规则

[root@localhost ~]# iptables -F        \\等同iptables -t filter -F

[root@localhost ~]# iptables -t nat -F

[root@localhost ~]# iptables -t mangle -F

4.设置默认策略(找不到匹配项时,就是用该默认规则)

[root@localhost ~]# iptables -t filter -P FORWARD DROP        \\找不到转发规则,丢弃

[root@localhost ~]# iptables -t filter -P OUTPUT ACCEPT         \\出站数据包找不到规则,允许通过

3.规则匹配条件

1.通用匹配——常规匹配(包括协议、地址、网络接口匹配),可独立使用!

(1)协议匹配

[root@localhost ~]# iptables -I INPUT -p icmp -j DROP              \\丢弃icmp包

[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT     \\允许转发除icmp之外的其他包

(2)地址匹配(源地址:-s,目标地址:-d)

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.202 -j REJECT

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.0 -j ACCEPT

当遇到小规模的网络攻击或扫描时,应封锁IP地址

[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP

[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP

(3)网络接口匹配

要丢弃从外网卡接口(eth1)访问防火墙本机且源地址为私有地址的数据包

[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

2.隐含匹配——要以协议匹配作为前提条件,不可独立使用(带有子条件)

(1)端口匹配

允许为网段192.168.4.0/24转发DNS查询数据包

[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

[root@localhost ~]# iptables -A FORWARD -d 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

注释:

隐含匹配需要有一个匹配的前提条件,这个前提条件就是隐含要匹配的内容。

上面案例中“ -p udp --dport”就是隐含的子条件,意思是,只匹配一个端口号还不行,还要指定这个端口号是UDP的端口号,并且是目标端口号

搭建vsftpd服务时需要开放20、21端口,以及用于被动模式的端口范围为24500-24600

[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

(2)ICMP类型匹配

若要禁止从其他主机ping本机,但是允许本机ping其他主机

 iptables -F 

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

[root@localhost ~]# iptables -A INPUT -p icmp -j DROP

0 响应应答(ECHO-REPLY)(应答报文)
3 不可到达 (目标主机不可达)
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)(请求报文)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答

查看icmp协议类型的帮助信息

[root@localhost ~]# iptables -p icmp -h

3.显式匹配——要有额外的内核模块提供支持,以手动“-m 模块名称”调用相关的模块,然后在再置匹配条件,显示匹配就是需要手动指定模块的匹配方式。

(1)多端口匹配(multiport用于多端口)

允许本机开放25、80、110、143端口,以提供电子邮件服务

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

(2)IP范围匹配(iprange用于ip范围)

禁止转发源IP地址位于192.168.4.21-192.168.4.28之间的TCP数据包

[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT

(3)MAC地址匹配

根据MAC地址封锁主机,禁止其访问本机的任何应用

[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0C:29:C9:3D:F7 -j DROP

(4)状态匹配

要禁止转发与正常TCP连接无关的非"--syn"请求的数据包,如伪造的网络攻击数据包

[root@localhost ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

只开放本机的WEB服务(80端口),但对发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃,对应的入站规则为(ESTABLISHED:已建立的)

[root@localhost ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT

[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

[root@localhost ~]# iptables -P INPUT DROP

相关推荐

最近更新

  1. TCP协议是安全的吗?

    2024-06-09 01:08:01       8 阅读
  2. 【Python教程】压缩PDF文件大小

    2024-06-09 01:08:01       9 阅读
  3. 通过文章id递归查询所有评论(xml)

    2024-06-09 01:08:01       10 阅读

热门阅读

  1. UML 统一建模语言简介

    2024-06-09 01:08:01       6 阅读
  2. 面试 Redis 八股文十问十答第四期

    2024-06-09 01:08:01       8 阅读
  3. Lua 时间工具类

    2024-06-09 01:08:01       6 阅读
  4. Ratchet websocket token 验证

    2024-06-09 01:08:01       7 阅读
  5. Composition API函数

    2024-06-09 01:08:01       6 阅读
  6. Python入门Git:探索版本控制的奥秘

    2024-06-09 01:08:01       7 阅读
  7. advices about writing promotion ppt

    2024-06-09 01:08:01       8 阅读
  8. KMeans聚类分析星

    2024-06-09 01:08:01       4 阅读
  9. 中介子方程七

    2024-06-09 01:08:01       6 阅读
  10. C++的封装(十二):外部构造函数

    2024-06-09 01:08:01       5 阅读