iptables防火墙基本概念及用法
-------------------------------------------------------------------------------------------------------------------------------------------
◆***检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式
◆***防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出***、拒绝服务***、***、蠕虫、系统漏洞等进行准确的分析判断,在判定为***行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式
◆防火墙(FireWall):隔离功能,工作在网络或主机边缘(网络进出的边缘),对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。防火墙是通过包过滤(packet filter)方式进行防护的
面向某些特定的ip连接,设置白名单;面向全网络访问,只不允许某些ip访问设置黑名单
●硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,Checkpoint,NetScreen
●网络层防火墙:OSI模型下四层,传输层以下,效果好,但识别精度不高
应用层防火墙/代理服务器:代理网关,OSI模型七层,识别精度高,但实现防火墙的延迟高
●网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过
◆应用层防火墙/代理服务型防火墙(Proxy Service)
●内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则
●由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上
●流入本机:PREROUTING --> INPUT-->用户空间进程
●流出本机:用户空间进程-->OUTPUT--> POSTROUTING
●转发:PREROUTING --> FORWARD --> POSTROUTING
●用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包
●iptables规则存放在文件/etc/sysconfig/iptables,编写脚本开机运行iptables-restore < /etc/sysconfig/iptables,可实现开机启动设置好的防火墙规则
◆firewalld(目前为止只有rhel 7、centos7使用firewalld,其余大部分linux系统使用的是iptables,所以可以不使用firewalld,卸载firewalld后安装iptables,yum -y install iptables-services)
◆iptables由五个表和五个链以及一些规则组成,规则放在链上,链传送给表上
◆五个表table:filter、nat、mangle、raw、security
filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包
nat表:network address translation 地址转换规则表
raw:关闭NAT表上启用的连接跟踪(conntrack)机制,加快封包穿越防火墙速度
security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现
优先级由高到低的顺序为:security -->raw-->mangle-->nat-->filter
◆nat:PREROUTING,INPUT,OUTPUT,POSTROUTING
◆mangele:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
◆规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理
基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNATMASQUERADE,MARK,LOG...
注意:规则执行顺序从上而下,第一个规则处理完后有可能不用向下继续执行,因此把匹配条件更加精确,范围更小的规则放到上面
自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效
Centos7:systemctl stop firewalld.service
systemctl disable firewalld.service
◆iptables [-t table] {-A|-C|-D} chain rule-specification
◆iptables [-t table] -I chain [rulenum] rule-specification
◆iptables [-t table] -R chain rulenum rule-specification
◆iptables [-t table] -D chain rulenum
◆iptables [-t table] -S [chain [rulenum]]
◆iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
◆iptables [-t table] -X [chain]
◆iptables [-t table] -P chain target
◆iptables [-t table] -E old-chain-name new-chain-name
◆rule-specification = [matches...] [target],规则的定义规范
◆match = -m matchname [per-match-options]
◆target = -j targetname [per-target-options],j是jump的意思
注意:图片摘自红帽官网,格式有错误,图中input应该是INPUT
◆规则格式:iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]
raw, mangle, nat, [filter]默认,其余项不能省
◆1、基本匹配条件:无需加载模块,由iptables/netfilter自行提供
[!] -s, --source address[/mask][,...]:源IP地址或范围
[!] -d, --destination address[/mask][,...]:目标IP地址或范围
[!] -p, --protocol protocol:指定协议,可使用数字如0(all)
protocol: tcp, udp, icmp, icmpv6,udplite,esp, ah, sctp, mhor“all“
[!] -i, --in-interface name:报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链,只匹配报文前半段
[!] -o, --out-interface name:报文流出的接口;只能应用于数据报文流出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链,只匹配报文后半段
◆2 、扩展匹配条件:需要加载扩展模块(/usr/lib64/xtables/*.so),方可生效
●(1)隐式扩展:在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块
[!] --source-port, --sport port[:port]:匹配报文源端口,可为端口范围
[!] --destination-port,--dportport[:port]:匹配报文目标端口,可为范围
mask 需检查的标志位列表,用,分隔,例如SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须为0,用,分隔
相当于:--tcp-flags SYN,ACK,FIN,RST SYN
iptables -t filter -I INPUT -p --syn --deport 21 -j ACCEPT
用处:维护系统之前可以设置iptables -A INPUT -tcp-flags SYN -j REJECT,这么设置使得已经处于连接的用户不会被踢下线,而且新用户也连接不了,等待所有用户(who查看连接的主机)都不连接了再维护系统
[!] --source-port, --sport port[:port]:匹配报文的源端口或端口范围
[!] --destination-port,--dportport[:port]:匹配报文的目标端口或端口范围
•icmp:网络通讯探测协议,icmp和ip都属于第三层网络层,但在该层的子层中,icmp位于ip层的上面
[!] --icmp-type {type[/code]|typename}
●(2)显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制,要手动加载扩展模块
[-m matchname[per-match-options]]
•-j targetname[per-target-options]
扩展:REJECT:--reject-with:icmp-port-unreachable默认
CentOS 7: man iptables-extensions
以离散方式定义多端口匹配,最多指定15个端口,一个,隔开的算一个端口,但是比如20:23此样的算一个端口
[!] --source-ports,--sports port[,port|,port:port]...
[!] --destination-ports,--dportsport[,port|,port:port]...
[!] --ports port[,port|,port:port]...多个源或目标端口
示例:iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT
[!] --src-range from[-to]源IP地址范围
[!] --dst-range from[-to]目标IP地址范围
示例:iptables -A INPUT -d 172.16.1.100 -p tcp --dport80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP
适用于:PREROUTING, FORWARD,INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX
示例:iptables-A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT
iptables-A INPUT -s 172.16.0.100 -j REJECT
[!] --hex-string pattern要检测字符串模式,16进制格式
示例:iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string "google" -j REJECT
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
[!] --monthdays day[,day...] 每个月的几号
[!] --weekdays day[,day...] 星期几,1 –7 分别表示星期一到星期日
--kerneltz:内核时区,不建议使用,CentOS7系统默认为UTC
注意:centos6 不支持kerneltz,--localtz指定本地时区(默认)
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP
可防止CC(Challenge Collapsar挑战黑洞)***--connlimit-upto#:连接的数量小于等于#时匹配
--connlimit-above #:连接的数量大于#时匹配
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
令牌桶过滤器:匀速放行,每个时间段存放固定数量的报文,以至于发送报文是匀速放行
--limit #[/second|/minute|/hour|/day]
iptables-I INPUT -d 172.16.100.10 -p icmp--icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT
iptables-I INPUT 2 -p icmp-j REJECT
NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发出的请求,三次握手第一次
ESTABLISHED:NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系
iptables-A INPUT -d 172.16.1.10 -p tcp-m multiport --dports22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables-A OUTPUT -s 172.16.1.10 -p tcp-m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
●调整连接追踪功能所能够容纳的最大连接数量,此值可以修改,建议必要时调整到足够大
/proc/sys/net/nf_conntrack_max
●注意:CentOS7 需要加载模块:modprobenf_conntrack
举例:iptables的链接跟踪表最大容量为/proc/sys/net/nf_conntrack_max,各种状态的超时链接会从表中删除;当模板满载时,后续连接可能会超时,解决方法两个:
net.netfilter.nf_conntrack_max= 393216
net.netfilter.nf_conntrack_tcp_timeout_established= 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120
跟踪模块路径:/lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config配置文件
IPTABLES_MODULES=“nf_conntrack_ftp"
iptables–I INPUT -d LocalIP-p tcp-m state --state ESTABLISHED,RELATED -j ACCEPT
iptables-A INPUT -d LocalIP-p tcp--dport21 -m state --state NEW -j ACCEPT
iptables-I OUTPUT -s LocalIP-p tcp-m state --state ESTABLISHED -j ACCEPT
iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables-A INPUT -p tcp--dport21 -m state --state NEW -j ACCEPT
iptables-A OUTPUT -m state --state ESTABLISHED -j ACCEPT
●LOG,SNAT,DNAT,REDIRECT,MASQUERADE,..
●LOG:非中断target,本身不拒绝和允许,放在拒绝和允许规则前,并将日志记录在/var/log/messages系统日志中
--log-level level 级别:debug,info,notice, warning, error, crit, alert,emerg
--log-prefix prefix 日志前缀,用于区别不同的日志,最多29个字符
iptables-I INPUT -s 10.0.1.0/24 -p tcp-m multiport --dports80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "
● 安全放行所有入站和出站的状态为ESTABLISHED状态连接
● 同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理
使用iptables命令定义的规则,手动删除之前,其生效期限为kernel存活期限
将规则覆盖保存至/etc/sysconfig/iptables文件中
iptables-save > /etc/sysconfig/iptables
会自动从/etc/sysconfig/iptables重新载入规则
iptables-restore < /PATH/FROM/SOME_RULES_FILE
◆(1) 用脚本保存各iptables命令;让此脚本开机后自动运行
◆(2) 用规则文件保存各规则,开机时自动载入此规则文件中的规则
iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE
◆(3)自定义Unit File,进行iptables-restore
(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性
(2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行
NAT:network address translation
PREROUTING,INPUT,OUTPUT,POSTROUTING
SNAT:source NAT POSTROUTING,INPUT
让本地网络的主机通过某一特定地址访问外部网络,实现地址伪装,比如说在公司内部访问外部网站,使用的ip是经过SNAT转换过的公司外网IP
DNAT:destination NAT PREROUTING,OUTPUT
把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,比如说内部服务器开放了80端口,外网访问公司的httpd服务是访问开放80端口的服务器
PNAT:port nat,端口和IP都进行修改,一般我们说的NAT就是指PNAT
--to-source [ipaddr[-ipaddr]][:port[-port]]
3、iptables -t nat -A POSTROUTING -s LocalNET! -d LocalNet -j SNAT --to-source ExtIP
4、iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24-j SNAT --to-source 172.18.1.6-172.18.1.9