目录
前言
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。
那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??
下文会详细的解决这个问题~~
一、防火墙
1、防火墙的概述
Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
2、防火墙的分类
-
网络层防火墙(Packet Filtering Firewall):这种防火墙通过检查数据包的源地址、目的地址、端口号等基本信息来过滤流量。它工作在OSI模型的网络层,提供基本的访问控制,但可能无法防御复杂的应用层攻击。
-
状态检测防火墙(Stateful Inspection Firewall):在网络层防火墙的基础上,状态检测防火墙增加了对连接状态的跟踪。这使其能够更准确地判断数据包的合法性,提高了安全性,但仍可能对某些应用层威胁无能为力。
-
代理防火墙(Proxy Firewall):代理防火墙在应用层工作,通过代理服务器转发和过滤流量,从而隐藏内部网络结构。它不仅进行内容检查,还能防御恶意代码,提供了较高的安全性,但可能影响网络性能。
-
下一代防火墙(Next-Generation Firewall, NGFW):NGFW结合了传统防火墙的功能和更先进的技术,如入侵检测与防御系统(IDS/IPS)和应用识别。这使其能够防御复杂的攻击,提供全面的网络保护。
-
Web应用防火墙(Web Application Firewall, WAF):WAF专门针对Web应用程序的安全问题,如SQL注入和跨站脚本(XSS)。它能够深入分析HTTP/HTTPS流量,提供针对Web应用的防护,确保在线业务的安全性。
3、netfilter 和 iptables 的关系
①、netfilter
netfilter:属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。1inux 好多东西都是内核态 用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
②、iptables
iptables·:属于"用户态"(User space,又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、
nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
二、iptables的表、链结构
1、iptables四表五链结构介绍
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源前往某些目的或具有某些协议特征的数据包应该如何处理。
为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机
其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链
2、四表
四表依次顺序:raw、mangle、nat、filter
表 | 主要用途 | 链 |
---|---|---|
raw | 决定是否对数据包进行状态跟踪 | OUTPUT、PREROUTING |
mangle | 修改数据包内容,用于流量整形 | OUTPUT、FORWARD、PREROUTING、POSTROUTING |
nat | 网络地址转换,修改数据包的源/目标IP地址或端口 | OUTPUT、PREROUTING、POSTROUTING |
filter | 过滤数据包,确定是否放行 | INPUT、FORWARD、OUTPUT |
注:在iptables的四个规则表中,mangle表和raw表的应用相对较少
3、五链
五链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
链 | 主要用途 |
---|---|
INPUT | 处理入站数据包,匹配目标 IP 为本机的数据包。 |
OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
FORWARD | 处理转发数据包,匹配流经本机的数据包。 |
PREROUTING | 在进行路由选择前处理数据包,用来修改目的地址,用来做 DNAT。相当于把内网服务器的 IP 和端口映射到路由器的外网 IP 和端口上。 |
POSTROUTING | 在进行路由选择后处理数据包,用来修改源地址,用来做 SNAT。相当于内网通过路由器 NAT 转换功能实现内网主机通过一个公网 IP 地址上网。 |
4、数据包过滤的匹配流程
4.1、规则表的应用顺序
raw->mangle->nat->filter
4.2、规则链的匹配顺序
主机型防火墙:
数据包直接进入到防火墙所在的服务器的内部某一个应用程序当中,是不是我只是路过服务器吧,是直接进入到服务
入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING -->INPUT -->本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序-->OUTPUT-->POSTROUTING
网络型防火墙:
转发数据(需要经过防火墙转发的数据包):PREROUTING-->FORWARD-->POSTROUTING
三、iptables语法格式
1、iptables 基本语法
- 语法构成:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
其中,表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表;
- 管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等;
- 匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;
- 控制类型指的是数据包的处理方式,如允许、拒绝、丢弃等。
注意事项:
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
2、iptables 数据包控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中,最常用的几种控制类型如下。
注:需要大写
操作 | 说明 |
---|---|
ACCEPT | 允许数据包通过。 |
DROP | 直接丢弃数据包,不给出任何回应信息。 |
REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应信息。 |
LOG | 在 /var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。 |
SNAT | 修改数据包的源地址。 |
DNAT | 修改数据包的目的地址。 |
MASQUERADE | 伪装成一个非固定公网IP地址。 |
防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助 动作,并没有真正处理数据包。
3、iptables 命令的常用管理选项
管理选项 | 用法示例 |
---|---|
-A | 在指定链末尾追加一条 iptables -A INPUT (操作) |
-I | 在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT (操作) |
-P | 指定默认规则 iptables -P OUTPUT ACCEPT (操作) |
-D | 删除 iptables -t nat -D INPUT (操作) |
-R | 修改、替换某一条规则 iptables -t nat -R INPUT (操作) |
-L | 查看 iptables -t nat -L (查看) |
-n | 所有字段以数字形式显示(比如任意IP地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n , iptables -nL , iptables -vnL (查看) |
-v | 查看时显示更详细信息,常跟-L一起使用 iptables -L -v (查看) |
--line-number | 规则带编号 iptables -t nat -L -n --line-number / iptables -t nat -L --line-number |
-F | 清除链中所有规则 iptables -F (操作) |
-X | 清空自定义链的规则,不影响其他链 iptables -X |
-Z | 清空链的计数器(匹配到的数据包的大小和总和) iptables -Z |
-S | 查看链的所有规则或者某个链的规则/某个具体规则后面跟编号 |
iptables各字段解读
- pkts:对应规则匹配到的报文的个数。
- bytes:对应匹配到的报文包的大小总和。
- target:规则对应的target,往往表示规则对应的"动作",即规则匹配成功后需要采取的措施。
- prot:表示规则对应的协议,是否只针对某些协议应用此规则。
- opt:表示规则对应的选项。
- in:表示数据包由哪个接口(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。
- out:表示数据包由哪个接口(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。
- source:表示规则对应的源头地址,可以是一个IP,也可以是一个网段。
- destination:表示规则对应的目标地址。可以是一个IP,也可以是一个网段。
- packages:匹配到的包数量
- bytes:匹配到的总字节数
四、iptables具体操作
1、iptabes 安装·
CentOS7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables
1.1、关闭firewalld防火墙
systemctl stop firewalld.service //关闭防火墙
systemctl disable firewalld.service //开机自关闭防火墙
systemctl status firewalld.service //查看防火墙状态
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]#
[root@localhost ~]# systemctl disable firewalld.service
[root@localhost ~]#
[root@localhost ~]# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:firewalld(1)
7月 04 09:50:33 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
7月 04 09:50:34 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: ICMP type 'beyond-scope' is not supported by the kernel for ipv6.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: beyond-scope: INVALID_ICMPTYPE: No supported ICMP type., ignori...-time.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: ICMP type 'failed-policy' is not supported by the kernel for ipv6.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: failed-policy: INVALID_ICMPTYPE: No supported ICMP type., ignor...-time.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: ICMP type 'reject-route' is not supported by the kernel for ipv6.
7月 04 09:50:35 localhost.localdomain firewalld[783]: WARNING: reject-route: INVALID_ICMPTYPE: No supported ICMP type., ignori...-time.
7月 04 09:53:40 localhost.localdomain systemd[1]: Stopping firewalld - dynamic firewall daemon...
7月 04 09:53:41 localhost.localdomain systemd[1]: Stopped firewalld - dynamic firewall daemon.
Hint: Some lines were ellipsized, use -l to show in full.
[root@localhost ~]#
1.2、安装iptables 防火墙
yum -y install iptables iptables-services //安装iptables软件
systemctl start iptables.service //开启软件
systemctl enable iptables.service //开机自启动
[root@localhost ~]# yum -y install iptables iptables-services
已加载插件:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
正在解决依赖关系
--> 正在检查事务
---> 软件包 iptables.x86_64.0.1.4.21-35.el7 将被 安装
---> 软件包 iptables-services.x86_64.0.1.4.21-35.el7 将被 安装
--> 解决依赖关系完成
依赖关系解决
========================================================================================================================================
Package 架构 版本 源 大小
========================================================================================================================================
正在安装:
iptables x86_64 1.4.21-35.el7 base 432 k
iptables-services x86_64 1.4.21-35.el7 base 52 k
事务概要
========================================================================================================================================
安装 2 软件包
总下载量:485 k
安装大小:1.5 M
Downloading packages:
(1/2): iptables-services-1.4.21-35.el7.x86_64.rpm | 52 kB 00:00:00
(2/2): iptables-1.4.21-35.el7.x86_64.rpm | 432 kB 00:00:01
----------------------------------------------------------------------------------------------------------------------------------------
总计 465 kB/s | 485 kB 00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
正在安装 : iptables-1.4.21-35.el7.x86_64 1/2
正在安装 : iptables-services-1.4.21-35.el7.x86_64 2/2
验证中 : iptables-1.4.21-35.el7.x86_64 1/2
验证中 : iptables-services-1.4.21-35.el7.x86_64 2/2
已安装:
iptables.x86_64 0:1.4.21-35.el7 iptables-services.x86_64 0:1.4.21-35.el7
完毕!
[root@localhost ~]#
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]#
[root@localhost ~]# systemctl enable iptables.service
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
2、iptables查看规则列表
查看已有的防火墙规则时,使用管理选项“-L”,结合“--line-numbers”选项还可显示各条规则在链内的顺序号。
iptables [-t表名] -n -L [链名] |[-- line-numbers]
或
iptables - [vn]L
#注意:不可以合写为-Ln
[root@localhost ~]#iptables -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT icmp -- anywhere anywhere
3 ACCEPT all -- anywhere anywhere
4 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
5 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
161 10932 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
30 3884 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 127 packets, 9388 bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]#
当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。
例如,若要以数字地址形式查看 filter 表INPUT 链中的所有规则,可以执行以下操作
iptables -nL INPUT
[root@localhost ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[root@localhost ~]#
3、iptables添加新的规则
添加新的防火墙规则时,使用管理选项“-A”、“-I”,前者用来追加规则,后者用来插入规则。
- 在 filter 表 INPUT 链的开头添加一条防火墙规则
//在第一条插入一条新的
[root@localhost ~]#
[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -vnL
- 在 filter 表 INPUT 链的末尾添加一条防火墙规则
[root@localhost ~]#
[root@localhost ~]# iptables -t filter -A INPUT -p icmp -j REJECT
[root@localhost ~]# iptables -vnL
4、iptables删除、清空规则
删除一条防火墙规则时,使用管理选项“-D”。
第二种写法
iptables -t filter -D INPUT -p icmp - j REJECT
清空指定链或表中的所有防火墙规则,使用管理选项“-F”。
[root@localhost ~]# iptables -F INPUT
注意:
- 1.若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
- 2.按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
- 3.按内容匹配删数时,确保规则存在,否则报错
使用管理选项“-F”时,允许省略链名而清空指定表所有链的规则。
例如,执行以下操作 分别用来清空 filter 表、nat 表、mangle 表:
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]# iptables -t mangle -F
注意:
- 1、-F仅仅是清空链中的规则,并不影响-P设置的默认规则,默认规则需要手动进行修改
- 2、-P设置了DROP后,使用-F 一定要小心!防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决
- 3、如果不写表名和链名,默认清空filter表中所有链里的所有规则
5、iptables设置默认策略
iptables 的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略。默认策略的控制类型为 ACCEPT(允许)、DROP(丢弃)两种。
- 格式
iptables [-t表名] -P <链名> <控制类型>
- 需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。因此若要修改默认 策略,必须通过管理选项“-P”重新进行设置。另外,默认策略并不参与链内规则的顺序编排, 因此在其他规则之前或之后设置并无区别。
6、iptables规则的匹配条件
在编写防火墙规则时,匹配条件的设置起着决定性的作用。只有清晰、准确地设置好匹配条件,防火墙才知道要对符合什么条件的数据包进行处理,避免“误杀”。对于同一条防火墙规则,可以指定多个匹配条件,表示这些条件必须都满足规则才会生效。根据数据包的各种特征,结合iptables的模块结构。
匹配条件的设置包括三大类:
- 通用匹配、
- 隐含匹配、
- 显式匹配。
6.1、通用匹配
通用匹配也称为常规匹配,这种匹配方式可以独立使用,不依赖于其他条件或扩展模块。 常见的通用匹配包括协议匹配、地址匹配、接口匹配。
协议匹配: -p 协议名
地址匹配:-s 源地址、-d目的地址
接口匹配: -i入站网卡、-o出站网卡
[root@localhost ~]#
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT
[root@localhost ~]#
[root@localhost ~]# iptables -A INPUT -s 172.16.88.22 -j DROP
[root@localhost ~]#
[root@localhost ~]# iptables -I INPUT -i ens33 -s 172.16.88.0/24 -j DROP
[root@localhost ~]#
6.2、隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。
端口匹配:
- sport ——源端口
- dport ——目的端口
也可以是个别端口、端口范围
例如:
- --sport 1000 匹配源端口是1000的数据包
- --sport 1000:3000 匹配源端口是1000-3000的数据包
- --sport :3000 匹配源端口是3000及以下的数据包
- --sport 1000: 匹配源端口是1000及以上的数据包
注意: --sport和--dport 必须配合-p <协议类型>使用
[root@localhost ~]#iptables -A INPUT -p tcp --sport 1000:3000 -j REJECT
[root@localhost ~]#
[root@localhost ~]#iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]#
[root@localhost ~]#iptables -I FORWARD -d 172.16.88.0/24 -p tcp --dport 24500:24600 -j DROP
[root@localhost ~]#
[root@localhost ~]#iptables -A FORWARD -s 172.16.88.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]#
[root@localhost ~]#iptables -A FORWARD -d 172.16.88.0/24 -p udp --sport 53 -j ACCEPT
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#