iptables和snort基本配置

已于 2022-06-18 19:17:33 修改
阅读量1.4k 收藏 2
点赞数 1
文章标签: 网络 linux ubuntu
于 2022-06-18 12:49:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SimoSimoSimo/article/details/125345759
版权

一、实验内容

  • iptables基础知识点
  • iptables基本配置
  • iptables配置实操
  • snort安装
  • snort嗅探模式
  • snort数据包记录模式
  • snort网络入侵检测模式

二、实验方法

1、使用工具
  • Kali
  • Ubuntu
  • Metasploitable2
  • iptables
  • snort
2、实验目标
  • iptables基本配置与使用
  • snort三种模式配置与使用
3、实验方法
  • 配置iptables并模拟数据包交互,检查iptables配置是否生效
  • 使用三种方式配置snort,写snort规则配置文件,开始入侵检测并记录日志和报警

三、实验过程

iptables基础知识点

iptablesLinux系统自带的一个包过滤防火墙的管理工具,他可以实现很多专业的数据包过滤重定向NAT功能

iptables管理着四个规则表Tables)以及五个Chains),规则表是用来设定网络管理相关的规则,是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则

规则表(Table)

  • Filter表:用来过滤数据包

    • INPUT
    • FORWARD
    • OUTPUT

  • Nat表:用于网络地址转换

    • PREROUTING
    • POSTROUTING
    • OUTPUT

  • Mangle表:对指定的数据包进行修改,例如更改TTL,很少使用

    • PREROUTING
    • POSTROUTING
    • INPUT
    • OUTPUT
    • FORWARD

  • Raw表:决定数据包是否被状态跟踪机制处理,很少使用

    • OUTPUT
    • PREROUTING
规则链(CHAIN)
  • INPUT:进来的数据包应用此规则链中的策略
  • OUTPUT:外出的数据包应用此规则链中的策略
  • FORWARD:转发数据包时应用此规则链中的策略
  • PREROUTING:对数据包作路由选择前应用此链中的规则(所有的数据包都最先由这个链处理)
  • POSTROUTING:对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
iptables基本配置
iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作]

iptables的配置命令确实比较复杂,这里我分五个部分

表名(table)

-t 后加的可指定的规则表名,不是必选项,如果没有这个参数则默认为Filter表,这里的参数上面已经说过了,filter表、Nat表、Mangle表和Raw

命令选项(command)
对链的命令:
  • -N:新建一条用户自己定义的规则链
  • -X:删除指定表中用户自定义的规则链
  • -F:清空一条链,默认清空表中所有链
  • -Z: 清空计数器,每条规则默认有两个计数器,用于记录本条规则所匹配到的数据包的个数和本条规则所匹配到的数据包的总大小
  • -P:设置指定链的默认策略
  • -E:重命名用户定义的链,不改变链本身
对规则的命令:
  • -A:在指定链的末尾添加(append)一条新的规则
  • -I:在指定链中插入(insert)一条新的规则,默认在第一行添加,一般使用 -I CHAIN NUM 给规则加一个编号
  • -R:修改、替换(replace)某条规则,规则被替换并不会改变顺序,需要指定替换的规则编号:-R CHAIN NUM
  • -D:删除(delete)一条规则,可以输入完整规则,或者直接指定标号加以删除:-D CHAIN NUM
查看的命令:
  • -L:列出(list)指定链中所有的规则进行查看
  • -n:使用数字形式(numeric)显示输出结果,不加这个默认显示主机名称
  • -v:查看规则表详细信息(verbose)的信息,v越多越详细
  • -x:显示原有信息,不要做单位换算
  • –line-number:显示规则的行号
链名(CHAIN)

必选项,参数上面也说过了,INPUTOUTPUTFORWARDPREROUTINGPOSTROUTING

条件匹配参数(parameter)
  • -s,–src,–source:匹配数据包的源地址
  • -d,–dst,–destination 匹配数据包的目标地址
  • -i:指定数据包的流入接口(逻辑接口)
  • -o:指定数据包的流出接口
  • -p:做协议匹配,参数可以是TCPUDPICMP
  • -m:匹配一些特定的规则
  • –sport:指定源端口
  • –dport:指定目的端口
  • –tcp-flags:指定TCP的标志位(SYN,ACK,FIN,PSH,URG,RST,ALL,NONE)
  • !:对规则的条件取反
目标动作(target)

-j 后可以加上对目标的动作,一般分为七种,前四种就是对数据包最常见的动作

  • ACCEPT 允许数据包通过
  • DROP 直接丢弃数据包,不给任何回应信息
  • REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息
  • LOG/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则
  • SNAT 源地址转换
  • DNAT 目标地址转换
  • REDIRECT 端口重定向
iptables配置实操

我们这次实验用到了UbuntuMetasploitableKali三台机子,我们先把三台机子的IP地址,端口和mac地址之类的信息查清楚

image-20220617024051832

image-20220617024125673

image-20220618000506773

#Kali
192.168.85.128     //IP
00:0c:29:79:29:c1  //MAC
eth0               //网卡接口

#Ubuntu
192.168.85.131     //IP
00:0c:29:17:f4:8c  //MAC
ens33              //网卡接口

#Metasploitable
192.168.85.132     //IP
00:0c:29:3a:d3:2f  //网卡接口
查看iptables规则

首先我们先用 iptables -L 默认查看filter里面三个链里面的规则

刚开始啥也没有很正常

image-20220617233033496

添加ICMP过滤

我们添加最简单的一个过滤规则,我们在INPUT链里面对所有的ICMP包都做了REJECT处理

iptables -I INPUT -p icmp -j REJECT

image-20220617234029727

此时我们在Kaliping一下Ubuntu,发现ping不通,而且有明确的unreachable提示

image-20220617234208028

我们用命令 iptables -F INPUT 把规则清空,然后再在INPUT里面加一个DROP动作的规则

iptables -I INPUT -p icmp -j DROP

image-20220617234452915

我们继续用Kaliping一下,发现这次没任何回显,而是所有的包全丢了,没有任何回应

image-20220617235510292

添加白名单过滤

我们转到Metasploitable网站服务器上进行iptables的配置,加一个只允许Kali访问的白名单

iptables -A INPUT -s 192.168.85.128 -j ACCEPT
iptables -A INPUT -j DROP

image-20220618002823222

我们用Kali访问,正常可以访问

image-20220618002921575

我们用Ubuntu访问,结果页面打不开了

image-20220618003045782

添加扫描器过滤

在开始之前我们用Kali扫一下靶机,一切正常

image-20220618011815201

我们为了防止nmap这类扫描器的扫描,可以加上这么一条规则,这里的 --tcp-flags 是用于配置我们要匹配的标志位的,我们可以把这串字符拆成两部分去理解,第一部分为SYN,ACK,FIN,RST,第二部分为RST

第一部分表示:我们需要匹配报文tcp头中的哪些标志位,那么上例的配置表示,我们需要匹配报文tcp头中的3个标志位,这3个标志位分别为为SYNACKFIN,我们可以把这一部分理解成需要匹配的标志位列表

第二部分表示:第一部分的标志位列表中,哪些标志位必须为1,上例中,第二部分为SYN,则表示,第一部分需要匹配的标志位列表中,SYN标志位的值必须为1,其他标志位必须为0

有的时候防止扫描器还有一种办法,后面的参数匹配用到 -m,后面match的规则是 --limit 1/s 也就是一秒只允许一个包,在某些情况下这样也可以有效组织扫描器

iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN SYN -j REJECT

image-20220618011704533

nmap默认是用 -sS 模式进行扫描,而SYN这种扫描方式已经被我们给REJECT

这个时候我们去Kalinmap扫描一下靶机,发现已经无法出结果了,而且显示的是很明确的unreach

image-20220618012046292

保存iptables配置

我们配置完规则之后,想要保存配置,怎么办呢?

//保存配置
iptables-save > /etc/network/iptables.rules

//载入配置
iptables-restore < /etc/network/iptables.rules

实际上我们还有另外一种更常用的办法 service iptables save,当我们使用这个命令之后,他会把规则自动保存在 /etc/sysconfig/iptables 中,当重新启动时,会有脚本用命令 iptables-restore 调用这个文件,自动恢复了规则配置,但是Ubuntu因为版本的原因,在iptables服务上有些不兼容,所以不能用

我们先在Ubuntu上写几条规则

image-20220618013038237

然后保存

image-20220618014119876

重新启动之后,再看看规则,发现已经没有了

image-20220618013937508

没事,我们从保存的地方重新载入,再看已经全部恢复了

image-20220618014024951

snort安装

由于我是在自己的虚拟机Ubuntu上做的实验,需要重新下载snort,我的Ubuntuv20.04版本,安装的snort版本是v2.9.20,其对应的daq版本是daq_v2.0.7

下面贴出安装总共用到的命令,只要版本一致应该能百分比安装成功

sudo apt-get update
sudo apt-get install flex
sudo apt-get install bison
sudo apt-get install aptitude
sudo aptitude install libpcap-dev
sudo apt-get install automake
sudo /sbin/ldconfig -v
aptitude install libpcre3-dev
aptitude install libdumbnet-dev
aptitude install zlib1g-dev
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar xvzf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure && make && sudo make install
wget https://www.snort.org/downloads/snort/snort-2.9.16.tar.gz
tar xvzf snort-2.9.16.tar.gz
cd snort-2.9.16
./configure --disable-open-appid --enable-sourcefire && make && sudo  make install
sudo /sbin/ldconfig -v
snort嗅探模式

嗅探模式其实有点像是tcpdump的一般模式,是把嗅探到的包信息直接打印在屏幕上

我们在Kaliping靶机的IP

image-20220618103032295

与此同时,snort -v 这个命令可以让snort在屏幕上只输出IP和TCP/UDP/ICMP的包头信息

image-20220618103156894

如果我们还想要显示包的数据信息,可以加一个 -d

比如我们使用 snort -vd,此时就可以在屏幕上看到数据包的内容

image-20220618103607322

如果我们还想看数据链路层的信息,可以使用 snort -dev

image-20220618103835400

snort数据包记录模式

纯嗅探模式说实话,只是在某些特定情况下快速测试用的,正常情况下,我们更实用的场景是把嗅探的数据全记录下来

我们可以用 -l 命令来把日志存到一个目录下,比如 -l ./log 注意,这个 ./log 目录必须存在,不然snort会报错

image-20220618105812357

我们去设定的目录下面看看,看到日志已经写进去了

image-20220618105925499

想要重新阅读日志也很方便,我们使用 -r 指定日志就可以重新用snort再看一遍当时的数据包了,而且如果你可以指定看的内容,比如你只想看包头,你可以这样

snort -v -r /home/cyc1ops/log/snort.log.1655521077

image-20220618110207426

有的时候你想区分一下本地主机的网络,可以用 -h 指定一下本地网络,当然,我这里不管是靶机还是扫描机,全是局域网内的,所以这个命令基本没用

snort -l /home/cyc1ops/log -b

我们还可以换一种格式进行记录 -b 即使用二进制模式记录数据包,这种格式也就是tcpdump所采用的格式

因此我们可以用tcpdump来打开这个日志文件

image-20220618112829681

snort网络入侵检测模式

我们可以使用 -c 指定特定的配置文件比如 snort.conf 来启动snort的入侵检测系统(Network Intrusion Detection Mode)即NID mode,snort.conf 里面大概长这样

image-20220618114255269

当然,这里我们自己写一个 test.conf

image-20220618122759720

alert icmp any any -> 192.168.85.0/24 any (content:"|11 12 13 14|"; msg: "someone ping cyc1ops!"; sid:1000000900)

下面逐一解释

规则头

就比如第一个alert,表示出现了后面匹配的包之后,要采取什么动作

  • Alert-使用选择的报警方法生成一个警报,然后记录(log)这个包。
  • Log-记录这个包。
  • Pass-丢弃(忽略)这个包。
  • activate-报警并且激活另一条dynamic规则。
  • dynamic-保持空闲直到被一条activate规则激活,被激活后就作为一条log规则执行。
协议

我这里的icmp就是一种数据包协议,响应的还有tcpudpicmpip

IP地址

any any -> 192.168.85.0/24 any 这部分分成前面和后面两部分,中间用 -> 连接

前面一部分的 any any 指的就是任何来源的ip地址的任何端口

中间的 -> 表示数据流的方向,规则文件其实还可以用 <> 来表示双向流

最后一部分和第一部分其实是一个道理,目的地址是 192.168.85.0/24any 端口

规则选项

括号内的就是规则选项了,规则选项部分中冒号前的单词称为选项关键字,比如这里的contentmsg,规则选项并不是必选项

我这里的意思就是如果数据内容匹配到符合 |11 12 13 14| 的时候就alert一条报警,发送的消息就是 someone ping cyc1ops!

后面的sid是新版本必须要加的东西,表示规则的序号,听说老版本就不用加这个,一般sid<100的不能乱用,是保留用的

那我们开始实验

snort -d -l /home/cyc1ops/log/ -c /home/cyc1ops/test/rules/test.conf

image-20220618122900413

与此同时我们用Kali开始ping靶机

在关闭入侵检测系统之后,我们看到日志目录里面已经多了一个alert文件

image-20220618123030232

点进去看看,发现我们设置的规则成功执行了,alert发送的信息就是 someone ping cyc1ops!

image-20220618123100312

四、实验小结

iptablessnort都是非常经典的运维工具,熟悉掌握对包过滤防火墙的配置,以及如何去看懂报警,设置报警,都是运维技术的基本功

[l_l]
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
snort 联动iptables 配置为IPS,NIDS
Geikon的博客
03-30 4031
一、环境准备 Ubuntu16.10,snort2.9.9,iptables1.6.0,daq-2.0.6二、snort安装 首先关掉网卡的“Large Receive Offload” (lro) and “Generic Receive Offload” (gro). 看snrot手册: Some network cards have features named “Large Rec
iptables基本配置
记录创业路上的一些想法
11-23 2337
基本操作      列出现有iptables策略    iptables -L      插入一条策略    iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT    注释:所有使用TCP协议并且目标端口是22的流量全部允许通过的顺序为3的策略        删除一条策略    iptables -D INPUT 3        删除所有策略(临时
Netfilter/iptablesSnort联动的实现
03-12
Netfilter/iptablesSnort联动的实现,李国栋,,各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而建立一个全方位的防御体系。联动是今后安全技术发展的一个方向。本�
linux 防火墙(服务iptablessnortd)
他的专栏
06-19 569
chkconfig iptables offchkconfig snortd off
snortiptables联动测试
最新发布
qq_53596623的博客
04-25 1637
主要记录自己实验的,部分文件位置和命令因为安装情况不一样,根据自己情况改了。
snort.iptables(nat,proxy)规则形式
u013240812的专栏
06-21 490
snort规则形式 http://blog.csdn.net/yygydjkthh/article/details/21765259 iptables规则形式 iptables规则形式
Snort与防火墙Iptables联动
有理论,有实验,有结论,可为一篇文章
01-20 7243
Snort简述 Snort是一个强大的轻量级网络入侵检测系统,它能够检测到各种不同的攻击方式,对攻击进行实时报警。此外,Snort具有很好的扩展性和可移植性,并且这个软件遵循GPL,这意味着只要遵守GPL的任何组织和个人均可以自由使用这个软件。 Snort具有实时流量分析和日志IP网络数据包的能力,能够快速地检测网络攻击,及时地发出报警。Snort的报警机制很丰富,例如:Syslog、用户指定的文...
阿里云服务器snort+guardian防护环境搭建
路漫漫其修远兮
05-28 2732
下面是故障过程原始版(归纳总结版请下载附件链接) 一:服务器被攻击后解决措施 获取攻击程序对应的源IP地址 清空定时扫描任务 清空异常ssh key Redis设置密码访问(可选,待防御系统建立后可以不用修改密码) 二:安装snort,防御检测 yum install https://www.snort.org/downloads/snort/snort-2.9.16-1.centos7.x86_64.rpm yum install libdnet shell输入snort...
iptables的内核配置
阿Sir问道
05-26 2694
CONFIG_PACKET - 允许程序直接访问网络设备(译者注:最常用的就是网卡了),象tcpdump 和 snort就要使用这个功能。 严格地说,iptables并不需要CONFIG_PACKET,但是它有很多用处(译者注:其他程序需要),所以就选上了。当然,你不想要,不选就是了。(译者注:建议还是选的为好) CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的,因为整篇文章都要用到这个功能。我想你也需要这个,谁叫你学iptables呢:) 当然,你要给网络设备安装正确的
snort 实验
qq_28938301的博客
05-18 495
报的错大意是找不到黑白名单的文件,而在snort.conf文件中可以看到系统找寻的路径是在rules文件夹下,所以在rules文件夹内新建white_list.rules和black_list.rules即可,而以后如果要使用黑白名单的功能时只需对这两个文件进行写入即可。IDS 模式运行时会创建一些目录,本文配置文件储存在 /etc/snort 中(要先根据自己安装的设置进行路径定位),规则储存在 /etc/snort/rules中,日志粗存在 /var/log/snort 中,
iptables基础-配置iptables
weixin_41951170的博客
04-20 332
配置iptables配置iptables 配置iptables centos7以上版本,默认防火墙为firewall,需要将fairewall关闭后开启iptables,如下为配置步骤及命令。 查看firewall状态并关闭 查看防火墙状态 [root@hostname ~]#firewall-cmd --state running 关闭firewall [root@hostname ~]#sy...
SnortIptables+Guardian构建主动防火墙.pdf
07-04
SnortIptables+Guardian构建主动防火墙.pdf
Linux下集成IptablesSnort构筑安全防护体系
05-08
Linux下集成IptablesSnort构筑安全防护体系
SnortIptables+Guardian构建主动防火墙.zip
04-16
SnortIptables+Guardian构建主动防火墙.zip
CentOS-snort+guardian详细安装方法
06-12
详细实验指导,CentOS上手动安装snort+guardian,配置完成后用xscan模拟入侵,观察snort日志和guardian联动iptables行为
commands executor for snort output-开源
05-07
1. **配置Snort**:确保Snort配置文件中包含了正确的输出插件,使得Snort的日志格式适合"snortlog2cmd"解析。可能需要设置自定义的输出格式或者使用预定义的命令行输出。 2. **编写命令脚本**:根据Snort的告警信息...
Ubuntu Server - 权威网站和经典书籍
03-19
4. 安全强化:学习如何通过防火墙(ufw或iptables)保护服务器、配置SSH安全、安装和使用入侵检测系统(如Snort)以及安全审计。 5. 虚拟化技术:提及的"VMware Workstation 7 keygen.exe"可能是指使用虚拟机软件...
2009-2017年系统架构师真题和答案详解
04-27
3. 防火墙与入侵检测:防止非法访问和攻击,如iptablesSnort。 4. 安全编码:避免SQL注入、XSS攻击等,使用OWASP安全编码指南。 五、可扩展性与容错性 1. 水平扩展:通过增加硬件资源来提高处理能力。 2. 垂直...
基于Snortiptables的联动网络安全防护平台设计
作者首先概述了平台的基本结构,然后逐步介绍了如何安装和配置Snortiptables,以及如何利用Guardian进行平台的管理和配置。攻击测试部分则是验证平台性能和有效性的重要环节,通过模拟实际攻击,测试联动防护的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值