一,概念
1,容器:包含或者说属于的关系
2,Netfilter/iptables是表的容器,iptables包含的各个表:filter(如不指定参数,默认为filter) / NAT / MANGLE / RAW(少用)
3,ptables的表又是链的容器
链:INPUT / OUTPUT / FORWARD / PREROUTING / POSTROUTING
4,链是规则的容器
5,规则:一条条过滤的语句
二,iptables表(tables)和链(chains)的对应关系
|
表(tables)
|
链(chains)
| ||||
| INPUT | FORWARD | OUTPUT | PREROUTING | POSTROUTING | |
|
FILTER
|
YES
|
YES
|
YES
|
NO
|
NO
|
|
NAT
|
NO
|
NO
|
YES
|
YES
|
YES
|
|
MANGLE
|
YES
|
YES
|
YES
|
YES
|
YES
|
三,filter表
强调:主要和主机自身有关,真正负责主机防火墙功能(过滤流入流出主机的数据包),filter表是iptables默认使用的表。企业工作场景:主机防火墙。
定义了三个链(Chains),强调:对于filter表的控制是我们实现本机防火墙功能的重要手段,特别是对INPUT链的控制:
INPUT:负责过滤所有目标地址是本机地址的数据包。通俗的讲,就是过滤进入主机的数据包。
FORWARD:负责转发经主机的数据包。起转发的作用,和NAT关系很大;LVS NAT模式;net.ipv4.ip_forward=0
OUTPUT:处理所有源地址是本机地址的数据包,通俗的讲,就是处理从主机发出去的数据包。
四,NAT表:
负责网络地址转换,即来源与目的IP地址和port的转换。应用:和主机本身无关,应用:局域网共享上网 或 特殊的端口转换服务(端口映射,访问外网IP指定端口就能访问内网某IP指定的端口)
NAT 功能一般企业工作场景:
1)用于做企业路由(zebra)或网关(iptables),共享上网(POSTROUTING)
2)做内部外部IP地址一对一映射(dmz),硬件防火墙映射IP到内部服务器,ftp服务(PREROUTING)
3)web单个端口的映射,nat功能相当于网络的acl控制。和网络交换机acl类似
OUTPUT:和主机发出去的数据包有关。改变主机发出去数据包的目标地址。
PREROUTING:在数据包到达防火墙时进行路由判断之前执行的规则,作用是改变数据包的目的地址、目的端口等;例如:把公网IP:124.42.60.113映射到局域网的10.0.0.19服务器上,如果是web服务,可以把80转为局域网的服务器上9000端口;
POSTROUTING:在数据包离开防火墙时进行路由判断之后执行的规则,作用是改变数据包的源地址、源端口等,例如:我们现在的笔记本和虚拟机都是10.0.0.0/24,就是出网的时候被我们企业路由器把源地址改成了公网地址了。生产应用:局域网共享上网
五,mangle:略~
六,iptables的工作流程
iptables是采用数据包过滤机制工作的,所以它会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则来进行匹配,来决定是否可以进入主机。
数据包的流向是从左向右的(如果匹配DROP或Accept后,则不再往下走了;反之,往下一条规则进行判断):
小结:
1、防火墙是层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的
2、如果匹配上规则,则明确表明是阻止还是通过,数据包就不再往下匹配新的规则了
3、如果规则中没有明确表明是阻止还是通过,则就是没有匹配规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过
4、防火墙默认规则是对应链的所有的规则执行完才会执行的
七,iptables表和链工作的流程图
八,参数命令讲解
1,防火墙开启
/etc/init.d/iptables start
防火墙状态
/etc/init.d/iptables status
iptables -L -n
lsmod | egrep "nat|filter|ipt" #查看内核是否载入nat , filter , ipt模块
#内核载入模块
modprobe ip_tables
modprobe iptables_filter
modprobe iptables_nat
modprobe ip_conntrack
modprobe ip_conntrack_fpt
modprobe ip_nat_ftp
modprobe ipt_state
2,清除规则
-F :清楚所有规则,不会处理默认的规则
-X :删除用户自定义的链(不讲)
-Z :链的计数器清零
3,禁止规则
#禁止ssh端口
(1)找出当前机器SSH端口
netstat -lntup | grep ssh
(2)禁止当前SSH端口,这里是22
语法:
iptables -t [table] -[AD] chain rule-specification [options]
具体命令:
iptables -A INPUT -p tcp --dport 22 -j DROP # -A 附加到最后 ; -I 放到最前; -D 清除
iptables -t fileter -A INPUT -p tcp --dport 22 -j DROP # -A 附加到最后 ; -I 放到最前; -D 清除
注意:
a、iptables默认用的就是filter表,因此上面2条命令等价
b、其中的INPUT DROP 要大写
c、 --jump -j target
target for rule (may load target extension)
基本的处理行为:ACCEPT(接受) 、 DROP(丢弃) 、 REJECT(拒绝)
比较:DROP好于REJECT
d、命令行执行的规则,仅仅在内存里临时生效
(3) iptables -L -n --line-numbers # 显示规则的行号,方便后面快捷删除规则,例如: iptables -D INPUT 1
4,禁止源地址
禁止10.0.0.0网段连入
iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP # 禁止10.0.0.0/24 网段 通过eth0 入口,链接到本机 # -i 进入的接口
iptables -A INPUT -i eth0 -s 10.0.0.7 -j DROP # 禁止10.0.0.7 通过eth0 入口,链接到本机
iptables -A INPUT -i eth0 ! -s 10.0.0.7 -j DROP # 除10.0.0.7可以链接到本机外,禁止 其他IP 通过eth0 入口,链接到本机
5,禁PING
iptables -I INPUT -p icmp --icmp-type 8 -i eth0 -j DROP
6,封端口范围
iptables -A INPUT -p tcp --sport 22:80
iptables -I INPUT -p tcp -m multiport ---dprot 31,22,23,24 -j DROP
7,匹配网络状态
-m state --state
NEW:已经或将启动新的链接
ESTABLISHED:已建立的链接
RELATED:正在启动新链接
INVALID:非法或无法识别的
FTP服务是特殊的,需要配状态链接
#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
8,包的速率进行控制
-m limit --limit
九,生产环境实战 主机防火墙,总原则:默认不能进
1,清除旧的规则
iptables -F # 删除所有规则
iptables -X # 删除自定义链
iptables -Z # 计数器清零
2,让自己人能通过
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
3,允许本机回环接口进和出
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
4,设置默认的防火墙禁止和允许的规则(重要,配置后需要重启iptables,就像电影院,默认不允许随便进,但允许出)
设置默认DROP掉FORWARD,INPUT链,允许OUTPUT链
iptables --policy INPUT DROP # -P 等价于 --policy
iptables -P OUTPUT ACCEPT
iptables --policy FORWARD DROP
5,允许IDC LAN / WAN和办公网IP的访问,及对外合作机构的合法的进入:
iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT
iptables -A INPUT -s 203.83.24.0/24 -p all -j ACCEPT
iptables -A INPUT -s 201.82.34.0/24 -p all -j ACCEPT
6,允许业务服务端口对外访问(允许http服务无条件通过)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
7,允许PING主机(如果不允许就不执行)
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#如果对内开,对外不开
iptables -A INPUT -p icmp -s 192.168.11.0/24 -m icmp --icmp-type any -j ACCEPT
8,允许关联的状态包通过(WEB服务不要使用FTP服务)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
9,扫描开发的端口
nmap IP地址 -p 1-65535
10,自定义链处理syn攻击
iptables -N syn-flood
iptables -A INPUT -i eth0 -syn -j syn-flood
iptables -A syn-flood -m limit -limit 5000/s -limit-burst 200 -j RETURN
iptables -A syn-flood -j REJECT
十,保存规则到文件,永久有效
/etc/init.d/iptables save # 保存规则到 /etc/sysconfig/iptables,在此文件中进行规则修改调整等(不用命令行,命令行重启防火墙将失效)
十一,从192.168.18.20的16888端口,通过18.20的NAT 转发到另外一台机10.221.162.26的6891端口:
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 16888 -j DNAT --to-destination 10.221.162.26:6891
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 10.221.162.26 -p tcp -m tcp --dport 1521 -j SNAT --to-source 192.168.18.20
320
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
