一、概述
1.何为防火墙
我们将防火墙分为墙内(通常指内网)与墙外(通常指外网),防火墙抵御来自墙外的攻击,是一道保护性屏障.并且限制墙内用户的出墙,可以限制其去往的目的地,甚至是不让用户出墙
所以防火墙是一道双向墙,是管理人员维护网络安全的重要保障
2.Linux默认的防火墙
RedHat,CentOS系统默认使用的防火墙是firewalld,但是其底层仍然是调用的iptabls,所以说iptabls才是Linux真正意义上的防火墙
3.iptables的四表五链
iptables有四表:raw,mangle,nat,filter,我们将规则放置在对应功能的表中(图上有功能提示,功能同名),我们将规则默认放进过滤表filter中
五链分为:INPUT(入站),OUTPUT(出站),FORWARD(转发),PREROUTING(路由前),POSTROUTING(路由后)
默认表filter只有input,output,forward三种链,所以我们使用命令查看时通常查看不到prerouting和postrouting的内容,在后面我会通过案例告诉大家如何查看表中规则
iptables的核心就在与这四表五链,大家需要弄清除其中的概念与规则
4.iptables的匹配规则
如果在filter表中同时有允许192.168.4.1访问的规则和禁止192.168.4.1访问的规则,那么防火墙会允许其访问吗?
这要看规则出现的顺序,如果允许规则在禁止规则之前则允许访问(以创建时间为基准,这里说的允许在禁止之前是规则表中的靠前,而规则表中的规则是按时间顺序排列的,创建在后的放在前面,如同栈)
iptables采用匹配即停止的规则(除LOG),若无任何匹配,则默认按该链的默认策略处理(一般是允许通行)
二、使用iptables
1.常用的管理选项
3.注意事项与规律
- 可以不指定表,默认为filter表
- 可以不指定链,默认为对应表的所有链
- 如果没有找到匹配条件,则执行防火墙默认规则
- 选项/链名/目标操作用大写字母,其余都小写
4.四种策略,目标操作
- ACCEPT:允许通过/放行
- DROP:直接丢弃,不给出任何回应
- REJECT:拒绝通过,必要时会给出提示
- LOG:记录日志,然后传给下一条规则
4.iptables基本使用方法
命令格式:
iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
- [root@proxy ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
- //追加规则至filter表中的INPUT链的末尾(-A代表插入到末尾),允许任何人使用TCP协议访问本机
- [root@proxy ~]# iptables -I INPUT -p udp -j ACCEPT
- //插入规则至filter表中的INPUT链的开头(-I代表插入到开头),允许任何人使用UDP协议访问本机
- [root@proxy ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
- //插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机
5.查看防火墙规则
查看所有规则: iptables -nL
查看某条链中的规则: iptables -nL 链名
查看某表中的规则: iptables -nL -t 表名
查看某表中的某链规则: iptables -nL -t 表名 链名
查看所有规则: iptables-save
- [root@proxy ~]# iptables -nL INPUT //仅查看INPUT链的规则
- target prot opt source destination
- ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
- ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
- ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
- [root@proxy ~]# iptables -L INPUT --line-numbers //查看规则,显示行号
- num target prot opt source destination
- 1 ACCEPT udp -- anywhere anywhere
- 2 ACCEPT icmp -- anywhere anywhere
- 3 ACCEPT tcp -- anywhere anywhere
6.删除防火墙规则
删除某链中的第几条规则(序号从上往下数1到n): iptables -D 链名 序号
清空某链中的所有规则: iptables -t 表名 -F
- [root@proxy ~]# iptables -D INPUT 3
- //删除filter表中INPUT链的第3条规则
- [root@proxy ~]# iptables -nL INPUT //查看规则,确认是否删除
- [root@proxy ~]# iptables -F
- //清空filter表中所有链的防火墙规则
- [root@proxy ~]# iptables -t nat -F
- //清空nat表中所有链的防火墙规则
- [root@proxy ~]# iptables -t mangle -F
- //清空mangle表中所有链的防火墙规则
- [root@proxy ~]# iptables -t raw -F
- //清空raw表中所有链的防火墙规则
7.设置默认规则
所有链的默认规则都是ACCEPT,但是我们可以修改默认规则,拒绝通行
- [root@proxy ~]# iptables -t filter -P INPUT DROP //filter链默认拒绝一切通行
8.链规则执行顺序
链规则的执行顺序非常重要,如果你配置了某个链规则,确发现没有生效,你就要检查是否被规则前的规则吸收了
三、主机型防火墙与网络型防火墙
根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙,如图所示。
主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。
网络防火墙,主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等。
1.基本匹配条件
iptables防火墙可以根据很多很灵活的规则进行过滤行为,具体常用的过滤条件如表-2所示。
基本匹配条件分为通用匹配和隐含匹配
2.主机性防火墙案例
此处演示一些配置规则,各种选项参数可以互相组合,需要根据具体情况进行配置
- [root@proxy ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
- //拒绝所有外来用户访问本机的80端口
- [root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
- //拒绝192.168.2.100 访问本机所有端口
- [root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
- //拒绝192.168.2.5访问本机的80端口
- [root@proxy ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
- //拒绝外来用户通过eth0网卡访问本机的80端口
- [root@proxy ~]# iptables -A INPUT -s 192.168.4.100 -j DROP
- //丢弃192.168.4.100发给本机的所有数据包
- [root@proxy ~]# iptables -A INPUT -s 192.168.2.0/24 -j DROP
- //丢弃192.168.2.0/24网络中所有主机发送给本机的所有数据包
- [root@proxy ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22 -j REJECT
- //拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)
3.网络型防火墙案例
配置网络型防火墙的主机必须打开路由转发功能
Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能。
- [root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward //关闭路由转发
- [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
- //注意以上操作仅当前有效,计算机重启后无效
- [root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
- //修改/etc/sysctl.conf配置文件,可以实现永久有效规则
部署如表所示的网络拓扑,一定要把proxy主机的路由转发功能打开。
实验拓扑
本次完成两个实验:
禁htppd的实验
禁ping的实验
禁htppd的相关策略:
1)添加网关命令
- [root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
- [root@client ~]# nmcli connection up eth0
- [root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.5
- [root@web1 ~]# nmcli connection up eth1
2)确认不同网络的联通性
- [root@client ~]# ping 192.168.2.100
- [root@web1 ~]# ping 192.168.4.100
3)在web1主机上启动http服务
- [root@web1 ~]# yum -y install httpd
- [root@web1 ~]# echo "test page" > /var/www/html/index.html
- [root@web1 ~]# systemctl restart httpd
4)没有防火墙的情况下client访问web服务
- [root@client ~]# curl http://192.168.2.100 //成功
5)设置proxy主机的防火墙规则,保护防火墙后面的Web服务器
- [root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP
6)设置完防火墙规则后,再次使用client客户端访问测试效果
- [root@client ~]# curl http://192.168.2.100 //失败
禁ping的相关策略
1)默认直接禁ping的问题
- [root@proxy ~]# iptables -I INPUT -p icmp -j DROP
- //设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
- //当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃
2)禁止其他主机ping本机,允许本机ping其他主机
- [root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
- //仅禁止入站的ping请求,不拒绝入站的ping回应包
注意:关于ICMP的类型,可以参考help帮助,参考命令如下:
- [root@proxy ~]# iptables -p icmp --help
四、防火墙扩展规则
1.常见的扩展规则类型
iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:
iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
2.根据mac地址过滤
如果根据IP过滤的规则,当对方修改IP后,防火墙会失效
- [root@proxy ~]# iptables -F
- [root@proxy ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
- //设置规则禁止192.168.4.100使用ssh远程本机
但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP
- [root@client ~]#nmcli connection modify eth0 ipv4.method 192.168.4.101
- [root@client ~]#nmcli connection up eth0
- [root@client ~]# ifconfig eth0 192.168.4.101
- [root@client ~]# ssh 192.168.4.5 //依然成功
根据MAC地址过滤,可以防止这种情况的发生,但是前提是你能弄到访问机器的ip,使用率貌似并不高。但是内网还是可以获取的,外网的mac地址获取难度较大,但是也不是没办法.[扫描与抓包]https://mp.csdn.net/postedit/102467677
- [root@client ~]# ip link show eth0 //查看client的MAC地址
- eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
- link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
- [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 52:54:00:00:00:0b -j DROP
- //拒绝52:54:00:00:00:0b这台主机远程本机
3.基于多端口设置过滤规则
一次需要过滤或放行很多端口时会比较方便,适用于大范围的ip段
- [root@proxy ~]# iptables -A INPUT -p tcp -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
- //一次性开启20,21,22,25,80,110,143,16501到16800所有的端口
4.根据IP地址范围设置规则
允许从 192.168.4.10-192.168.4.20 登录
- [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
注意,这里也可以限制多个目标IP的范围,参数是--dst-range,用法与--src-range一致。
禁止从 192.168.4.10-192.168.4.20 登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m iprange --dst-range 192.168.4.10-192.168.4.20 -j DROP
允许从 192.168.4.0/24 网段其他的主机登录
- [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j ACCEPT
五、配置SNAT实现隐藏地址上网
如图所示,若局域网想访问互联网资源,如浏览网站,那么源地址和目标地址分别是什么?
不做任何配置的情况下,在局域网PC机将自身地址作为源地址,将访问的Web站点地址作为目标地址,Web服务器方则相反
出于安全考虑(不暴露局域网内网地址),我们将在防火墙服务器做一个NAT地址转换,那么当内部PC经过防火墙时,会进行一个地址转换(SNAT),将源地址转换为防火墙地址,那么Web服务器在返回请求时也会返回给防火墙
这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。
现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.100在访问网页。
我们需要实现的效果是,client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。
拓扑图如下:
下面实验省略了一些步骤,首先你得为client,web1配置网关。然后你需要在web1上装httpd服务并且做一个测试页面
1)确保proxy主机开启了路由转发功能
- [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
2)设置防火墙规则,实现SNAT地址转换
注意这里--to-source 后写防火墙的的出网ip(公网ip或网关ip),-s 后写希望出网访问互联网的PC主机地址或地址段
- [root@proxy ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.5
3)登陆web主机查看日志
通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器!
- [root@client~]# curl 192.168.2.100/index.html
- [root@proxy ~]# tail /var/log/httpd/access_log
- .. ..
- 192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
4)扩展知识,对于proxy外网IP不固定的情况可以执行下面的地址伪装,动态伪装IP。
- [root@proxy ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE
最后,所有iptables规则都是临时规则,如果需要永久保留规则需要执行如下命令:
- [root@proxy ~]# service iptables save