2019/05/18 iptables实现网络防火墙

最新推荐文章于 2023-02-03 10:22:48 发布

48N6E

最新推荐文章于 2023-02-03 10:22:48 发布

阅读量108

点赞数

分类专栏： linux防火墙精讲

本文链接：https://blog.csdn.net/qq_42227818/article/details/90318739

版权

linux防火墙精讲专栏收录该内容

7 篇文章 0 订阅

订阅专栏

防火墙的链接跟踪，需要启用相应的链接跟踪模块，才具有识别跟踪状态的能力
在这里插入图片描述

既然要识别链接状态，要记住你的什么状态必然安要消耗系统资源，这个功能启用，会相对降低你服务器的性能

这个数量不是越大越好，记录的数量越多，对你的负载越大
此外还有链接跟踪时长，（也不能链接上来一直记录）
在这里插入图片描述

ftp是双端口的特殊服务，发起请求ftp链接，先去链接服务器的21端口，后需要传输数据了，就需要走数据通道的数据链接，而数据链接根据模式不同，走的端口也不一样，主动模式会使用tcp20端口，被动模式采用的随机端口，通常情况，客户端有防火墙的原因，大部分情况下采用被动模式居多，被动模式的话，客户端主动去链接服务器，（服务器由于被动模式，用的随机端口，防火墙接收到一个随机端口发送的远程，防火墙默认是没有开启随机端口访问的，这样链接必然会导致失败。如何解决，让防火墙具有跟踪ftp协议的功能，加这个模块，让它去识别ftp协议，识别ftp协议以后，就可以分析出被动模式下用的随机端口多少，根据当时情况，自动打开防火墙随机端口，让用户进行访问），要加载ftp的跟踪模块NF_CONNTRACK_FTP
默认是不加载的
在这里插入图片描述
modprobe 加载模块

加载之后就可以跟踪ftp协议了

21端口现在已经启用

防火墙如果模块没有加载
先取消加载

当前是正在建立连接是允许的，其他的拒绝

ftp现在连接是拒绝的

现在要打开ftp的链接
在这里插入图片描述

被动模式，用的随机端口，被拒绝访问了
就需要加载模块去识别

但还是拒绝

在这里插入图片描述
因为现在允许的是建立连接的，现在被动模式下，别人应该属于第一次链接你

相关的链接

加了related，只要是建立链接，和你相关的端口都给接收

数据出来就代表数据通道已经开始访问了
光加related的是不行的，还需要加载模块
在这里插入图片描述

**LOG只是，当满足什么条件，就记录日志，为了区分日志，就需要在日志前面加个前缀，log-prefix
**

当你的地址是来自10.0.1.0/24网段的时候，走的是tcp协议，端口包括80，21，22，23(连续可以写成21:23，如果是新发起请求就记录日志，日志里面有关键字
在这里插入图片描述
现在如果走80端口会不会记录日志

但是这样记录日志，可能会记录很多信息
比如用ab测试一下

日志就暴涨了

通常没有必要就不启用这个功能，除非一下排错的情况下

这是建议的一些规则写法
1.正在链接的用户就不要去拒绝链接
2.谨慎放行入站请求（入站的新情求越少越好，这是开放特定的一些请求，这样比较安全）
在这里插入图片描述
如果一个lamp架构，mysql独立机器，应该这么配置防火墙

可以访问，但坐在本机访问不行，因为自己没有加自己允许的规则，所以自己访问的两个IP地址都不行

-i链路的接口，这要是lo网卡接入的都允许
在这里插入图片描述

现在就可以进行访问了
9000端口就是自己访问自己

**走lo网卡是允许的，走别的网卡就没说，走192.168.30.7是可以走lo网卡进行访问的，因为IP地址一看是自己，就不出去了
**

3.拒绝的话，一般谁在前谁在后，越特殊的，越限定比较严格的尽可能往前放，往后放的话，被前面宽松的条件匹配了就不匹配了，直接生效了
4.访问同一类应用的，范围小的往前放，范围大的往后放，
5.不通类别的，就是要范围大的往前方，比如下面，就是要匹配范围更广的在前面会比较好
在这里插入图片描述

6.多条规则能合并的话，尽量合并，因为好几条规则变成一条规则，检查的效率就更高了
比如-m multiport --dports就可以定义多个端口，使用起来效率更高，不用模块的话只能一条条写，一条条检查，增加了服务器的负载，而且检查次数也多，
在这里插入图片描述
只有经过白名单特许才能访问，没有定义的是拒绝的，（就需要一个默认拒绝所有，需要更改默认的规则iptables -P，不建议
因为在iptables-F就都清了，还是放在默认规则里比较好

如果现在重启机器，现在这些规则都不在了
在这里插入图片描述

centos6上有这个文件

这个规则就是iptables启动起来默认用的规则

保存的文件名j自己定义

保存了希望，开机自动启用

要想把刚才保存的规则进行还原

然是现在重启机器，这个命令并不会执行，现在就是需要开机自动执行这个命令
在这里插入图片描述
这个文件要用的话，就需要加执行权限

重启试试，是否会执行

起作用了

开机做计划任务

后面加上刚才敲的命令

计划任务就是在某个时间点执行任务，而不是为了开机自动执行，是要依赖于计划任务服务，服务停了就不起作用了
centos6上比较简单，把这个弄成开机自动启动服务
在这里插入图片描述
生产中，单机防火墙用的不多，因为现在配置的iptable和firewalld是保护一台主机的，所以通常企业内部不启用，一般都是在互联网和企业内部之间加硬件防火墙的

更重要的是网络防火墙
刚才用的主机防火墙，iptables种定义的INPUT链，INPUT链保护的就是当前你的一台主机，谁能访问谁不能访问，
在某些情况下，linux充当路由的角色，而这个路由器中间穿过了很多的流量，通过它来访问另外的网络，我们要把安全规则作用在路由器上，就需要配置网路防火墙，网络防火墙保护的是网络而不是单一的主机
网络拓补应该是
在这里插入图片描述
17，27

在这里插入图片描述

在这里插入图片描述
配置好了up生效

网关配置好的

7的网关需要指向30.17

ping不通自己的防火墙导致的

现在pingB这台机器，是不通的

因为这边17还没有启用路由转发功能

sysctl -p生效了
在这里插入图片描述
就可以ping通了

现在想要实现，在内部上网有些网站不让访问

搭建虚拟主机

因为靠主机有解析，必须靠DNS

因为主配置就已经授权了/var/www/html目录所以子目录就不用再授权

在这里插入图片描述
现在需要配置youku不让上

现在7就访问不了了

只要访问youku，带字符串的全部拒绝，其他都允许

可以再加个时间控制

修改下时间，月日小时分

现在就通了

现在从外面访问里面没有受到限制，但是我们定义的是双向的，没有定义里面也没有定义外面，foward本身没双向性
在这里插入图片描述