linux防火墙iptables-NAT 学习笔记

最新推荐文章于 2023-12-02 19:07:29 发布

上善若水2020

最新推荐文章于 2023-12-02 19:07:29 发布

阅读量264

点赞数

文章标签： linux 学习笔记 iptables NAT

一、 iptables介绍

1.iptables是什么？

iptables是开源的基于数据包过滤的防火墙工具。
其实Iptables服务不是真正的防火墙，只是用来定义防火墙规则功能的"防火墙管理工具"，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能。
在这里插入图片描述

2.iptables企业应用场景

1、主机防火墙（filter表的INPUT链）。
2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。
3、端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。
4、IP一对一映射。

二、 iptables工作流程

iptables是采用数据包过滤机制工作的，所以它会对请求的数据包的包头数据进行分析，并根据我们预先设定的规则进行匹配来决定是否可以进入主机。
1.防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2.如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。
3.如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。
4.防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

三、iptables四表五链

1 实际iptables包含4张表和五个链，但主要记住两张表即可filter和nat表即可。在这里插入图片描述
2.FILTER表

3.NAT表

在这里插入图片描述

四、iptables工作原理示意图

在这里插入图片描述

五、iptables常用操作笔记

filter表

核心功能：用于主机防火墙

常用命令

iptables -nL --line-number #查看iptables规则（列出序号）
iptables -t filter -D INPUT 1 #通过序号删除链中的规则（或者原添加规则命令中直接-A/-I换成-D也可删除）
#查看iptables默认加载的内核模块
lsmod| egrep "nat|filter"
iptables -F #清除所有规则，只留下默认规则
iptables -N #创建用户自定义的链
iptables -X #清除用户自定义的链
iptables -Z #链的计数器清零
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #-j jump
#-A 添加规则到链的结尾，最后一条 -I 插入规则到链的开头，第一条。 越靠前的规则优先级越高。
iptables -I INPUT 2 #指定位置插入规则，插入到INPUT链的第二行
#禁止10.0.0.0网段连入
iptables -t filter -A INPUT -i eth0 -s 10.0.0.0/24 -j DROP
#取反匹配（不同centos版本!位置有变化）
iptables -t filter -A INPUT -i eth0 -s ! 10.0.0.0/24 -j DROP
#-p协议 (all, tcp, udp, icmp),默认all

iptables -A INPUT -m iprange --src-range 13.32.4.168-13.32.4.176 -j ACCEPT #匹配源IP
iptables -A INPUT -m iprange --dest-range 8.8.8.2-8.8.8.22 -j DROP #匹配目标IP

#匹配端口范围
--sport 22:80
-m multiport --dport 21,22,23,80,3306

#匹配网络接口
-i 匹配包进入的网卡
-o 匹配包流出的网卡

#icmp有很多类型，--icmp-type 8代表ping
#禁ping
iptables -I INPUT -p icmp --icmp-type 8 -j DROP
iptables -I INPUT -p icmp --icmp-type 8 -s 10.0.0.0/24 -j ACCEPT

#匹配网络状态 -m state --state
#允许关联的状态包通过，一般用于ftp服务，比喻：看电影出去接电话或者WC，回来也得允许进去
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

企业级防火墙部署

#不允许进和转发，只允许出。最安全的
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#开启信任的IP网段(多网卡)
iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT

#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许所有人ping
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存配置

#保存iptables配置，2种保存方式
/etc/init.d/iptables save
iptables-save > /etc/sysconfig/iptables

#iptables维护可以通过直接编辑/etc/sysconfig/iptables
vim /etc/sysconfig/iptables
/etc/init.d/iptables restart|reload #编辑后重启

nat表

核心功能：IP及端口的映射转换，主要应用于以下2点：
1.共享上网
2.端口映射

首先说说局域网内封包的传送:
1. 先经过 NAT table 的 PREROUTING 链；
2. 经由路由判断确定这个封包是要进入本机与否，若不进入本机，则下一步；
3. 再经过 Filter table 的 FORWARD 链；
4. 通过 NAT table 的 POSTROUTING 链，最后传送出去。

NAT 主机的重点就在于上面流程的第 1,4 步骤，也就是 NAT table 的两条重要的链：PREROUTING 与POSTROUTING。 那这两条链重要功能在于修改IP，而这两条链修改的IP又是不一样的，POSTROUTING在修改来源IP，PREROUTING则在修改目标IP 。由于修改的 IP 不一样，所以就称为来源NAT (Source NAT, SNAT) 及目标 NAT (Destination NAT, DNAT)。

共享上网

#载入内核模块
modprobe ip_tables
modprobe iptables_filter
modprobe iptables_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

#局域网共享
#方法1： 适合于有固定外网IP的,在有固定外网IP的服务器执行：
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.7
#192.168.1.0/24是内网地址段(办公室或IDC内网段)，10.0.0.7是外网IP

#方法2：适合变化的外网地址（ADSL）
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
#MASQUERADE 表示伪装,外网IP地址不稳定的情况即可使用MASQUERADE(动态伪装),能够自动的寻找外网地址并改为当前正确的外网IP地址

为什么用POSTROUTING

企业共享上网

1.办公室共享上网。网管要有外网IP，否则用路由

2.IDC内网机器上网

端口映射

#场景：浏览器中访问 13.32.4.61:8088，能够映射转换到13.32.161.250:8088
#在13.32.4.61上执行
iptables -t nat -A PREROUTING -d 13.32.4.61 -p tcp --dport 8088 -j DNAT --to 13.32.161.250:8088
iptables -t nat -A POSTROUTING -d 13.32.161.250 -p tcp --dport 8088 -j SNAT --to 13.32.4.61

#还可以使用REDIRECT单独进行端口转换
#例：将 80 端口的封包转递到 8080端口
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
#使用 8080 这个 port 来启动 WWW ，但是别人都用80来联机

规则参数：

-A 追加规则-->iptables -A INPUT
-D 删除规则-->iptables -D INPUT 1(编号)
-R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则，顺序不变(1是位置)
-I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则，原本位置上的规则将会往后移动一个顺位
-L 查看规则-->iptables -L INPUT 列出规则链中的所有规则
-N 新的规则-->iptables -N allowed 定义新的规则

通用参数：

-p 协议  例：iptables -A INPUT -p tcp
-s源地址 例：iptables -A INPUT -s 192.168.1.1
-d目的地址 例：iptables -A INPUT -d 192.168.12.1
-sport源端口 例:iptables -A INPUT -p tcp --sport 22
-dport目的端口 例:iptables -A INPUT -p tcp --dport 22
-i指定入口网卡 例:iptables -A INPUT -i eth0
-o指定出口网卡 例:iptables -A FORWARD -o eth0
-j 指定要进行的处理动作

常用的ACTION：

DROP：丢弃
REJECT：明示拒绝
ACCEPT：接受
SNAT基于原地址的转换
source--指定原地址
    比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址：
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1(外网有效ip)
这样，只要是来自本地网络的试图通过网卡访问网络的，都会被统统转换成172.16.100.1这个IP.
MASQUERADE(动态伪装）--家用带宽获取的外网ip，就是用到了动态伪装
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
DNAT目标地址转换
destination-指定目标地址
iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.2
10.18访问80端口转换到100.2上
MASQUERADE：源地址伪装
REDIRECT：重定向：主要用于实现端口重定向
MARK：打防火墙标记的
RETURN：返回 在自定义链执行完毕后使用返回，来返回原规则链。

七、学习总结

链 (chain)
每个表都有自己的一组内置链，可以对链进行自定义，这样就可以建立一组规则，
filter表中的input、output和forward链

匹配(match)
每个iptables规则都包含一组匹配以及一个目标，iptables匹配指的是数据包必须匹配的条件，只有当
数据包满足所有的匹配条件时，iptables才能根据由该规则的目标所指定的动作来处理该数据包
匹配都在iptable的命令行中指定
source–匹配源ip地址或网络
destination (-d)–匹配目标ip地址或网络
protocol (-p)–匹配ip值
in-interface (-i)–流入接口(例如，eth0)
out-interface (-o)–流出接口
state–匹配一组连接状态
string–匹配应用层数据字节序列
comment–在内核内存中为一个规则关联多达256个字节的注释数据

目标(target)
iptables支持一组目标，用于数据包匹配一条规则时触发一个动作
ACCEPT–允许数据包通过
DROP–丢弃数据包，不对该数据包做进一步的处理，对接收栈而言，就好像该数据包从来没有被接收一样
LOG–将数据包信息记录到syslog
REJECT–丢弃数据包，同时发送适当的响应报文(针对TCP连接的TCP重要数据包或针对UDP数据包的ICMP端口不可达消息)
RETURN–在调用链中继续处理数据包

vi /etc/sysconfig/iptables 策略文件
vi /etc/sysconfig/iptables-config 配置文件

iptables缺省具有5条规则链
prerouting(内到外)
forward(转发)
postrouting(外到内)
input(输入)
output(输出)

1.链管理命令（这都是立即生效的）

-P :设置默认策略的（设定默认门是关着的还是开着的）
    默认策略一般只有两种
    iptables -P INPUT (DROP|ACCEPT)
    默认是关的/默认是开的
    比如：
    iptables -P INPUT DROP
这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了
-F: FLASH，清空规则链的(注意每个链的管理权限)
    iptables -t nat -F PREROUTING
    iptables -t nat -F 清空nat表的所有链
    -N:NEW 支持用户新建一个链
    iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
    使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了
-E：用来Rename chain主要是用来给用户自定义的链重命名
    -E oldname newname
-Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）
    iptables -Z :清空

2.规则管理命令

-A：追加，在当前链的最后新增一个规则
-I num : 插入，把当前规则插入为第几条。
   -I 3 :插入为第三条
-R num：Replays替换/修改第几条规则
   格式：iptables -R 3 …………
-D num：删除，明确指定删除第几条规则

3.查看管理命令 “-L”

    附加子命令
-n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。
-v：显示详细信息
-vv
-vvv :越多越详细
-x：在计数器上显示精确值，不做单位换算
--line-numbers : 显示规则的行号
-t nat：显示所有的关卡的信息

4.：详解匹配标准

扩展匹配

1 隐含扩展：对协议的扩展

-p tcp :TCP协议的扩展。一般有三种扩展
--dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如
--dport 21  或者 --dport 21-23 (此时表示21,22,23)
--sport：指定源端口
--tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）
    对于它，一般要跟两个参数：
    1.检查的标志位
    2.必须为1的标志位
    --tcpflags syn,ack,fin,rst syn   =    --syn
    表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn
-p udp：UDP协议的扩展
    --dport
    --sport
-p icmp：icmp数据报文的扩展
    --icmp-type：
    echo-request(请求回显)，一般用8 来表示
    所以 --icmp-type 8 匹配请求回显数据包
    echo-reply （响应的数据包）一般用0来表示

2显式扩展（-m）

扩展各种模块
-m multiport：表示启用多端口扩展
之后我们就可以启用比如 --dports 21,23,80

八、案例需求

iptables常用企业案例

linux主机防火墙（表：filter 链：INPUT）

局域网机器共享上网（表：nat 链：POSTROUTING）

外部地址和端口，映射为内部地址和端口（表：nat 链：PREROUTING）

#实现外网IP 124.42.34.112 一对一映射到内部 10.0.0.8
#网关IP eth0:124.42.60.109 eth1:10.0.0.254
#首先在路由网关上绑定VIP 124.42.34.112，可以是别名的方式。
iptables -t nat -A POSTROUTING -s 10.0.0.0/255.255.240.0 -d 124.42.34.112 -j SNAT --to-source 10.0.0.254
iptables -t nat -A PREROUTING -d 124.42.34.112 -j DNAT --to-destination 10.0.0.8
iptables -t nat -A POSTROUTING -s 10.0.0.8 -o eth0 -j SNAT --to-source 124.42.34.112

案例收藏

域名系统(DNS)查询
文件传输协议(FTP)传输
网络时间协议(NTP)查询
安全Shell(SSH)会话
简单邮件传输协议(SMTP)会话
通过HTTP/HTTPS进行web会话
whois查询

外网扫描-------  (192.168.10.1(eth1))    (192.168.10.0/24)-------局域网客户机(10.50)
外网web--------因特网----------iptables防火墙----------局域网---------------内网扫描者(10.200)
外网dns-------- (主机名:iptables)  ----------------web服务器(20.3)  (71.157.X.X(eth0)) ----------------dns服务器(10.4)

脚本:iptables.sh

IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe
INT_NET=192.168.10.0/24
####flush existing rules and set chain policy setting to drop(重置现有规则和链策略设置)
echo "[+] Flushing existing iptables rules..."
$IPTABLES -F-----------------------------(清空规则链)
$IPTABLES -F -t nat----------------------(清空nat表)
$IPTABLES -X-----------------------------(删除用户的空链)
$IPTABLES -p INPUT DROP------------------(关闭input端口)
$IPTABLES -p OUTPUT DROP-----------------(关闭output端口)
$IPTABLES -p FORWARD DROP----------------(关闭forward端口)
###load connection-tracking modules------(负载连接模块)
$MODPROBE ip_conntrack-------------------(加载ip_conntrack模块)
$MODPROBE iptables_nat-------------------(加载iptables_nat模块)
$MODPROBE ip_conntrack_ftp---------------(加载ip_conntrack_ftp模块)
$MODPROBE ip_nat_ftp---------------------(加载ip_nat_ftp模块)

INPUT链
INPUT链作为iptables的构建快，作用是控制目标为本地系统的数据包是否可以和本地套接字通信，如果INPUT链中的第一条规则要求IPtables丢弃所以得数据包(或者INPUT链的策略设置为DROP)，那么所有试图通过任何ip通信方式(如TCP、UDP或ICMP)与系统直接通信的努力都将失败。ARP工作在数据链路层而不是网络层，而iptables只过滤ip及其之上协议的数据包，所以iptables不能过滤arp协议的报文。

####INPUT chain ########
echo "[+] Setting up INPUT chain ..."
####state tracking rules####
$IPTABLES -A INPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-OPTIONS --log-tcp-options
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##anti-spoofing rules
$IPTABLES -A INPUT -i eth1 -s ! $INI_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A INPUT -i eth1 -s ! $INT_NET -j DROP

##ACCEPT rules
$IPTABLES -A INPUT -i eth1 -p tcp -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

##default INPUT LOG rule
$IPTABLES -A INPUT -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options

建立OUTPUT链规则集的命令如下所示：

#####OUTPUT chain ####
echo "[+] setting up OUTPUT chain..."
###state tracking rules
$IPTABLES -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID" --log-ip-options --log-tcp-options
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

###ACCEPT RULES rules for allowing connections out-interface
$IPTABLES -A OUTPUT -p tcp --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 53 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

####default OUTPUT LOG RULES
$IPTABLES -A OUTPUT -o ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options

FORWARD 链
filter表中的forward链提供了对通过防火墙接口转发数据包进行访问控制的能力：

###FORWARD chain####
echo "[+]Setting up FORWARD chain..."
###state tracking rules
$IPTABLES -A FORWARD -m state --state INVALID -j LOG --log-prefix "DROP INVALID" -- log-ip-options --log-tcp-options
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

###anti-spoofing rules
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT"
$IPTABLES -A FORWARD -i eth1 -s ! $INT_NET -j DROP

###ACCEPT rules
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 21 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 22 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 25 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --dport 43 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i eth1 -s $INT_NET --DPORT 4321 --syn -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -p udp --dport 53 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp icmp --icmp-type echo-request -j ACCEPT
#允许通过防火墙发起ftp、ssh、smtp和whois连接，但这类必须是从子网接口(eth1)上的内部子网发起的，允许来自任何源地址的http、https和dns通信通过防火墙
####default log rule
$IPTABLES -A FORWARD -i ! lo -j LOG --log-prefix "DROP" --log-ip-options --log-tcp-options

网络地址转换
iptables的nat表专用于定义所有的NAT规则，在这个表中有两个链：PREROUTING和POSTROUTING，利用PREROUTING链将nat表中的规则应用到还没有通过内核中路由算法确定应从哪个接口传输的数据包，在这个链中处理的数据包也尚未经过filter表中的INPUT或PREROUTING链的处理
POSTROUTING链负责处理经过内核中的路由算法确定传输的物理接口并即将从该接口出去的数据包，由这个链处理的数据包已通过filter表中的output或forward链的检查

###NAT rules
echo "[+]Setting up NAT rules..."
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.10.3:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.10.3:443
$IPTABLES -t nat -A PREROUTING -p tcp --dport 53 -i eth0 -j DNAT --to 192.168.10.4:53
$IPTABLES -t nat -A POSTROUTING -是￥INT_NET -o eth0 -j MASQUERAD

内网的web服务器和DNS服务器的ip地址分别为192.168.10.3、4，用于提供NAT功能的iptables命令，3个PREROUTING规则允许外网的web服务和DNS请求被发送给合适的内网服务器，在POSTROUTING规则允许来自内部不可路由网络并指向外部因特网的连接看起来就像他们来自IP地址71.157.X.X

构建iptable策略的最后一步实在linux内核中启用ip转发

###forwarding###
echo "[+] Enabling Ip forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward

测试用到的命令

hping
nc

上善若水2020

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
linux防火墙iptables-NAT 学习笔记

iptables是开源的基于数据包过滤的防火墙工具。其实Iptables服务不是真正的防火墙，只是用来定义防火墙规则功能的"防火墙管理工具"，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能。链 (chain)每个表都有自己的一组内置链，可以对链进行自定义，这样就可以建立一组规则，filter表中的input、output和forward链匹配(match)
复制链接

扫一扫