1. Linux防火墙
- 防火墙的概念
- iptables的基本认识
- iptables的组成
- iptables的基本语法
- iptables之forward的概念
- iptables之地址转换法则
- SNAT源地址转换的具体实现
- DNAT目标地址转换的具体实现
1.1. 安全技术
- 入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式。
- 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式。
- 防火墙(FireWall ):隔离功能, 工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
1.2. 防火墙的分类
- 主机防火墙:服务范围为当前主机。
网络防火墙:服务范围为防火墙一侧的局域网。 - 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现, Checkpoint,NetScreen。
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件。 - 网络层防火墙: OSI模型下四层。
应用层防火墙/代理服务器:代理网关, OSI模型七层。
1.3. 网络层防火墙
- 包过滤防火墙
- 网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。
- 优点:对用户来说透明,处理速度快且易于维护。
- 缺点:无法检查应用层数据,如病毒等。
1.4. 应用层防火墙/代理服务型防火墙(Proxy Service)
- 将所有跨越防火墙的网络通信链路分为两段。
- 内外网用户的访问都是通过代理服务器上的“链接”来实现。
- 优点: 在应用层对数据进行检查,比较安全。
- 缺点:增加防火墙的负载。
现实生产环境中所使用的防火墙一般都是二者结合体。
即先检查网络数据,通过之后再送到应用层去检查。
2. iptables的基本知识
Netfilter组件
- 内核空间,集成在linux内核中。
- 扩展各种网络服务的结构化底层框架。
- 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。
- 由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。
三种报文流向:
- 流入本机:PREROUTING --> INPUT --> 用户空间进程
- 流出本机:用户空间进程 --> OUTPUT --> POSTROUTING
- 转发:PREROUTING --> FORWARD --> POSTROUTING
防火墙工具
- iptables
命令行工具,工作在用户空间。
用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。 - firewalld
CentOS 7 引入了新的前端管理工具。
管理工具:
firewall-cmd 命令行
firewall-config 图形
3. iptables的组成
iptables由五个表和五个链以及一些规则组成。
3.1. 五个表
table:filter、nat、mangle、raw、security
table | 说明 |
---|---|
filter | 过滤规则表,根据预定义的规则过滤符合条件的数据包。 |
nat | network address translation 地址转换规则表。 |
mangle | 修改数据标记位规则表。 |
raw | 关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度。 |
security | 用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现。 |
优先级由高到低的顺序为:security --> raw --> mangle --> nat --> filter
3.2. 五个内置链chain,对应5个钩子hook
- INPUT
- OUTPUT
- FORWARD
- PREROUTING
- POSTROUTING
3.3. Netfilter表和链对应关系
- filter:INPUT, FORWARD, OUTPUT
- nat:PREROUTING, INPUT, OUTPUT, POSTROUTING
- mangle:5个都有
- raw:PREROUTING, OUTPUT
4. IPTABLES和路由
4.1. 路由功能发生的时间点
报文进入本机后
- 判断目标主机是否为本机
- 是:INPUT
- 否:FORWARD
报文离开本机之前
- 判断由哪个接口送往下一跳
内核中数据包的传输过程
4.2. 内核中数据包的传输过程
- 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
- 如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出。
- 如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
5. iptables规则
规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理。
匹配条件:默认为与条件,同时满足
- 基本匹配: IP,端口, TCP的Flags(SYN,ACK等)
- 扩展匹配:通过复杂高级功能匹配
处理动作:称为target,跳转目标
- 内建处理动作: ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG…
- 自定义处理动作:自定义chain,利用分类管理复杂情形。
规则要添加在链上,才生效;添加在自定义上不会自动生效
链chain:
- 内置链:每个内置链对应于一个钩子函数。
- 自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效。
6. iptables添加要点
iptables规则添加时考量点
- 要实现哪种功能:判断添加在哪张表上
- 报文流经的路径:判断添加在哪个链上
- 报文的流向:判断源和目的
- 匹配规则:业务需要
链上规则的次序,即为检查的次序,因此隐含一定的法则
同类规则(访问同一应用),匹配范围小的放上面
不同类规则(访问不同应用),匹配到报文频率较大的放上面
将那些可由一条规则描述的多个规则合并为一个
iptables 规则优化
-
安全放行所有入站和出站的状态为ESTABLISHED状态连接
-
谨慎放行入站的新请求
-
有特殊目的限制访问功能,要在放行规则之前加以拒绝
-
同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理
-
不同类的规则(访问不同应用),匹配范围大的放在前面
-
应该将那些可由一条规则能够描述的多个规则合并为一条
-
设置默认策略,建议白名单(只放行特定连接)
-
iptables -P,不建议
-
建议在规则的最后定义规则做为默认策略
语法:iptables [-t table] 子命令 chain [-m 匹配条件 [模块选项]] -j 处理动作 [模块选项]
table:
raw, mangle, nat, [filter]默认
实验环境准备:
Centos7:
systemctl stop firewalld.service
systemctl disable firewalld.service
Centos6:
service iptables stop
chkconfig iptables off
7. iptables命令
man 8 iptables
iptables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]
8. 用法:
iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]
9. 选项
9.1. 表
table,需要实现的功能
-t table
table的值:raw, mangle, nat, [filter]默认
9.2. SUBCOMMAND:
1、 链管理:
-P Policy,设置默认策略;对filter表中的链而言,其默认策略有:
ACCEPT:接受
DROP:丢弃
-N chain_name new, 自定义一条新的规则链。
-X chain_name delete,删除自定义的、空的、规则链。
-E old_name new_name 重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除。
示例:
一、默认策略
1. 黑名单
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
2. 白名单
2.1 白名单 之DROP
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
2.2 白名单 之REJECT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
二、自定义链
# iptables -A cifs_rules -p tcp --dport 139 -j ACCEPT
# iptables -A cifs_rules -p tcp --dport 445 -j ACCEPT
# iptables -A cifs_rules -p udp --dport 137:138 -j ACCEPT
# iptables -A cifs_rules -j RETURN
# iptables -I INPUT 5 -s 172.18.0.0/16 -j cifs_rules
# iptable -D INPUT 5 //删除引用
# iptable -F cifs_rules //清空链规则
# iptable -X cifs_rules //删除链
2、查看:
-L list, 列出指定链上的所有规则,本选项须置后。
-n numberic,以数字格式显示地址和端口号。
-v verbose,详细信息。
-vv 更详细。
-x exactly,显示计数器结果的精确值,而非单位转换后的易读值。
--line-numbers 显示规则的序号。
-S selected,以iptables-save 命令格式显示链上规则。
常用组合:
-vnL
-vvnxL --line-numbers
3、规则管理:
-A append,追加
-I insert, 插入,要指明插入至的规则编号,默认为第一条。
-D delete,删除
(1) 指明规则序号。
(2) 指明规则本身。
-R replace,替换,将指定的规则替换为新规则;不能仅修改规则中的部分,而是整条规则完全替换
-F flush,清空指定的规则链。
-Z zero,置零。
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数。
(2) 匹配到的所有报文的大小之和。
9.3. chain:
PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
自定义链
9.4. 匹配条件
- 基本:通用的, PARAMETERS
- 扩展:需加载模块, MATCH EXTENTIONS
9.5. 基本匹配条件:
无需加载模块,由iptables/netfilter自行提供。
[!] -s, --source address[/mask][,...] 源IP地址或范围。不能是离散值。
[!] -d, --destination address[/mask][,...] 目标IP地址或范围。
[!] -p, --protocol protocol 指定协议,可使用数字如0(all)。
protocol: tcp, udp, icmp, icmpv6, udplite, esp, ah, sctp, mh or “all“
参看: /etc/protocols
[!] -i, --in-interface name 报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、 FORWARD、 PREROUTING链。
[!] -o, --out-interface name 报文流出的接口;只能应用于数据报文流出的环节,只应用于FORWARD、 OUTPUT、 POSTROUTING链。
9.6. 扩展匹配条件:
需要加载扩展模块(/usr/lib64/xtables/*.so),方可生效。
查看帮助
man iptables-extensions
9.6.1. 隐式扩展:
在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。
1、tcp协议的扩展选项
-p tcp:隐含了-m tcp
[!] --source-port, --sport port[:port] 匹配报文源端口,可为端口范围。
[!] --destination-port,--dport port[:port] 匹配报文目标端口,可为范围。
[!] --tcp-flags mask comp
mask 需检查的标志位列表,用分号(,)分隔
例如 SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须为0,用分号(,)分隔
示例:
--tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余下的必须为0
--tcp-flags SYN,ACK,FIN,RST SYN,ACK
--tcp-flags ALL ALL
--tcp_flags ALL NONE
[!] --syn 用于匹配第一次握手。
相当于: --tcp-flags SYN,ACK,FIN,RST SYN
2、udp扩展
-p udp:隐含了-m udp
[!] --source-port, --sport port[:port] 匹配报文的源端口或端口范围。
[!] --destination-port,--dport port[:port] 匹配报文的目标端口或端口范围。
3、icmp
-p icmp:隐含了-m icmp
[!] --icmp-type {type[/code]|typename}
type/code
0/0 echo-reply icmp应答
8/0 echo-request icmp请求
9.6.2. 显式扩展:
必须使用-m选项指明要调用的扩展模块的扩展机制,要手动加载扩展模块。
[-m matchname [per-match-options]]
显式扩展:必须显式地指明使用的扩展模块进行的扩展。
使用帮助:
CentOS 6: man iptables
CentOS 7: man iptables-extensions
1、multiport扩展
以离散方式定义多端口匹配,最多指定15个端口。
[!] --source-ports,--sports port[,port|,port:port]...
指定多个源端口
[!] --destination-ports,--dports port[,port|,port:port]...
指定多个目标端口
[!] --ports port[,port|,port:port]...
多个源或目标端口
示例:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT
2、iprange扩展
指明连续的(但一般不是整个网络)ip地址范围。
[!] --src-range from[-to] 源IP地址范围。
[!] --dst-range from[-to] 目标IP地址范围。
示例:
iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP
3、mac扩展
指明源MAC地址
适用于: PREROUTING,FORWARD,INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX
示例:
iptables -A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT
iptables -A INPUT -s 172.16.0.100 -j REJECT
3、set扩展
依赖于ipset命令行工具;
set存在类型,常用的有两个:
hash:net 网络地址的集合
hash:ip IP地址的集合
使用方式:
//先创建集合:
ipset create NAME TYPE
//向集合添加元素:
ipset add NAME ELEMENT
示例:
yum install ipset
ipset create allowpinghosts hash:ip //如果是网段用hash:net
ipset list
ipset add allowpinghosts 172.18.0.100
ipset add allowpinghosts 172.18.0.200
ipset list
iptables -I INPUT 4 -p icmp --icmp-type 8 -m set --match-set allowpinghosts src -j ACCEPT
iptables -I OUTPUT 4 -p icmp --icmp-type 0 -m set --match-set allowpinghosts dst -j ACCEPT
4、string扩展
对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp} 字符串匹配检测算法
bm: Boyer-Moore
kmp: Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
[!] --string pattern 要检测的字符串模式
[!] --hex-string pattern 要检测字符串模式, 16进制格式
示例:
iptables -I INPUT -m string --string "sex" --algo bm -j REJECT
iptables -I OUTPUT -m string --string "sex" --algo bm -j REJECT
5、time扩展
根据将报文到达的时间与指定的时间范围进行匹配。
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
[!] --monthdays day[,day...] 每个月的几号。
[!] --weekdays day[,day...] 星期几, 1 – 7 分别表示星期一到星期日。
--kerneltz 内核时区,不建议使用,CentOS7系统默认为UTC。
注意:centos6 不支持kerneltz ,--localtz指定本地时区(默认)
示例:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP
6、connlimit扩展
根据每客户端IP做并发连接数数量匹配。
可防止CC(Challenge Collapsar挑战黑洞)攻击。
--connlimit-upto # 连接的数量小于等于#时匹配
--connlimit-above # 连接的数量大于#时匹配
上述二个选线通常分别与默认的拒绝或允许策略配合使用。
示例:
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
7、limit扩展
基于收发报文的速率做匹配。
令牌桶过滤器,令牌桶(bucket),突发尖峰
--limit #[/second|/minute|/hour|/day]
--limit-burst number
示例:
iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT
iptables -I INPUT 2 -p icmp -j REJECT
8、state扩展
根据“连接追踪机制”去检查连接的状态。
较耗资源,消耗cpu,消耗内核空间的内存。
conntrack机制:追踪本机上的请求和响应之间的关系。
状态有如下几种:
- NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发出的请求。
- ESTABLISHED: NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态。
- RELATED:新发起的但与已有连接相关联的连接,如: ftp协议中的数据连接与命令连接之间的关系。
- INVALID:无效的连接,如flag标记不正确。
- UNTRACKED:未进行追踪的连接,如raw表中关闭追踪。
[!] --state state
示例:
iptables -F
入栈方向:
已建立的连接都放行
22,21,139,445,80 NEW
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 21:22,80,139,445 -m state --state NEW -j ACCEPT
iptables -I INPUT 3 -p tcp -m state --state RELATED -j ACCEPT
出栈方向:
已建立的连接都放行
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
默认策略
iptables -A INPUT ! -i lo -j REJECT
iptables -A OUTPUT ! -i lo -j REJECT
可以合并
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
已经追踪到的并记录下来的连接信息库
/proc/net/nf_conntrack
调整连接追踪功能所能够容纳的最大连接数量
/proc/sys/net/nf_conntrack_max
不同的协议的连接追踪时长
/proc/sys/net/netfilter/
注意:CentOS7 需要加载模块:
modprobe nf_conntrack
iptables的链接跟踪表最大容量为
/proc/sys/net/nf_conntrack_max
各种状态的超时链接会从表中删除;当模板满载时,后续连接可能会超时。
解决方法两个:
(1) 加大nf_conntrack_max 值
vi /etc/sysctl.conf
net.nf_conntrack_max = 393216
net.netfilter.nf_conntrack_max = 393216
//不修改/etc/sysctl.conf文件内容,而是在/etc/sysctl.d/下单独创建一个配置文件nf_conntrack_max.conf
vim /etc/sysctl.d/nf_conntrack_max.conf
net.nf_conntrack_max = 1000000
sysctl -p
(2) 降低 nf_conntrack timeout时间
vi /etc/sysctl.conf
net.netfilter.nf_conntrack_tcp_timeout_established = 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
iptables -t nat -L -n
开放被动模式的ftp服务
(1) 装载ftp连接追踪的专用模块:
跟踪模块路径:/lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config 配置文件
IPTABLES_MODULES="nf_conntrack_ftp"
vim /etc/sysconfig/modules/nf_conntrack.modules
#!/bin/bash
/sbin/modprobe nf_conntrack_ftp
modproble nf_conntrack_ftp
modinfo nf_conntrack_ftp
lsmod | grep nf_conntrack_ftp
(2) 放行请求报文:
命令连接: NEW, ESTABLISHED
数据连接: RELATED, ESTABLISHED
iptables –I INPUT -d LocalIP -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW -j ACCEPT
(3) 放行响应报文:
iptables -I OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT
开放被动模式的ftp服务示例
yum install vsftpd
systemctl start vsftpd
modprobe nf_conntrack_ftp
iptables -F
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -vnL
9.7. 处理动作:
-j targetname [per-target-options]
//target
ACCEPT 接受
DROP 丢弃
REJECT 拒绝。弹回,快速断开。--reject-with:icmp-port-unreachable默认
RETURN 返回调用链
REDIRECT 端口重定向
LOG 记录日志, dmesg
MARK 做防火墙标记
DNAT 目标地址转换
SNAT 源地址转换
MASQUERADE 地址伪装
...
自定义链:
Target:
LOG:非中断target,本身不拒绝和允许,放在拒绝和允许规则前,并将日志记录在/var/log/messages系统日志中。
--log-level level
级别: debug, info, notice, warning, error, crit, alert,emerg
--log-prefix prefix
日志前缀,用于区别不同的日志,最多29个字符
示例:
iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "
10. 规则
任何不允许的访问,应该在请求到达时给予拒绝。
规则在链接上的次序即为其检查时的生效次序。
基于上述,规则优化
- 安全放行所有入站和出站的状态为ESTABLISHED状态连接。
- 谨慎放行入站的新请求。
- 有特殊目的限制访问功能,要在放行规则之前加以拒绝。
- 同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理。
- 不同类的规则(访问不同应用),匹配范围大的放在前面。
- 应该将那些可由一条规则能够描述的多个规则合并为一条。
- 设置默认策略,建议白名单(只放行特定连接)。
1) iptables -P,不建议。
2) 建议在规则的最后定义规则做为默认策略。
11. 保存及加载规则
规则有效期限:
使用iptables命令定义的规则,手动删除之前,其生效期限为kernel存活期限。
11.1. 保存规则
保存规则至指定的文件
- CentOS 6
service iptables save
将规则覆盖保存至/etc/sysconfig/iptables文件中。
- CentOS 7
iptables-save > /PATH/TO/SOME_RULES_FILE
也可以保存至/etc/sysconfig/iptables文件中。
/usr/libexec/iptables/iptables.init save
示例:
iptables-save > /etc/sysconfig/iptables
11.2. 载入规则
查看iptables.service,
里面start时会读取文件/etc/sysconfig/iptables,即自动从/etc/sysconfig/iptables 重新载入规则。
CentOS 6:
service iptables restart
CentOS 7
iptables-restore < /PATH/FROM/SOME_RULES_FILE
-n, --noflush 不清除原有规则
-t, --test 仅分析生成规则集,但不提交开机自动重载规则
示例:
iptables-restore < /etc/sysconfig/iptables
开机自动重载规则文件中的规则:
(1) 用脚本保存各iptables命令;让此脚本开机后自动运行
/etc/rc.d/rc.local文件中添加脚本路径
vim /etc/rc.d/rc.local
/PATH/TO/SOME_SCRIPT_FILE
(2) 用规则文件保存各规则,开机时自动载入此规则文件中的规则
/etc/rc.d/rc.local文件添加
vim /etc/rc.d/rc.local
iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE
(3)自定义Unit File,进行iptables-restore
12. 网络防火墙
iptables/netfilter网络防火墙:
- (1) 充当网关
- (2) 使用filter表的FORWARD链
注意的问题:
- (1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性。
- (2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行。
需要启用核心转发功能
/proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.ip_forward=1
示例环境:
主机C — (ip0)防火墙F(IP1) — 服务器S
主机 | IP | 服务,端口 |
---|---|---|
主机C | 172.18.0.101 | |
防火墙F | ip0:172.18.0.1 ip1:192.168.0.1 | |
服务器S | 192.168.0.66 | httpd,80端口 dns,53 vsftpd,21,被动模式 |
示例:
1. 开启核心转发功能
# sysctl -w net.ipv4.ip_forward=1
2. 配置路由
# route add -net 192.168.10.0/24 gw 172.18.0.66
# route add -net default gw 172.18.0.66
注意:其实开启核心转发功能会自动添加接口连接网络的路由。
3. 配置转发
访问httpd、dns、vsftpd服务器
# iptables -A FORWARD -s 172.18.0.0/16 -p tcp -m multiport --dports 80,21,53 -m state --state NEW -j ACCEPT
# iptables -A FORWARD -s 172.18.0.0/16 -p udp --dport 53 -m state --state NEW -j ACCEPT
# iptables -A FORWARD -s 172.18.0.0./16 -p tcp -m state --state RELATED -j ACCEPT
# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# iptables -A FORWARD -j DROP
注意:(1) 方向:NEW、RELATED,自左至右。ESTABLISHED,双方向。
13. NAT
NAT:network address translation
- 隐藏:设置初衷,用来隐藏请求报文中的地址信息。
- 解决ip地址不足问题。
- 请求报文:修改源/目标IP,自定义如何修改。
- 响应报文:修改源/目标IP,连接跟踪机制自动实现。
SNAT:source NAT
- 作用于POSTROUTING, INPUT
- 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装。
- 请求报文:修改源IP
DNAT:destination NAT
- 作用于PREROUTING , OUTPUT
- 把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP。
- 请求报文:修改目标IP
PNAT:port nat,端口和IP都进行修改。
14. SNAT
14.1. SNAT:固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
示例:
# iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9
讲解:
-s 10.0.1.0/24 对源地址(-s 10.0.1.0/24)进行SNAT。
-to-source 172.18.1.6-172.18.1.9 源地址转为()。
! –d 10.0.1.0/24 不对内部网路隐藏源地址。可能有多个内部网络(网络接口)都要去除。
14.2. MASQUERADE:动态IP,如拨号网络
地址伪装
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE [--to-ports port[-port]]
示例:
# iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE
15. DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
# iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
15.1. DNAT
示例:
# iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22
# iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22
15.2. PAT
示例:
# iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080
假设mysql在内网工作在正常服务端口,但告知外面工作在6789端口上
# iptables -t nat -A PREROUTING -d 10.0.10.62 -p tcp --dport 6789 -j DNAT --to-destination 192.168.0.110:3306
15.3. REDIRECT
可用于: PREROUTING OUTPUT 自定义链
通过改变目标IP和端口,将接受的包转发至不同端口。响应报文也是由连接追踪自动修改的。
--to-ports port[-port]
示例:
iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080
讲解:普通用户不能使用小于1024端口。例如httpd默认端口为80。普通用户可监听在8080端口。当有访问80端口的请求到达时,请求会被重定向到8080端口。
16. 练习
dns, httpd: ALL
nfs, smaba, vsftpd: LOCALNET
mysql: LOCALHOST
ping: ALL, 10/minute
ssh: 3conns/IP, worktime
一、禁用selinux和firewalld
# setenforce 0
# sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config
# systemctl stop firewalld
# systemctl disable firewalld
二、安装软件
# yum install -y httpd nfs-utils samba bind mariadb-server vsftpd iptables-services
# systemctl start httpd nfs smb named mariadb vsftpd iptables
# systemctl enable httpd nfs smb named mariadb vsftpd iptables
三、iptables配置
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -F
开始配置
1. ssh: 3conns/IP, worktime
# iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-upto 3 -m time --timestart 8:00 --timestop 18:00 --weekdays 1,2,3,4,5 --kerneltz -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
2. dns, httpd: ALL
//dns
# iptables -I INPUT -p udp --dport 53 -j ACCEPT
# iptables -I OUTPUT -p udp --sport 53 -j ACCEPT
//httpd
# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
# iptables -I OUTPUT -p tcp --sport 80 -j ACCEPT
3. nfs, samba, vsftpd: LOCALNET
//samba
# iptables -I INPUT -p tcp -s 192.168.10.0/24 -m multiport --dports 139,445 -j ACCEPT
# iptables -I OUTPUT -p tcp -d 192.168.10.0/24 -m multiport --sports 139,445 -j ACCEPT
//nfs
# iptables -I INPUT -p tcp -s 192.168.10.0/24 -m multiport --dports 111,2049,875,32803,32769,892,662,2020 -j ACCEPT
# iptables -I INPUT -p udp -s 192.168.10.0/24 -m multiport --dports 111,2049 -j ACCEPT
//vsftpd
# modprobe nf_conntrack_ftp
# iptables -I INPUT -p tcp --dport 21 -s 192.168.10.0/24 -m state --state NEW -j ACCEPT
# iptables -I INPUT -s 192.168.10.0/24 -m state --state RELATED -j ACCEPT
# iptables -I INPUT -s 192.168.10.0/24 -m state --state ESTABLISHED -j ACCEPT
# iptables -I OUTPUT -d 192.168.10.0/24 -m state --state ESTABLISHED -j ACCEPT
4. mysql: LOCALHOST
# iptables -I INPUT -p tcp --dport 3306 -i lo -j ACCEPT
# iptables -I OUTPUT -p tcp --sport 3306 -o lo -j ACCEPT
5. ping: ALL, 10/minute
# iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 10/minute -j ACCEPT
# iptables -I OUTPUT -p icmp --icmp-type 0 -j ACCEPT
x. 最后的drop策略
# iptables -A INPUT ! -i lo -j DROP
# iptables -A OUTPUT ! -o lo -j DROP