企业防火墙-iptables策略

阅读目录

  • 1.1 企业中安全优化配置原则
  • 1.2 iptables防火墙简介
  • 1.3 iptables 表和链
  • 1.4 iptables工作流程
  • 1.5 iptables操作
  • 1.6 iptables filter表配置实例
  • 1.7 iptables nat表配置实例
  • 1.8 自定义链的配置
  • 1.9 附录-防火墙状态机制

1.1 企业中安全优化配置原则

尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务.

大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全

1.1.1 生产中iptables的实际应用

主要应用方向

1、主机防火墙(filter表的INPUT链)。

2、局域网共享上网(nat表的POSTROUTING链)。半个路由器,NAT功能。

3、端口及IP映射(nat表的PREROUTING链),硬防的NAT功能。

4、IP一对一映射。

其他说明:

①iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好。

  注:iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。

②iptabes:生产中根据具体情况,一般,内网关闭,外网打开。大并发的情况不能开iptables,影响性能,iptables是要消耗CPU的,所以大并发的情况下,我们使用硬件防火墙的各方面做的很仔细。selinux:生产中也是关闭的。可以做ids的入侵检测。

③实际生产中尽可能不给服务器配置外网IP。可以通过代理转发。比如,nagios就不需要外网。

④并发不是很大的情况下,再外网的IP环境,开防火墙。

⑤第一次直接默认规则生成配置文件,以后就在配置文件中进行修改(编辑添加删除)。

⑥封掉IP:根据IP地址和网络连接数进行封杀。(定时任务,定时封掉,判断,存在就不再进行二次封杀)

1.1.2 企业常用案例功能小结:

1)linux主机防火墙,单机作为防火墙(表filter)。

2)局域网共享上网(表nat postrouting)。

3)外部地址映射为内部地址和端口(表nat prerouting)

1.2 iptables防火墙简介

Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制.特别是它可以在一台非常低的硬件配置服务器上跑的非常好(赛扬500HZ cpu 64M 内存的惲况下部署网关防火墙),提供近400人的上网服务丝毫不逊色企业级专业路由器防火墙。 iptables + zebra + squid (企业常用网络开源产品)。

iptables是linux2.4及2.6内核中集成的服务,其功能与安全性比其老一蜚ipfwadm,ipchains 强大的多,iptables主要工作在0SI七层的二、三、四层,如果重新编译内核,iptables也可以支持 7 层控制(squid代理+iptables)。

1.2.1 iptables名词和术语

不少刚接触到iptables的朋友可能会对iptables防火墙的相关名词搞的很晕,不知道其所云的具体意思,而是就最基本的能让大家容易快速理解和掌握的思路来描述:

容器:包含或者说属于的关系

1.2.2 什么是容器

谁不知道啊,容器就是装东西的,如(箱、包、坛)。没错,恭喜你答对了.词典里解释说,容器就是用来包装或装载物品的贮存器(如箱、罐、坛)或者成形或柔软不成形的包覆材料.

在iptables里的呢,就是用来描述这种包含或者说属于的关系。

1.2.3 什么是 Netfilter/iptables ?

Netfilter是表(tables)的容器,这样解释大家肯定还是晕。举个例子,如果把Netfilter看成是某个小区的一栋楼。那么表(tables)就是楼里的其中的一套房子。这套房子"表(tables)"属于这栋“Netfilter”。

1.2.4 什么是表(tables)?

表(tables)是链的容器,即所有的链(chains)都属于其对应的表(tables).如上,如果把Netfilter看成是某个小区的一栋楼.那么表(tables)就是楼里的其中的一套房子。

1.2.5 什么是链(chains)?

链(chains)是规则(Policys)的容器。接上,如果把表(tables)当作有一套房子,那么链(chains)就可以说是房子里的家具(柜子等)。

1.2.6 什么是规则(Policy)?

规则(Policy)就比较容易理解了,就是iptables系列过滤信息的规范和具体方法条款了.可以理解为柜子如何增加并摆放柜子东西等。

基本术语如下表格所示:


Netfilter


表(tables


链(chains


规则(Policy


一栋楼


按里的房子


房子里的柜子


柜子里衣服,摆放规则

1.3 iptables 表和链

描述完iptables术语后,相信大家对iptables的表和链有了初步的了解了,默认情况下,iptables根据功能和表的定义划分包含三个表,filter,nat,mangle,其每个表又包含不同的操作链(chains )。 实际iptables包含4张表和五个链,巧主要记住两张表即可filter和nat表即可。

下面表格展示了表和链的对应关系。

四个表:


表(tables


链(chains


Filter


这是默认表,实现防火墙数据过滤功能。


INPUT


对于指定到本地套接字的包,即到达本地防火墙服务器的数据包。


FORWARD


路由穿过的数据包,即经过本地防火墙服务器的数据包。


OUTPUT


本地创建的数据包


NAT


当遇到新创建的数据包连接时将参考这个表


FREROUTING


一进来就对数据包进行改变


OUTPUT


本地创建的数据包在路由前进行改变


POSTROUTING


在数据包即将出去时改变数据包信息


Mangle


这个表专门用于改变数据包


INPUT


进入到设备本身的包


FORWARD


对路由后的数据包信息进行修改


FREROUTING


在路由之前更改传入的包


OUTPUT


本地创建的数据包在路由之前改变


POSTROUTING


在数据包即将离开时更改数据包信息


raw


此表用处较少,可以忽略不计。

This  table is used mainly for configuring exemptions from connection tracking in combination with the  NOTRACK  target.


PREROUTING


for packets arriving via any network interface


OUTPUT


for packets  generated by local processes

五个链


表(tables


链(chains


INPUT


FORWARD


OUTPUT


PREROUTING


POSTROUTING


Filter





×


×


NAT


×


×





Managle







raw


×


×




×


说明:√ 表示有,× 表示无。

图 - iptables中的表与链的结构关系

1.3.1 filter表的详细介绍


filter


主要和主机自身相关,真正负责主机防火墙功能的(过滤流入流出主机的数据包)

filter表是iptables默认使用的表,这个表定义了三个链(chains)

企业工作场景:主机防火墙


INPUT


负责过滤所有目标是本机地址的数据包

通俗来说:就是过滤进入主机的数据包


FORWARD


负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。

LVS NAT 模式,net.ipv4.ip_forward=0


OUTPUT


处理所有源地址是本机地址的数据包

通俗的讲:就是处理从主机发出的数据包

对于filter表的控制是我们实现本机防火墙功能的重要手段,特别是INPUT链的控制。

1.3.2 NAT表信息详细介绍


NAT表


负责网络地址转换的,即来源与目的的IP地址和port的转换。

应用:和主机本身无关,一般用于局域网共享上网或者特殊的端口转换相关.

工作场景:

1、用于企业路由(zebra)或网关(iptables),共享上网(POSTROUTING)

2、做内部外部IP地址一对一映射(dmz),硬件防火墙映射IP到内部服务器,FTP服务(PREROUTING)

3、WEB,单个端口的映射,直接映射80端口(PREROUTING)

这个表定义了3个链,nat功能相当于网络的acl控制。和网络交换机acl类似。


OUTPUT


和主机放出去的数据包有关,改变主机发出数据包的目的地址。


PREROUTING


在数据包到达防火墙时,进行路由判断之前执行的规则,作用是改变数据包的目的地址、目的端口等

就是收信时,根据规则重写收件人的地址

例如:把公网IP: xxx.xxx.xxx.xxx 映射到局域网的 x.x.x.x 服务器

如果是web服务,可以把80转换为局域网的服务器9000端口上。


POSTROUTING


在数据包离开防火墙时进行路由判断之后执行的规则,作用改变数据包的源地址,源端口等。

写好收件人的地址,要让家人回信时能够有地址可回。

例如。默认笔记本和虚拟机都是局域网地址,在出网的时候被路由器将源地址改为公网地址。

生产应用:局域网共享上网。

1.3.3 Mangle表信息详细介绍


Mangle表


主要负责修改数据包中特殊的路由标记,如TTL,TOS,MARK等,这个表定义了5个链(chains).

由于这个表与特殊标记相关,一般倩况下,我们用不到这个mangle表。

这里就不做详细介绍了。

1.4 iptables工作流程

1.4.1 工作流程说明

前面介绍已经提到,iptables是采用数据包过滤机制工作的,所以它会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

iptables是采用数据包过滤机制工作的,所以它会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

数据包的流向是从左向右的。

图 - iptables包处理流程图

图 - iptables包处理流程图(简化)

抽象说明:上图可以用北京地铁1,2号线来描述:

1号线:主要是NAT功能

企业案例:

  1)局域网上网共享(路由和网关),使用NAT的POSTROUTING链。

  2)外部IP和端口映射为内部IP和端口(DMZ功能),使用NAT的PREROUTING链

2号线:主要是FILTER功能,即防火墙功能FILTER INPUT FORWARD

企业案例:

  主要应用就是主机服务器防火墙,使用FILTER的INPUT链

图 - iptables数据包转发流程图

1.4.2 iptables工作流程小结

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。

2、如果匹配上了规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了。

3、如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。

4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。

1.5 iptables操作

系统环境说明

[[email protected] ~]# cat /etc/redhat-release
CentOS release 6.9 (Final)
[[email protected] ~]# hostname -I
10.0.0.188 172.16.1.188

软件版本

[[email protected] ~]# iptables -V
iptables v1.4.7

1.5.1 iptables参数说明


参数


参数说明


显示相关参数


-n/--numeric


以数字的方式显示地址或端口信息


-L/ --list


列出一个链或所有链中的规则信息


--list-rules/-S


Print the rules in a chain or all chains


--line-number


当列出规则信息时,打印规则行号


-v


显示详细信息,可以叠加


-h


显示帮助信息


初始化相关参数


iptables -F


清除所有规则,不会处理默认的规则


iptables -X


删除用户自定义的链


iptables -Z


链的计数器清零(数据包计数器与数据包字节计数器)


配置常用参数


-t 表名称


指定配置哪个表,指定配置表名称。


--append/-A 链名称


附加或追加上相应规则策略,到指定链(链名称必须大写),默认将配置的规则插入到最后一条。


--check/-C


Check for the existence of a rule


--insert/-I 链名称


插入相应规则策略,到指定链上,默认将配置的规则插入到第一条(可以根据规则序号插入到指定位置)--封IP地址使用。


--delete/-D 链名称


删除指定的规则(可以根据规则序号进行删除)


--replace/-R


Replace rule rulenum (1 = first) in chain


-P(大写)链名称


改变链上的最终默认规则策略


--new/-N


创建新的用户定义链


-p 协议名称

[!] --proto


指定规则的协议名称 all tcp udp icmp


--dport


指定匹配的目标端口信息


--sport


指定匹配的源端口信息


-j 动作


匹配数据包后的动作


ACCEPT


允许


DROP


丢弃(没有响应)


REJECT


拒绝(回应请求者明确的拒绝)


MASQUERADE


伪装上网时使用


SNAT


共享地址上网


DNAT


目的地址改写


-i

[!] --in-interface


在INPUT链配置规则中,指定从哪一个网卡接口进入的流量(只能配置在INPUT链上)


-o

[!] --out-interface


在OUTPUT链配置规则中,指定从哪一个网接口出去的流量(只能配置在OUTPUT链上)


-s

[!] --source 


指定源IP地址或源网段信息


-d

[!] --destination


指定目标IP地址或目标网段信息


扩展参数


-m 模块


表示增加扩展,匹配功能扩展匹配(可以加载扩展参数)


multiport


实现不连续多端口扩展匹配


icmp


使用icmp的扩展


state


状态模块扩展


--icmp-type


只有类型8是真正会影响ping,或者也可以采用any;了解很多icmp类型iptables -p icmp -h


--limit n/{second/minute/hour}


指定时间内的请求速率”n”为速率,后面为时间分别为:秒 分 时


--limit-burst [n]


在同一时间内允许通过的请求”n”为数字,不指定默认为5


--exact/-x


扩展数字(显示精确数值)

       

!的使用实例

[[email protected] ~]# iptables ! -V
Not 1.4.7 ;-)
[[email protected] ~]# iptables  -V
iptables v1.4.7

注意:在iptables中所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写。

1.5.2 配置前准备

在配置防火墙首先要其中防火墙

[[email protected] ~]# /etc/init.d/iptables start
iptables: Applying firewall rules:                         [  OK  ]

清除iptables所有规则

[[email protected] ~]# iptables -Z
[[email protected] ~]# iptables -X
[[email protected] ~]# iptables -F

查看iptables的规则

[[email protected] ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

查看其他的表配置(-t 参数)

[[email protected] ~]# iptables -nL -t raw
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

查看配置规则的顺序号

[[email protected] ~]# iptables -nvL --number-list
--line-number #  显示规则的序号

1.6 iptables filter表配置实例

1.6.1 基础配置

配置实例一:配置22/ssh端口访问控制规则

iptables -A INPUT -p tcp --dprot 22 -j DROP     # 禁止所有人访问22端口
iptables -I INPUT -p tcp --dprot 22 -j ACCEPT   # 恢复连接方法
iptables -I INPUT 2 -p tcp --dprot 22 -j ACCEPT # 通过插入指定行号信息,指定将规则插入到第几行
iptables -D INPUT -p tcp --dport 22 -j ACCEPT   # 删除指定规则
iptables -D INPUT 2                             # 根据规则行号,删除相应的规则

只允许10.0.0.1的ip通过ssh连接这台服务器

iptables -I INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT 

配置实例二:禁止网段连入(禁止172.16.1.0网段访问172.16.1.188)

iptables -A INPUT  -s 172.16.1.0/24 -d 172.16.1.188  -j DROP

配置实例三:禁止某个172.16.1.0网段访问服务器主机的22端口

iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.188  -p tcp --dport 22 -j DROP

方向说明:

# 在入方向控制
iptables -I INPUT -i eth0  -p tcp --dport 22 -j ACCEPT
# 在出方向控制
iptables -I OUTPUT -o eth0  -p tcp --sport 22 -j DROP

1.6.2 配置实例四:除10.0.0.0网段可以进行连接服务器主机意外,其余网段都禁止

 第一种方式:

iptables -A INPUT -s 10.0.0.0/24 -d 172.16.1.8  -j ACCEPT

修改默认规则,将默认规则改为拒绝

第二种方式:

!  --- 表示对规则信息进行取反

iptables -A INPUT ! -s 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos6用法
iptables -A INPUT -s ! 10.0.0.0/24 -d 172.16.1.8  -j DROP   --- centos5用法

说明:只有iptables帮助手册中指定的参数可以用取反符号(iptables --help)

1.6.3 配置实例五:测试匹配列举端口范围。

iptables -A INPUT -p tcp --dport 22:80 -j DROP                 # 设置连续多端口控制策略
iptables -A INPUT -p tcp -m multiport  --dport 22,80 -j DROP   # 设置不连续多端口控制策略

-m 参数表示增加扩展匹配功能,multiport 实现不连续多端口扩展匹配

1.6.4 配置实例六:匹配ICMP类型

禁止ping策略原则

iptables服务器是ping命令发起者或是接受者

发起者:

input链: 禁止icmp-type 0

iptables -A INPUT -i eth0 -p icmp --icmp-type 0 -j DROP

output链: 禁止icmp-type 8

iptables -A OUTPUT -o eth0 -p icmp --icmp-type 8 -j DROP

   接受者:

input链: 禁止icmp-type 8

iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP

output链: 禁止icmp-type 0

iptables -A OUTPUT -o eth0 -p icmp --icmp-type 0 -j DROP

简化配置:

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j DROP  #禁止所有类型的icmp

指定类型禁止icmp

iptables -A INPUT -p icmp --icmp-type 8
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT

说明:只有类型8是真正会影响ping,或者也可以采用any;了解很多icmp类型iptables -p icmp -h

ICMP类型的说明


TYPE


CODE


Description


Query


Error


0


0


Echo Reply——回显应答(Ping应答)


x


3


0


Network Unreachable——网络不可达


x


3


1


Host Unreachable——主机不可达


x


3


2


Protocol Unreachable——协议不可达


x


3


3


Port Unreachable——端口不可达


x


3


4


Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特


x


3


5


Source routing failed——源站选路失败


x


3


6


Destination network unknown——目的网络未知


x


3


7


Destination host unknown——目的主机未知


x


3


8


Source host isolated (obsolete)——源主机被隔离(作废不用)


x


3


9


Destination network administratively prohibited——目的网络被强制禁止


x


3


10


Destination host administratively prohibited——目的主机被强制禁止


x


3


11


Network unreachable for TOS——由于服务类型TOS,网络不可达


x


3


12


Host unreachable for TOS——由于服务类型TOS,主机不可达


x


3


13


Communication administratively prohibited by filtering——由于过滤,通信被强制禁止


x


3


14


Host precedence violation——主机越权


x


3


15


Precedence cutoff in effect——优先中止生效


x


4


0


Source quench——源端被关闭(基本流控制)


5


0


Redirect for network——对网络重定向


5


1


Redirect for host——对主机重定向


5


2


Redirect for TOS and network——对服务类型和网络重定向


5


3


Redirect for TOS and host——对服务类型和主机重定向


8


0


Echo request——回显请求(Ping请求)


x


9


0


Router advertisement——路由器通告


10


0


Route solicitation——路由器请求


11


0


TTL equals 0 during transit——传输期间生存时间为0


x


11


1


TTL equals 0 during reassembly——在数据报组装期间生存时间为0


x


12


0


IP header bad (catchall error)——坏的IP首部(包括各种差错)


x


12


1


Required options missing——缺少必需的选项


x


13


0


Timestamp request (obsolete)——时间戳请求(作废不用)


x


14


Timestamp reply (obsolete)——时间戳应答(作废不用)


x


15


0


Information request (obsolete)——信息请求(作废不用)


x


16


0


Information reply (obsolete)——信息应答(作废不用)


x


17


0


Address mask request——地址掩码请求


x


18


0


Address mask reply——地址掩码应答

   

数据来源:http://www.cnitblog.com/yang55xiaoguang/articles/59581.html

1.6.5 防火墙状态机制配置

状态集简单说明:


状态集


说明


NEW


表示新建立连接的数据包状态


ESTABLISHED


表示新建立连接数据包发送之后,回复响应的数据包状态


RELATED


表示借助已经建立的链路,发送新的连接数据包


INVALID


无效无法识别的数据包

注意:允许关联的状态包通过(web服务不要使用FTP服务)

防火墙服务配置在FTP服务器上时,需要配置以下策略

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

实现发现sent_syn状态

iptables -A INPUT -m state --state NEW -j DROP    # 防火墙所连接客户端上配置

实现发现sent_rcvd状态

iptables -I INPUT -i eth0 -s 10.0.0.201 -m state --state ESTABLISHED -j DROP  # 防护墙上配置的

1.6.6 使用iptables实现限速功能

limit是iptables的一个匹配模块,用它结合iptables的其它命令可以实现限速的功能。

不过首先必须明确,limit本身只是一个“匹配”模块。我们知道,iptables的基本原理是“匹配--处理”,limit在这个工作过程中只能起到匹配的作用,它本身是无法对网络数据包进行任何处理的。我看到网上有些limit的例子里面说只 用一条包含limit匹配规则的iptables语句就可以实现限速,那是错误的。

实际上,利用imit来限速需要包括两个步骤:

1.对符合limit匹配规则包放行

2.丢弃/拒绝未放行的包

示例:

iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT
iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -j DROP

语句含义:当来自10.0.0.7 的ping包超过5个时进行限速,限制为每10s一个。

参数说明:


参数


参数含义


--limit n/{second/minute/hour}


指定时间内的请求速率”n”为速率,后面为时间分别为:秒 分 时


--limit-burst [n]


在同一时间内允许通过的请求”n”为数字,不指定默认为5

limit模块具体是如何工作的。?

limit的匹配是基于令牌桶 (Token bucket)模型的。

令牌桶是一种网络通讯中常见的缓冲区工作原理,它有两个重要的参数,令牌桶容量n和令牌产生速率s。

我们可以把令牌当成是门票,而令牌桶则是负责制作和发放门票的管理员,它手里最多有n张令牌。一开始,管理员开始手里有n张令牌。每当一个数据包到达后,管理员就看看手里是否还有可用的令牌。如果有,就把令牌发给这个数据包,limit就告诉iptables,这个数据包被匹配了。而当管理员把手上所有的令牌都发完了,再来的数据包就拿不到令牌了。这时,limit模块就告诉iptables,这个数据包不能被匹配。除了发放令牌之外,只要令牌桶中的令牌数量少于n,它就会以速率s来产生新的令牌,直到令牌数量到达n为止。

通过令牌桶机制,即可以有效的控制单位时间内通过(匹配)的数据包数量,又可以容许短时间内突发的大量数据包的通过(只要数据包数量不超过令牌桶n)。

limit模块提供了两个参数--limit和--limit-burst,分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外,limit匹配的另外一个重要概念是匹配项。在limit中,每个匹配项拥有一个单独的令牌桶,执行独立的匹配计算。

1.6.7 企业级防火墙配置

清除防火墙规则

[[email protected] ~]# iptables -F
[[email protected] ~]# iptables -X
[[email protected] ~]# iptables -Z

修改默认规则为拒绝(修改前先放行22端口,保证自己能够连上主机)

[[email protected] ~]# iptables -A INPUT -p tcp --dport  22 -j ACCEPT
[[email protected] ~]# iptables -P INPUT DROP
[[email protected] ~]# iptables -P FORWARD DROP

放行指定的端口

[[email protected] ~]# iptables -A INPUT -i lo -j ACCEPT
[[email protected] ~]# iptables -A INPUT  -p tcp  -m multiport --dport  80,443 -j ACCEPT
[[email protected] ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
[[email protected] ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存iptables配置

01. 第一种方式

[[email protected] ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[[email protected] ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Apr  4 12:24:43 2017
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [159:10664]
-A INPUT -s 10.0.0.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -s 172.16.1.0/24 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Apr  4 12:24:43 2017

02. 第二种方式

iptables-save >/etc/sysconfig/iptables

1.7 iptables nat表配置实例

1.7.1 iptables实现共享上网

图 - SNAT 配置原理图

第一个里程碑:配置内网服务器,设置网关地址

/etc/init.d/iptables stop      # 内网服务器停止防火墙服务
ifdown eth0                    # 模拟关闭内网服务器外网网卡
setup                          # 修改内网网卡网关和DNS地址信息

也可以使用命令添加默认网关

route add default gw 172.16.1.188

查看默认的路由信息

[[email protected] ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
0.0.0.0         172.16.1.188    0.0.0.0         UG    0      0        0 eth1

说明:内网服务器网关地址指定为共享上网服务器内网网卡地址

第二个里程碑:配置共享上网服务器,开启共享上网服务器路由转发功能

[[email protected] ~]# vim /etc/sysctl.conf
[[email protected] ~]# sysctl -p
~~~
net.ipv4.ip_forward = 1
~~~

第三个里程碑:配置共享上网服务器,实现内网访问外网的NAT映射

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.188

参数详解:


参数


参数说明


-s 172.16.1.0/24


指定将哪些内网网段进行映射转换


-o eth0


指定在共享上网哪个网卡接口上做NAT地址转换


-j SNAT


将源地址进行转换变更


-j DNAT


将目标地址进行转换变更


--to-source ip地址


将源地址映射为什么IP地址


--to-destination ip地址


将目标地址映射为什么IP地址

当filter表中的forward默认为drop策略时,如何配置forward链?

图 - forward工作原理

   配置示例

iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT  # 可以不进行配置
iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT
# iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT   # 可以不进行配置

当外网ip不固定时如何配置?

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE   # 伪装共享上网

说明:在企业中如何没有固定外网IP地址,可以采取以上伪装映射的方式进行共享上网

配置映射方法小结

01. 指定哪些网段需要进行映射     -s 172.16.1.0/24

02. 指定在哪做映射               -o eth0

03. 用什么方法做映射             -j SNAT/DNAT MASQUERADE

04. 映射成什么地址               --to-source  ip地址/--to-destination ip地址

1.7.2 iptables实现外网IP的端口映射到内网IP的端口

实际需求:将网关的IP和9000端口映射到内网服务器的22端口

端口映射 10.0.0.188:9000 -->172.16.1.180:22

配置实例:

iptables -t nat -A PREROUTING -d 10.0.0.188 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.7:22

参数说明:


参数


参数说明


-d 10.0.0.188


目标地址。


-j DNAT


目的地址改写。

1.7.3 IP一对一映射

图 - DNAT 映射原理

实际需求:将ip 地址172.16.1.180 映射到10.0.0.188

通过辅助IP配置:

ip addr add 10.0.0.81/24 dev eth0 label eth0:0   # 添加辅助IP
iptables  -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables  -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81

适合内网的机器访问NAT外网的IP

iptables  -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 172.16.1.8

检查配置:

ping 10.0.0.81 -t
tcpdump|grep -i icmp(两台机器上分别监测)
telnet 10.0.0.81 22

1.7.4 映射多个外网IP上网

方法1:

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16

在三层交换机或路由器,划分VLAN。

方法2:

iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12

扩大子网,会增加广播风暴。

1.7.5 系统防火墙与网络内核优化标准参数

有关iptables的内核优化

调整内核参数文件/etc/sysctl.conf

以下是我的生产环境的某个服务器的配置:

解决time-wait过多的解决办法:

net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.ip_local_port_range = 4000  65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1

在dmesg中显示  ip_conntrack: table full, dropping packet. 的错误提示,什么原因?

如何解决?

#iptables优化

net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

1.8 自定义链的配置

图 - 自定义链原理

创建自定义链

#示例:在filter表中创建NOICMP自定义链
iptables -t filter -N NOICMP

引用自定义链

#示例:在INPUT链中引用刚才创建的自定义链
iptables -t filter -I INPUT -p icmp  -j NOICMP

重命名自定义链

#示例:将IN_WEB自定义链重命名为WEB
iptables -E NOICMP ACCEPTICMP

删除自定义链

删除自定义链需要满足两个条件

  1、自定义链没有被引用

  2、自定义链中没有任何规则

# 示例: 删除引用数为0且不包含任何规则的ACCEPTICMP链
iptables -X ACCEPTICMP

1.9 附录-防火墙状态机制

状态机制是iptables中较为特殊的一部分,这也是iptables和比较老的ipchains的一个比较大的区別之一,运行状态机制(连接跟踪)的防火墙称作带有状态机制的防火墙,以下简称为状态防火墙.状态防火墙比非状态防火墙要安全,因为它允许我们编写更严密的规则。

在iptables上一共有四种状态,分别被称为NEW、ESTABLISHED、INVALID、RELATED,这四种状态对于TCP、UDP、ICMP三种协议均有效。下面,我们来分别阐述四种状态的特性.

?? NEW

meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions

NEW说明这个包是我们看到的笛一个包。意思就是,这是conntrack横块看到的某个连接的第一个包,它即格被匹配了。比如,我们看到一个SYN包,是我们所留意的连接的第一 个包,就要匹配它。

?? ESTABLISHED

meaning that the packet is associated with a connection which has seen packets in both directions

ESTABLISHED已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包.处于ESTABLISHED状态的连接是非常容易理解的.只要发送并接到应答,连接就是ESTABLISHED的了。一个连接要从NEW变为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的.ICMP的错误和重定向等信息包也被看作是ESTABLISHED,只要它们是我们所发出的信息的应答。

?? RELATED

meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

RELATED是个比较麻烦的状态.当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了,换句话说,一个连接要想是RELATED的,首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是RELATED的了,当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子,FTP-data连接就是和FTP-control有关联的,如果没有在iptables的策略中配RELATED状态,FTP-data的连接是无法正确建立的,还有其他的例子,比如,通过IRC的DCC连接#有了这个状态,ICMP应答、FTP传输、DCC等才能穿过防火墙正常工作.注意,大部分还有一些UDP协议都依赖这个机制。这些协议是很复杂的,它们把连接信息放在数据包里,并且要求这些信息能被正确理解。

?? INVALID

meaning that the packet is associated with no known connection

INVALID说明数据包不能被识别属于哪个连接或没有任何状态.有几个原因可以产生这种情况,比如,内存溢出,收到不知厲于哪个连接的ICMP错误信息。一般地,我们DROP这个状态的任何东西,因为防火墙认为这是不安全的东西

1.9.1 iptables配置哲学

如何防止自己被关在门外?

01、去机房重启系统或者登陆服努器删除刚才的禁止规则。

02、让机房人员重启服芳器或者让机房人员拿用户密码登录进去。

03、通过服努器的远程管理卡管理(推荐)。

04、先写一个定时任务,每5分钟就停止防火墙。

05、测试环境测试好,写成脚本,批置执行

配置禁用22端口策略:

iptables -I INPUT -p tcp - dport 22 -j DROP
# 说明:利用-I参数,实现强行阻止访问22端口,将Jffc规则放在第一位

删除配置的禁止连接22端口的规则

iptables -t filter -D INPUT -p tcp —dport 22 -j DROP
iptables -F
/etc/init.d/iptables restart

原文地址:https://www.cnblogs.com/coolpale/p/8411078.html

时间: 2024-10-12 01:21:06

企业防火墙-iptables策略的相关文章

linux防火墙iptables策略

iptables防火墙 1.实现防火墙功能需要软件来调用内核中的netfilter模块2.linux.2.6的内核中使用的软件是iptables iptables实现的功能有过滤,地址转换. 1.iptables中对于同一服务的不同规则的匹配顺序是至上往下,一旦匹配到规则则不再往下匹配,若都没有匹配上,则匹配默认规则.2.iptables中有3张表和5条链路.其中filter用于过滤,其链有INPUT,OUTPUT,FORWARD.其中nat表用于地址转换,对应的链路是   POSTROUTIN

Linux服务器集群架构部署搭建(二)linux防火墙iptables使用及NAT共享

第一章 外网防火墙部署企业应用 1.1 生产中iptables的实际应用 ①iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好.iptables主要工作在OSI七层的2.3.4层.七层的控制可以使用squid代理+iptables. ②iptabes:生产中根据具体情况,一般,内网关闭,外网打开.大并发的情况不能开iptables,影响性能,iptables是要消耗CPU的,所以大并发的情况下,我们使用硬件防火墙的各方面做的很仔细.s

Linux下防火墙iptables原理及实战

iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能. iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包".规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址.目的地址.传输

linux防火墙--iptables(二)

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件 类别 选项 用法 通用匹配 协议匹配 -p 协议名 地址匹配 -s 源地址      

防火墙iptables详解(一)

-- 防火墙 常见的防火墙 :瑞星 江民 诺顿 卡巴斯基 天网...... iptables firewalld http://www.netfilter.org/ netfilter / iptables --iptables 的全名 2.4版本内核后都集成有这个组件 # yum install iptables\* # rpm -qa |grep iptables iptables-services-1.4.21-17.el7.x86_64 iptables-utils-1.4.21-17.

linux防火墙--iptables(三)

七.SNAT源地址转换 ·Source Network Address Translation ·修改数据包的源地址 ·仅用于nat表的POSTROUTING链 Example:局域网共享公网IP上网 ·配置的关键策略 → 做完路由选择后,针对来自局域网.即将从外网接口发出去的数据包,将其源IP地址修改为 网关的公网IP地址  # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166

【Linux进阶】Linux防火墙iptables详解

前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种.无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘.而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP.数据进行检测. 目前市面上比较常见的有3.4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关. 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的 防火墙会在这层对源地址和目标地址进行检测.但是对于七层的防火墙

20个Linux防火墙[iptables]应用技巧[转]

1.显示防火墙的状态 以root权限运行下面的命令: # iptables -L -n -v 参数说明: -L:列出规则. -v:显示详细信息.此选项会显示接口名称.规则选项和TOS掩码,以及封包和字节计数. -n:以数字形式显示IP地址和端口,不使用DNS解析. 如果希望输出的结果中显示行号,可以运行: # iptables -L -n -v --line-nmubers 这样,就可以按照行号在防火墙中添加.删除规则. 要显示输入或输出链规则,可以运行: # iptables -L INPUT

防火墙iptables分析

防火墙iptables分析 一.iptables 基本概念 匹配(match):符合指定的条件,比如指定的 IP 地址和端口. 丢弃(drop):当一个包到达时,简单地丢弃,不做其它任何处理. 接受(accept):和丢弃相反,接受这个包,让这个包通过. 拒绝(reject):和丢弃相似,但它还会向发送这个包的源主机发送错误消息.这个错误消息可以指定,也可以自动产生. 目标(target):指定的动作,说明如何处理一个包,比如:丢弃,接受,或拒绝. 跳转(jump):和目标类似,不过它指定的不是