iptables防火墙应用

安全服务--Iptables
 
一、网络安全访问控制
我们都知道,Linux一般作为服务器使用,对外提供一些基于网络的服务,通常我们都需要对服务器进行一些网络控制,
类似防火墙的功能,
 常见的访问控制包括:那些IP可以访问服务器,可以使用那些协议,那些接口。那些端口 是否需要对数据包进行修改等等。
如果某服务器受到攻击,或者来自互联网哪个区域或者哪个IP的攻击,这个时候应该禁止所有来自该IP的访问。
那么Linux底层内核集成了网络访问控制,通过netfilter模块来实现.
 iptables作用: 1. 拦截基本的攻击  2. 模拟ip段
 iptables是一种程序,netfilter是控制模块
二、IPTables
Linux内核通过netfilter模块实现网络访问控制功能,
在用户层我们可以通过iptables程序对netfiter进行控制和管理
netfilter支持通过以下方式对数据包进行分类:
-源IP地址
-目标IP地址
-使用接口
-使用协议(TCP、UDP、ICMP等)
-端口号
-链接状态(new、ESTABLISHED、RELATED、INVALID)
三、Netfilter概念
外部访问是进来用INPUT
还没有经过路由的数据包 用PREROUTING
Netfileter分为:5条链和3张表
    链                                        表( filter表 , nat表 ,mangle表 )                                                                                              
INPUT(输入进来的数据)             只支持filter和mangle表
FORWARD(转发的数据)             只支持filter和mangle表
OUTPUT(输出,出去的数据)      支持filter nat和mangle表
PREROUTING((DNAT)要把别人的公网地址转换成你们内部的IP,数据流入必然经过PRE)   支持nat和mangle表
POSTROUTING((SNAT)把内部的私有地址转换成公有地址,数据流出必然经过POS)  支持nat和mangle表

filter表--用以对数据进行过滤
nat表 --用以对数据包的源、目标地进行修改
mangle表--用以对数据进行高级修改

另一种说法:分4个表5个链
表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度
4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。      
        filter:一般的过滤功能
          nat:用于nat功能(端口映射,地址映射等)
           mangle:用于对特定数据包的修改
           raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
      5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
           PREROUTING:数据包进入路由表之前
           INPUT:通过路由表后目的地为本机
           FORWARDING:通过路由表后,目的地不为本机
           OUTPUT:由本机产生,向外转发
           POSTROUTIONG:发送到网卡接口之前。

1:filter表  作用:过滤数据包  内核模块:iptables_filter.
***************************************************************************
INPUT 链 :应用于发往本机的数据包
OUTPUT 链 :应用于路由经过本地的数据包
FORWARD 链 :本地产生的数据包
***************************************************************************
2:nat表   作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
PREROUTING   链 :修改到达的数据包
OUTPUT     链 :  路由之前,修改本地产生数据包
POSTROUTING 链 :  数据包发送前,修改该包
****************************************************************************
3:mangle表  作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
PREROUTING   链 :(DNAT)要把别人的公网地址转换成你们内部的IP,数据流入必然经过PRE
INPUT     链 :应用于发送给本机的数据包
FORWARD   链 :修改经过本机路由的数据包
OUTPUT       链 :路由之前,修改本地产生的数据包
POSTROUTING 链 :(SNAT)把内部的私有地址转换成公有地址,数据流出必然经过POST
******************************************************
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理  内核模块:iptable_raw
(这个是REHL4没有的,不过不用怕,用的不多)

四、常用的功能
iptbales作为服务器使用;
(1)过滤到本机的流量 -input链、filter表
(2)过滤到本机的流量 -output链、filter表
iptbales作为路由器使用:
(1) 过滤转发的流量 -forward链、filter表
(2) 对转发数据的源、目标IP进行修改(NAT功能) -forward链、nat表
iptables规则属性
iptables -t filter -A INPUT -s 10.0.0.201 -j DROP
             |         |          |          |
             表        链       匹配属性       动作
Iptables的基本语法格式:
Iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
说 明:表名、链名用于指定iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹 配用于指定对符合什么样条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。

一个iptables命令创建一个规则。主要包含以下几个部分
表:规定使用得表(filter nat mangle,不同的表不同的功能)
链:规定过滤点
匹配属性:规定匹配数据包的特征
匹配后的动作:放行、丢弃、记录
五、iptables参数定义
以配置参数可以自由组合
-v 显示端口流量
-a  所有  all缩写
-D 删除
-I 插入,往所有规则第一条上面插入
-s 源IP
--sport 源端口
-d 目标IP
--dport 目标端口
-i  input
接口 eth0
-o Output
接口 eth0

-A  增加一条策略
-p 指定匹配的协议
-j 动作,是丢弃还是通过 DROP(丢弃包) REJECT(拦阻该封包) ACCEPT(允许放行)LOG(在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则)

防火墙处理数据包的四种方式:
ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给任何回应信息
REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

iptables防火墙规则的保存与恢复
/etc/sysconfig/iptables 配置文件
service iptables save 保存规则
--line-numbers 显示规则编号
Iptables命令的管理控制选项:(-A追加规则、-D删除规则、-R修改规则、-I插入规则、-L查看规则)
-A 在指定链的末尾添加(append)一条新的规则
-n使用数字形式(numeric)显示输出结果
-v查看规则表详细信息(verbose)的信息
-V查看版本(version)
-h获取帮助(help)
命令 -D, --delete删除规则,范例 iptables -D INPUT 1  ( 规则编号)
命令 -R, --replace修改规则,范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
命令 -I, --insert 插入规则,范例 iptables -I INPUT 1 --dport 80 -j ACCEPT,插入一条规则,原本该位置(这里是1)上的规则将会往后移动一个位。
命令 -L, --list,范例 iptables -L INPUT,列出某规则链中的所有规则。
命令 -F, --flush,范例 iptables -F INPUT, 删除某规则链(这里是INPUT规则链)中的所有规则。
命令 -Z, --zero,范例 iptables -Z INPUT, 将封包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具。
命令 -N, --new-chain,范例 iptables -N allowed, 定义新的规则链。
命令 -X, --delete-chain,范例 iptables -X allowed, 删除某个规则链。
命令 -P, --policy,范例 iptables -P INPUT DROP,定义过滤政策, 也就是未符合过滤条件之封包,预设的处理方式。
命令 -E, --rename-chain,范例 iptables -E allowed disallowed, 修改某自订规则链的名称。

六、IPTBALES案例
打开iptables 用/etc/init.d/iptables start或service iptables start
保存iptables配置用/etc/init.d/iptables  save或service iptables save

如果想清空的话,先执行/sbin/iptables -P INPUT ACCEPT
然后执行/sbin/iptables -F
通过iptables -L 看到如下信息
注意:防火是先允许后拒绝,如果先拒绝的话。那么后面允许将不会生效。

filter 表操作
(1)允许10.0.0.254 PING我的主机10.0.0.201
# iptables -t filter -I INPUT 2 -s 10.0.0.254 -d 10.0.0.201 -p icmp -j ACCEPT
(2)禁止所有人PING我的主机10.0.0.201
# iptables -t filter -A INPUT -d 10.0.0.201 -p icmp -j DROP
(3)允许10.0.0.254 和我的笔记本 访问我的80端口和SSH端口
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT

# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT  
(4)其余的人全部拒绝连接SSH 端口号
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 22 -j DROP

nat表操作
POSTROUTING 链 是将本地ip地址伪装成公网ip地址<源>
-o eth0 是 –output eth0 的缩写
-i eth0 是  –input eth0  的缩写
PREROUTING 链 是将外网地址IP转换成内网地址 <目标>
DNAT     转换目标地址
SNAT      转换源地址
1024:65535 端口转换范围 中间段写法
1024-65535 端口转换范围 最后一段写法
any/0    所有IP地址,不限制范围  -d any/0   -s any/0

(1)、启动内部对外转址
将10.0.0.0 这个网段,伪装成118.251.117.250出去,此IP为防火墙外网IP。
(DNAT)要把别人的公网地址转换成你们内部的IP,数据流入必然经过PRE
#iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -j SNAT --to-source 118.251.117.250
# iptables -L -t nat 查看
-----
|网口公网地址。
IPTABLES
|
|
LVS
\
WEB WE
\REDIS
\MYSQL
\
(2)、启动内部对外转址
将10.0.0.0/16 这个网段,允许访问外网的http 80端口,到公网后转换成118.251.117.250
#iptables -t nat -A POSTROUTING -o eth1 -p tcp -s 10.0.0.0/16 --dport 80 -j SNAT --to-source 118.251.117.250
(3):启动端口影射
将内网的web服务器10.0.0.201的80端口发布出去
当外网地址访问$FW_IP 80端口的时候,将其转发到10.0.0.201
#:$FW_IP=”118.251.117.250”
#iptables -t nat -A PREROUTING -i eth1 -p tcp -d 118.251.117.250 --dport 80 -j DNAT --to-destination 10.0.0.201

七、IPTBALES本章作业
(1)允许10.0.2.254可以PING你的地址,其它人全部禁止
# iptables -t filter -I INPUT 2 -s 10.0.0.254 -d 10.0.0.201 -p icmp -j ACCEPT
# iptables -t filter -A INPUT -d 10.0.0.201 -p icmp -j DROP
(2)允许10.0.2.254和你目前用的真实机可以ssh登陆你的机器,其它的全部禁止掉
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 22 -j DROP
(3)允许10.0.2.254访问你的20 和21号端口,其它人全部禁止
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 21 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 20 -j ACCEPT  
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 20 -j DROP
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 21 -j DROP
(4)禁止10.0.2.254访问你的53号端口。其它的人全部允许
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 53 -j DROP
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 53 -j ACCEPT
(5)禁止10.0.2.254访问你的80端口,其它人全部允许
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 80 -j DROP
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT
(6)允许10.0.0.2.254访问你的23端口。其它人全部禁止
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 23 -j ACCEPT
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 23 -j DROP
(7)通过NAT表WEB服务器10.0.2.231的80端口发布出去。

(8)通过NAT表FTP服务器10.0.2.232的20 21端口发布出去

1.拒绝进入防火墙的所有ICMP协议数据包
iptables -I INPUT -p icmp -j REJECT
2.允许防火墙转发除ICMP协议以外的所有数据包
iptables -A FORWARD -p ! icmp -j ACCEPT
说明:使用“!”可以将条件取反。
3.拒绝转发来自192.168.1.10主机的数据,允许转发来自192.168.0.0/24网段的数据
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
说明:注意要把拒绝的放在前面不然就不起作用了啊。
4.丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
5.封堵网段(192.168.1.0/24),两小时后解封。
[[email protected] ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[[email protected] ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[[email protected] ~]# at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
说明:这个策略咱们借助crond计划任务来完成,就再好不过了。
[1]+  Stopped     at now +2 hours
6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时。
7.允许本机开放从TCP端口20-1024提供的应用服务。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
9.禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
10.禁止转发来自MAC地址为00:0C:29:27:55:3F的和主机的数据包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
说明:iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。
11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
说明:这里用“-m multiport –dport”来指定目的端口及范围
12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
说明:此处用“-m –iprange –src-range”指定IP范围。
13.禁止转发与正常TCP连接无关的非—syn请求数据包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
说明:“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的,新的嘛!
14.拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。
15.只开放本机的web服务(80)、FTP(20、21、20450-20480),放行外部主机发住服务器其它端口的应答数据包,将其他入站数据包均予以丢弃处理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

iptables防火墙应用,布布扣,bubuko.com

时间: 2024-11-02 21:38:57

iptables防火墙应用的相关文章

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

【整理笔记-防火墙】实现iptables防火墙搭建

搭建防火墙,配置防火墙. - - 系统centos7 . centos7自带firewalld,由于看firewalld命令行没有接触过,所以安装iptables防火墙. 1:禁用firewalld firewall-cmd --state 查看系统自带防火墙状态. 用systemctl stop firewalld.service   禁止立即生效, systemctl disable firewalld.service  永久关闭firewalld.执行完再看一下防火墙状态, 显示为not

iptables防火墙高级应用

iptables 防火墙(主机防火墙) 前言:我们在以前学习过asa防火墙,对防火墙有一定的了解,那么iptables和asa防火墙类似,作用一样,都是为了保证网络安全,系统安全,服务器的安全,和asa一样也需要建立策略,个人觉得比asa的策略要繁琐一点,但只要多做几遍,也就简单了. 一.防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. 1.iptables的表.链结构 Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

基于linux的web服务器的iptables防火墙安全优化设置

安全规划:开启 80  22 端口并 打开回路(回环地址 127.0.0.1) #iptables –P INPUT ACCEPT #iptables –P OUTPUT ACCEPT #iptables –P FORWARD ACCEPT 以上几步操作是为了在清除所有规则之前,通过所有请求,如果远程操作的话,防止远程链接断开. 接下来清除服务器内置规则和用户自定义规则: #iptables –F #iptables -X 打开ssh端口,用于远程链接用: #iptables –A INPUT

iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

CentOS下配置iptables防火墙 linux NAT(iptables)配置

CentOS下配置防火墙 配置nat转发服务CentOS下配置iptables防火墙 linux NAT(iptables)配置 CentOS下配置iptables 1,vim /etc/sysconfig/network   这里可以更改主机名称. NETWORKING=yesNETWORKING_IPV6=noHOSTNAME=BGI-TJ.localdomain GATEWAY=192.168.11.1(超算网关) 2.vim /etc/sysconfig/network-scripts/

20条IPTables防火墙规则用法!

导读 管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击.很多用户把 Linux 中的 IPTables 当成一个防火墙,从严格意见上来说 IPTables 只是能够帮助管理员定义各种规则并与 Linux Kernel 进行沟通的一个命令行工具.它只是帮助管理员配置网络流量的传入.传出规则列表,具体的实现其实是在 Linux 内核当中. IPTables 包括一组内置和由用户定义规则的「链」,管理员可以在「链」上附加

iptables防火墙之主机型

iptables防火墙本身是不防火的,是靠其中的规则判断数据是丢弃还是放行,而这些规则就存放在iptables的四表五链中. iptables四表五链 四表 filter(过滤数据包):INPUT,OUTPUT,FORWARD nat(地址转换):PREROUTING,POSTOUTING,OUTPUT mangle表(拆开,修改,封装数据):五个链全部包含 raw(状态追踪):PREROUTING,OUTPUT 五链(根据数据报文的流向,判断报文放在那里) INPUT:到本机内部来的数据 OU