iptables防火墙简介
iptables/netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,
可以对流入、流出、流经服务器的数据包进行精细的控制。
iptables是Linux2.4及2.6内核中集成的模块。
防火墙果汁的执行顺序默认是从前到后依次执行,遇到匹配的规则就不在继续向下检查,若果遇到不匹配的规则会继续向下执行,
匹配上了拒绝规则也是匹配,因此不再继续。
在iptables中有三个最常用的表,分别是filter,nat和mangle,每一个表中都包含了各自不同的链。
filter表:
filter是iptables默认使用的表,负责对流入、流出本机的数据包进行过滤,该表中定义了3个链:
- INPOUT
负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包。- FORWARD
负责转发流经本机但不进入本机的数据包,起到转发的作用。- OUTPUT
负责处理所有源地址是本机地址的数据包,就是处理从主机发出去的数据包。
NAT表:
NAT是Network Address Translation的缩写,是网络地址转换的意思,用来负责来源与目的ip地址和port的转换。
一般用于局域网多人共享上网或将内网ip映射成外网ip+port转换的功能。该表主要包含3个链:
OUTPUT
和主机发出去的数据包有关,在数据包路由之前改变主机产生的数据包的目的地址。
PREROUTING
在数据包刚到达防火墙时,进行路由判断之前执行的规则。改变包的目的地址(DNAT功能)、端口等
POSTROUTING
在数据包离开防火墙时,进行路由判断之后执行的规则。改变包的源地址(SNAT功能)、端口等
Mangle表:
Mangle表主要负责修改数据包中的特殊路由标记,如TTL、TOS、MARK等。这个表中包含了5个链:INPUT、FORWARD、OUTPUT、PREROUTING、POSTROUTING,
这张表与特殊的标记相关,一般情况我们很少使用。
iptables:
0.0.0.0 所有ip
#查看帮助
iptables -h
man iptables
列出iptables规则
iptables -L -n
列出iptables规则并显示规则编号
iptables -L -n --line-numbers
列出iptables nat表规则(默认是filter表)
iptables -L -n -t nat
清除默认规则(注意默认是filter表,如果对nat表操作要加-t nat)
#清楚所有规则
iptables -F
#删除用户自定义的链
iptables -X
#将链的计数器清零
iptables -Z
#重启iptables发现规则依然存在,因为没有保存
service iptables restart
#保存配置
service iptables save
#禁止ssh登陆(若果服务器在机房,一定要小心)
iptables -A INPUT -p tcp --dport 22 -j DROP
#清除规则
iptables -D INPUT -p tcp --dport 22 -j DROP
iptables -D INPUT [line-number] // 根据
-A, --append chain 追加到规则的最后一条
-D, --delete chain [rulenum] Delete rule rulenum (1 = first) from chain
-I, --insert chain [rulenum] Insert in chain as rulenum (default 1=first) 添加到规则的第一条
-p, --proto proto protocol: by number or name, eg. ‘tcp‘,常用协议有tcp、udp、icmp、all
-j, --jump target 常见的行为有ACCEPT、DROP和REJECT三种,但一般不用REJECT,会带来安全隐患
注意:INPUT和DROP这样的关键字需要大写
#禁止192.168.10.0网段从eth0网卡接入
iptables -A INPUT -p tcp -i eth0 -s 192.168.10.0/24 -j DROP
#禁止ip地址非192.168.10.10的所有类型数据接入
iptables -A INPUT ! -s 192.168.10.10 -j DROP
#禁止ip地址非192.168.10.10的ping请求
iptables -I INPUT -p icmp --icmp-type 8 ! -s 192.168.98.10 -j DROP
#扩展匹配:1.隐式扩展 2.显示扩展
#隐式扩展
-p tcp
--sport PORT 源端口
--dport PORT 目标端口
#显示扩展:使用额外的匹配规则
-m EXTENSTION --SUB-OPT
-p tcp --dport 22 与 -p tcp -m tcp --dport 22功能相同
state:状态扩展,接口ip_contrack追踪会话状态
NEW:新的连接请求
ESTABLISHED:已建立的连接请求
INVALID:非法连接
RELATED:相关联的连接
#匹配端口范围
iptables -I INPUT -p tcp --dport 22:80 -j DROP
#匹配多个端口
iptables -I INPUT -p tcp -m multiport --dport 22,80 -j DROP
#不允许源端口为80的数据流出
iptables -I OUTPUT -p tcp --sport 80 -j DROP
#服务器一般默认规则问拒绝,如果想允某种流量通过需要额外添加
_____
Incoming / \ Outgoing
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-6.html
配置防火墙:
两种模式:电影院模式和逛公园模式
配置一个生产环境的防火墙
#1.清空所有规则
iptables -F
iptables -Z
iptables -X
#2.配置允许ssh协议的22端口进入
iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT
#3.配置允许lo接口数据的进出
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#4.设置默认的进出规则,DROP掉INPUT链和FORWARD链,保留OUTPUT链
iptables --policy OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
#5.开启信任的IP段
iptables -A INPUT -p all -s 192.168.10.0/24 -j ACCEPT
#6.开放http的80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#7.允许icmp类型协议通过
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#8.允许关联状态包进出
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#对于FTP而言,就需要 RELATED 才能实现 21 端口白名单,如不加此项需要额外开放端口,而那些额外开放端口是不受连接状态保护的。
#9.保存iptables配置到文件
service iptables save
iptables --policy INPUT DROP // 将INPUT表策略修改为DROP
iptables的NAT功能:将Linux服务器配置为上网网关和端口映射功能
上网网关:就是将Linux服务器配置成路由器或者网关,实现其他服务器能通过这台服务器进行上网的功能,如果需要实在该功能,就要借助iptables的nat表
NAT的两种方式:DNAT和SNAT
SNAT的全称是Source Network Address Translation,意思是源网络地址转换,这是一种改变数据包源ip地址等功能的技术,
经常用来实现使多台计算机共享一个Internet地址访问互联网的功能,如x小区宽带、企业内部机器上网。(nat表的POSTROUTING)
DNAT的全称是Destination Network Address Translation,意思是目的网络地址转换,DNAT是一种改变数据包目的ip地址等功能的技术,它可以使多台服务器共享一个ip地址连入Internet,并且继续对外提供服务。通过对同一个外部ip地址分配不同的端口,可以映射到不同的内部服务器的ip和端口,从而实现提供各种服务的目的。除了进行端口映射外,还可以配合SNAT的功能,来实现类似防火墙设备才能实现的DMZ功能,即ip的一对一映射。(nat表的PREROUTING)
SNAT实验步骤:
1.准备两台服务器,其中一台服务器作为网关服务器,这台服务器要有两块网卡。另外一台作为内网服务器,有一块网卡。
2.网关服务器内核文件/etc/sysctl.conf需要开启转发功能。编辑/etc/sysctl.conf修改内容为net.ipv4.ip_forward=1,然后执行sysctl -p使修改立即生效。
3.设置iptables的filter表的FORWARD链允许转发。iptables iptables -P FORWARD ACCEPT
4.将内网服务器的网关设置为网关服务器的内网ip地址
5.在网关服务器的iptables的nat表中加一条规则:iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 172.16.50.128
6.验证:ping 8.8.8.8可以ping通,但是ping百度不同,需要配置DNS
DNAT实验步骤
在网关服务器的iptables的nat表中加一条规则:
iptables -t nat -A PREROUTING -d 172.16.50.128 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.129:80
一对一映射:
ifconfig eth0:1 172.16.50.100/24
// 外网对该IP所有端口进行转发
iptables -t nat -A PREROUTING -d 172.16.50.100 -j DNAT --to-destination 192.168.10.129
// 内网访问外网前,先通过VM1 SNAT. 所有端口转发 这个和上面标绿字体部分差不多
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.129 -j SNAT --to-source 172.16.50.100
一个网卡多个IP的方式:
1.网卡别名
ifconfig eth0:1 192.168.50.200
2.?
删除nat表POSTROUTING 第一条rule
iptables -t nat -D POSTROUING 1
DNAT -> PREROUTING
SNAT -> POSTROUTING
回路走的MAC记录