Linux系统日常管理2 tcpdump,iptables

Linux系统日常管理2 tcpdump,iptables 

1. Linux抓包工具

tcpdump 系统自带抓包工具

如果没有安装，需要安装之后才可以使用

安装：

[[email protected] ~]# yum install -y tcpdump

tcpdump -nn

不转换顿口的名字，直接显示端口号

tcpdump -nn -i eth0 tcp and host 192.168.0.1 and port 80

抓取192.168.0.1ip地址的80端口的tcp包，并且不进行端口名字的转换

-i：指定网卡

tcp：表示只抓取tcp的包

192.168.0.1：指定的ip地址

port 80：指定的，只抓取80端口的数据

tcpdump -nn -i eth0 tcp and host 192.168.0.1 and port 80 -w 1.txt

把抓取的数据包写入到1.txt文件中

-w：写入

tcpdump -nn -i eth0 tcp and host 192.168.0.1 and port 80 -c 10 -w 1.txt

抓取10个数据包，并且写入到1.txt文件中

-c：指定抓取多少个包

-s0：抓取所有内容

[[email protected] ~]# tcpdump -nn -i eth0 tcp and not port 80

过滤掉80端口

tcpdump -nn -vs0 tcp and port not 22 -c 100 -w 1.cap

-w：写入

strings：可以查看二进制包里面的内容

wireshark

默认没有安装，需要安装

yum install -y wireshark

抓包分析http请求，查看80端口上面请求的一些东西

tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

在什么情况下使用：

1、访问日志没有记录

2、不知道配置文件在哪里，不不想去配置日志文件

3、只是抓跑看看内容

4、如果抓包没有任何显示的时候，需要指定网卡在

tshark -i eth0 -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

tcpdump和tshark都需要用root的身份才可以执行

2. Selinux

getenforce：查看selinux状态

配置文件 /etc/selinux/config

三种状态：

enforcing：开启

permissive：开启但是不生效，触碰规则的时候警告

disabled：关闭

要设置永久关闭，需要更改配置文件，

[[email protected] ~]# cat /etc/selinux/config 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing #改成SELINUX=disabled，就永久关闭了
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

setenforce 0：临时关闭，重启后失效

setenforce 1：临时启用，但是如果SELINUX=disabled，是无法启用的

如果没有getenforce这个包，需要安装

使用rpm查看包名：

rpm -qf `which getenforce`

安装

yum install -y libselinux-utils

使用yum也可以安装

yum install *selinux*

3. netfilter --  iptables

iptables -nvL 查看规则

iptables -F 清除当前的规则，系统从启后会失效，只是临时的

iptables -Z 计数器清零

service iptables save 保存规则 保存的规则文件为：/etc/sysconfig/iptables

service iptables stop  可以暂停防火墙，但是重启后它会读取/etc/sysconfig/iptables 从而启动防火墙，另外即使我们停止防火墙，但一旦我们添加任何一条规则，它也会开启。

iptables -t  指定表名，默认不加-t则是filter表

filter 这个表主要用于过滤包的，是系统预设的表,内建三个链INPUT、OUTPUT以及FORWARD。INPUT作用于进入本机的包；OUTPUT作用于本机送出的包；FORWARD作用于那些跟本机无关的包。

iptables -nvL -t nat

指定nat表

nat 主要用处是网络地址转换、端口映射，也有三个链。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址。

mangle 主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time ToLive，生存周期)值以及为数据包设置Mark标记，以实现Qos (Quality of Service,服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。 五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

raw   对报文设置一个标志，决定数据包是否被状态跟踪机制处理   只有两个链：OUTPUT、PREROUTING

iptables规则相关：

查看规则 iptables -t nat -nvL

清除规则 iptables -t nat -F

增加/删除规则

iptables -A/-D INPUT -s 10.72.11.12 -p tcp --sport 1234 -d 10.72.137.159 --dport 80 -j DROP

把10.72.11.12主机从1234端口出去到达目标10.72.137.159主80端口的包丢掉

-A/D：表示增加/删除一条规则

-I：插入一条规则，跟A的效果类似

-p：地址协议，可以是tcp、udp或icmp

--dport：指定目标端口，跟-p一起使用

--sport：指定源端口，跟-p一起使用

-s：指定源IP，也可以是一个IP段

-d：指定目的IP或者IP段

-j：后面跟动作，有三个选项，允许ACCEPT,丢包DROR,拒绝REJECT

-i：表示指定网卡，不常用，偶尔用到

插入规则,使用了-I之后，插入的规则会在之前规则的前面

iptables -I INPUT -s 1.1.1.1 -j DROP/ACCEPT/REJECT

越在前面越先匹配，应该说是在前面有优先匹配的权限吧

把来自192.168.21.99主机的数据包丢掉

[[email protected] ~]#iptables -I INPUT -s 192.168.21.99 -j DROP

删除192.168.21.99这条主机的规则

[[email protected] ~]# iptables -D INPUT -s 192.168.21.99 -j DROP

通讯协议使用的是tcp协议，并且是通过80端口来访问本机，且IP地址是192.168.21.99主机的包丢掉

[[email protected] ~]# iptables -I INPUT -s 192.168.21.99 -p tcp --dport 80 -j DROP

把本机访问192.168.21.99主机22端口的包丢掉

[[email protected] ~]# iptables -I INPUT -p tcp --dport 22 -d 192.168.21.99 -j DROP

允许192.168.21.0/24这个网段在eth0网卡上通信

[[email protected] ~]# iptables -A INPUT -s 192.168.21.0/24 -i eth0 -j ACCEPT

查看规则带有id号

iptables -nvL --line-numbers

[[email protected] ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1964  145K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
5     3177  311K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 
6        0     0 ACCEPT     tcp  --  *      *       1.1.1.1              0.0.0.0/0           tcp dpt:80

根据规则的id号删除对应规则

iptables -D INPUT 6

[[email protected] ~]# iptables -D INPUT 6
[[email protected] ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1981  146K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        2   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
5     3177  311K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

iptables -P INPUT [ACCEPT]  用来设定默认规则，默认是ACCEPT ，一旦设定为DROP后，只能使用 iptables -P ACCEPT 才能恢复成原始状态，而不能使用-F参数

开放所有192.168.21.254主机的协议，就是说没有任何端口的过滤和限制

[[email protected] ~]# iptables -A INPUT -s 192.168.21.254 -j ACCEPT

iptables-save > 1.ipt

把规则重定向到1.ipt文件中，也可以说成是备份

iptables-restore < 1.ipt

恢复之前备份的规则，使用反向重定向到iptables

禁止别人ping通你，但是你可以ping通别人

[[email protected] ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP

实例：

针对filter表，预设策略INPUT链DROP，其他两个链ACCEPT，然后针对192.168.0.0/24开通22端口，对所有网段开放80端口，对所有网段开放21端口。 脚本如下：

#! /bin/bash 
ipt="/sbin/iptables" 
$ipt -F; $ipt -P INPUT DROP; 
$ipt -P OUTPUT ACCEPT; $ipt -P FORWARD ACCEPT; 
$ipt -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT 
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

icmp的包有常见的应用,本机ping通外网，外网ping不通本机 iptables -I INPUT -p icmp --icmp-type 8 -j DROP

nat表应用：

路由器就是使用iptables的nat原理实现

假设您的机器上有两块网卡eth0和eth1，其中eth0的IP为192.168.10.11，eth1的IP为172.16.10.11 。eth0连接了intnet 但eth1没有连接，现在有另一台机器(172.16.10.12)和eth1是互通的，那么如何设置也能够让连接eth1的这台机器能够连接intnet?

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE

规则备份与恢复：

service iptables save 这样会保存到/etc/sysconfig/iptables

iptables-save > myipt.rule 可以把防火墙规则保存到指定文件中

iptables-restore < myipt.rule  这样可以恢复指定的规则