iptables防火牆應用

標籤：ip地址   網路安全   防火牆   互連網   

                                   安全服務--Iptables
 
一、網路安全存取控制
我們都知道，Linux一般作為伺服器使用，對外提供一些基於網路的服務，通常我們都需要對伺服器進行一些網路控制，
類似防火牆的功能，
 常見的存取控制包括：那些IP可以訪問伺服器，可以使用那些協議，那些介面。那些連接埠 是否需要對資料包進行修改等等。
如果某伺服器受到攻擊，或者來自互連網哪個地區或者哪個IP的攻擊，這個時候應該禁止所有來自該IP的訪問。
那麼Linux底層核心整合了網路存取控制，通過netfilter模組來實現.
 iptables作用： 1. 攔截基本的攻擊  2. 類比ip段
 iptables是一種程式，netfilter是控制模組
二、IPTables
Linux核心通過netfilter模組實現網路存取控制功能，
在使用者層我們可以通過iptables程式對netfiter進行控制和管理
netfilter支援通過以下方式對資料包進行分類:
-源IP地址
-目標IP地址
-使用介面
-使用協議(TCP、UDP、ICMP等)
-連接埠號碼
-連結狀態(new、ESTABLISHED、RELATED、INVALID）
三、Netfilter概念
外部存取是進來用INPUT
還沒有經過路由的資料包 用PREROUTING
Netfileter分為:5條鏈和3張表
    鏈                                        表（ filter表 ， nat表 ，mangle表 ）                                                                                              
INPUT(輸入進來的資料)             只支援filter和mangle表
FORWARD(轉寄的資料)             只支援filter和mangle表
OUTPUT(輸出，出去的資料)      支援filter nat和mangle表
PREROUTING((DNAT)要把別人的公網地址轉換成你們內部的IP，資料流入必然經過PRE)   支援nat和mangle表
POSTROUTING（（SNAT）把內部的私人地址轉換成公有地址,資料流出必然經過POS)  支援nat和mangle表

filter表--用以對資料進行過濾
nat表 --用以對資料包的源、目標地進行修改
mangle表--用以對資料進行進階修改

另一種說法：分4個表5個鏈
表是按照對資料包的操作區分的，鏈是按照不同的Hook點來區分的，表和鏈實際上是netfilter的兩個維度
4個表:filter,nat,mangle,raw，預設表是filter（沒有指定表的時候就是filter表）。表的處理優先順序：raw>mangle>nat>filter。      
        filter：一般的過濾功能
          nat:用於nat功能（連接埠映射，地址映射等）
           mangle:用於對特定資料包的修改
           raw:有限級最高，設定raw時一般是為了不再讓iptables做資料包的連結跟蹤處理，提高效能
      5個鏈：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
           PREROUTING:資料包進入路由表之前
           INPUT:通過路由表後目的地為本機
           FORWARDING:通過路由表後，目的地不為本機
           OUTPUT:由本機產生，向外轉寄
           POSTROUTIONG:發送到網卡介面之前。

1：filter表  作用：過濾資料包  核心模組：iptables_filter.
***************************************************************************
INPUT 鏈 ：應用於發往原生資料包
OUTPUT鏈 ：應用於路由經過本地的資料包
FORWARD鏈 ：本地產生的資料包
***************************************************************************
2：nat表   作用：用於網路位址轉譯（IP、連接埠） 核心模組：iptable_nat
PREROUTING  鏈 ：修改到達的資料包
OUTPUT     鏈 :  路由之前，修改本地產生資料包
POSTROUTING鏈 :  資料包發送前，修改該包
****************************************************************************
3：mangle表  作用：修改資料包的服務類型、TTL、並且可以配置路由實現QOS核心模組：iptable_mangle(別看這個表這麼麻煩，咱們設定策略時幾乎都不會用到它)
PREROUTING   鏈 ：(DNAT)要把別人的公網地址轉換成你們內部的IP，資料流入必然經過PRE
INPUT     鏈 ：應用於發送給原生資料包
FORWARD   鏈 ：修改經過本機路由的資料包
OUTPUT       鏈 ：路由之前，修改本地產生的資料包
POSTROUTING 鏈 ：（SNAT）把內部的私人地址轉換成公有地址,資料流出必然經過POST
******************************************************
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定資料包是否被狀態跟蹤機制處理  核心模組：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)

四、常用的功能
iptbales作為伺服器使用;
（1）過濾到原生流量 -input鏈、filter表
（2）過濾到原生流量 -output鏈、filter表
iptbales作為路由器使用:
(1) 過濾轉寄的流量 -forward鏈、filter表
(2) 對轉寄資料的源、目標IP進行修改(NAT功能) -forward鏈、nat表
iptables規則屬性
iptables -t filter -A INPUT -s 10.0.0.201 -j DROP
             |         |          |          |
             表        鏈       匹配屬性       動作
Iptables的基本文法格式：
Iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］
說 明：表名、鏈名用於指定iptables命令所操作的表和鏈，命令選項用於指定管理iptables規則的方式（比如：插入、增加、刪除、查看等；條件匹 配用於指定對符合什麼樣條件的資料包進行處理；目標動作或跳轉用於指定資料包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。

一個iptables命令建立一個規則。主要包含以下幾個部分
表:規定使用得表(filter nat mangle，不同的表不同的功能)
鏈:規定過濾點
匹配屬性:規定匹配資料包的特徵
匹配後的動作：允許存取、丟棄、記錄
五、iptables參數定義
以配置參數可以自由組合
－v 顯示連接埠流量
－a  所有  all縮寫
－D 刪除
－I 插入，往所有規則第一條上面插入
－s 源IP
--sport 源連接埠
－d 目標IP
--dport 目標連接埠
-i  input
介面 eth0
-o Output
介面 eth0

-A  增加一條策略
-p 指定匹配的協議
-j 動作，是丟棄還是通過 DROP(丟棄包) REJECT(攔阻該封包) ACCEPT(允許允許存取)LOG（在/var/log/messages檔案中記錄日誌資訊，然後將資料包傳遞給下一條規則）

防火牆處理資料包的四種方式：
ACCEPT 允許資料包通過
DROP 直接丟棄資料包，不給任何回應資訊
REJECT 拒絕資料包通過，必要時會給資料發送端一個響應的資訊。
LOG在/var/log/messages檔案中記錄日誌資訊，然後將資料包傳遞給下一條規則

iptables防火牆規則的儲存與恢複
/etc/sysconfig/iptables 設定檔
service iptables save 儲存規則
--line-numbers 顯示規則編號
Iptables命令的管理控制選項：(-A追加規則、-D刪除規則、-R修改規則、-I插入規則、-L查看規則)
-A 在指定鏈的末尾添加（append）一條新的規則
-n使用數字形式（numeric）顯示輸出結果
-v查看規則表詳細資料（verbose）的資訊
-V查看版本(version)
-h擷取協助（help）
命令 -D, --delete刪除規則，範例 iptables -D INPUT 1  ( 規則編號)
命令 -R, --replace修改規則，範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
命令 -I, --insert 插入規則，範例 iptables -I INPUT 1 --dport 80 -j ACCEPT，插入一條規則，原本該位置(這裡是1)上的規則將會往後移動一個位。
命令 -L, --list，範例 iptables -L INPUT，列出某規則鏈中的所有規則。
命令 -F, --flush，範例 iptables -F INPUT， 刪除某規則鏈(這裡是INPUT規則鏈)中的所有規則。
命令 -Z, --zero，範例 iptables -Z INPUT， 將封包計數器歸零。封包計數器是用來計算同一封包出現次數，是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain，範例 iptables -N allowed， 定義新的規則鏈。
命令 -X, --delete-chain，範例 iptables -X allowed， 刪除某個規則鏈。
命令 -P, --policy，範例 iptables -P INPUT DROP，定義過濾政策， 也就是未符合過濾條件之封包，預設的處理方式。
命令 -E, --rename-chain，範例 iptables -E allowed disallowed， 修改某自訂規則鏈的名稱。

六、IPTBALES案例
開啟iptables 用/etc/init.d/iptables start或service iptables start
儲存iptables配置用/etc/init.d/iptables  save或service iptables save

如果想清空的話，先執行/sbin/iptables -P INPUT ACCEPT
然後執行/sbin/iptables -F
通過iptables -L 看到如下資訊
注意:防火是先允許後拒絕，如果先拒絕的話。那麼後面允許將不會生效。

filter 表操作
(1)允許10.0.0.254 PING我的主機10.0.0.201
# iptables -t filter -I INPUT 2 -s 10.0.0.254 -d 10.0.0.201 -p icmp -j ACCEPT
(2)禁止所有人PING我的主機10.0.0.201
# iptables -t filter -A INPUT -d 10.0.0.201 -p icmp -j DROP
(3)允許10.0.0.254 和我的筆記本 訪問我的80連接埠和SSH連接埠
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT

# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT  
(4)其餘的人全部拒絕串連SSH 連接埠號碼
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 22 -j DROP

nat表操作
POSTROUTING 鏈 是將本地ip地址偽裝成公網ip地址<源>
-o eth0 是 –output eth0 的縮寫
-i eth0 是  –input eth0  的縮寫
PREROUTING 鏈 是將外網地址IP轉換成內網地址 <目標>
DNAT     轉換目標地址
SNAT      轉換源地址
1024:65535 連接埠轉換範圍 中間段寫法
1024-65535 連接埠轉換範圍 最後一段寫法
any/0    所有IP地址，不限制範圍  -d any/0   -s any/0

(1)、啟動內部對外轉址
將10.0.0.0 這個網段，偽裝成118.251.117.250出去，此IP為防火牆外網IP。
(DNAT)要把別人的公網地址轉換成你們內部的IP，資料流入必然經過PRE
#iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -j SNAT --to-source 118.251.117.250
# iptables -L -t nat 查看
-----
|網口公網地址。
IPTABLES
|
|
LVS
\
WEB WE
\REDIS
\MYSQL
\
(2)、啟動內部對外轉址
將10.0.0.0/16 這個網段，允許訪問外網的http 80連接埠，到公網後轉換成118.251.117.250
#iptables -t nat -A POSTROUTING -o eth1 -p tcp -s 10.0.0.0/16 --dport 80 -j SNAT --to-source 118.251.117.250
(3):啟動連接埠影射
將內網的web伺服器10.0.0.201的80連接埠發布出去
當外網地址訪問$FW_IP 80連接埠的時候，將其轉寄到10.0.0.201
#:$FW_IP=”118.251.117.250”
#iptables -t nat -A PREROUTING -i eth1 -p tcp -d 118.251.117.250 --dport 80 -j DNAT --to-destination 10.0.0.201




七、IPTBALES本章作業
(1)允許10.0.2.254可以PING你的地址，其它人全部禁止
# iptables -t filter -I INPUT 2 -s 10.0.0.254 -d 10.0.0.201 -p icmp -j ACCEPT
# iptables -t filter -A INPUT -d 10.0.0.201 -p icmp -j DROP
(2)允許10.0.2.254和你目前用的真實機可以ssh登陸你的機器，其它的全部禁止掉
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.3 -d 10.0.0.201 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 22 -j DROP
(3)允許10.0.2.254訪問你的20 和21號連接埠，其它人全部禁止
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 21 -j ACCEPT
# iptables -t filter -A INPUT -s 10.0.0.254 -d 10.0.0.201 -p tcp --dport 20 -j ACCEPT  
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 20 -j DROP
# iptables -t filter -A INPUT -d 10.0.0.201 -p tcp --dport 21 -j DROP
(4)禁止10.0.2.254訪問你的53號連接埠。其它的人全部允許
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 53 -j DROP
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 53 -j ACCEPT
(5)禁止10.0.2.254訪問你的80連接埠，其它人全部允許
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 80 -j DROP
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 80 -j ACCEPT
(6)允許10.0.0.2.254訪問你的23連接埠。其它人全部禁止
#iptables -A FORWARD -s 10.0.2.254  -p tcp --dport 23 -j ACCEPT
#iptables -A FORWARD -d 10.0.0.201 -p tcp --dport 23 -j DROP
(7)通過NAT表WEB伺服器10.0.2.231的80連接埠發布出去。

(8)通過NAT表FTP伺服器10.0.2.232的20 21連接埠發布出去

1.拒絕進入防火牆的所有ICMP協議資料包
iptables -I INPUT -p icmp -j REJECT
2.允許防火牆轉寄除ICMP協議以外的所有資料包
iptables -A FORWARD -p ! icmp -j ACCEPT
說明：使用“！”可以將條件取反。
3.拒絕轉寄來自192.168.1.10主機的資料，允許轉寄來自192.168.0.0/24網段的資料
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明：注意要把拒絕的放在前面不然就不起作用了啊。
4.丟棄從外網介面（eth1）進入防火牆原生源地址為私網地址的資料包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
5.封堵網段（192.168.1.0/24），兩小時後解鎖。
[[email protected] ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[[email protected] ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[[email protected] ~]# at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
說明：這個策略咱們藉助crond計劃任務來完成，就再好不過了。
[1]+  Stopped     at now +2 hours
6.只允許管理員從202.13.0.0/16網段使用SSH遠程登入防火牆主機。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
說明：這個用法比較適合對裝置進行遠端管理時使用，比如位於分公司中的SQL伺服器需要被總公司的管理員管理時。
7.允許本機開放從TCP連接埠20-1024提供的應用服務。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
8.允許轉寄來自192.168.0.0/24區域網路段的DNS解析請求資料包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT
9.禁止其他主機ping防火牆主機，但是允許從防火牆上ping其他主機
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
10.禁止轉寄來自MAC地址為00：0C：29：27：55：3F的和主機的資料包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明：iptables中使用“-m 模組關鍵字”的形式調用顯示匹配。咱們這裡用“-m mac –mac-source”來表示資料包的源MAC地址。
11.允許防火牆本機對外開放TCP連接埠20、21、25、110以及被動模式FTP連接埠1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
說明：這裡用“-m multiport –dport”來指定目的連接埠及範圍
12.禁止轉寄源IP地址為192.168.1.20-192.168.1.99的TCP資料包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明：此處用“-m –iprange –src-range”指定IP範圍。
13.禁止轉寄與正常TCP串連無關的非—syn請求資料包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明：“-m state”表示資料包的串連狀態，“NEW”表示與任何串連無關的，新的嘛！
14.拒絕訪問防火牆的新資料包，但允許響應串連或與已有串連相關的資料包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明：“ESTABLISHED”表示已經響應請求或者已經建立串連的資料包，“RELATED”表示與已建立的串連有相關性的，比如FTP資料連線等。
15.只開放原生web服務（80）、FTP(20、21、20450-20480)，允許存取外部主機發住伺服器其它連接埠的應答資料包，將其他入站資料包均予以丟棄處理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP