概述:
iptables:基于软件的形式实现的一种防火墙的软件程序Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合
主机防火墙:工作于主机边缘,只能对一台主机起到保护作用
网络防火墙:工作于网络边缘,对多台主机起到保护作用
网络层:网络防火墙
应用层:网关
IDS:入侵检测
HIDS:OSSEC
NIDS:snort
Filesystem:tireware
IPS:入侵防御系统
honeypot:蜜罐
系统评估安全工具:
Nessus,nmap
iptables/netfilter:基于网络层的防火墙,连接追踪(状态检测)
ipfw ipchains iptables
iptables:防火墙规则编写工具
netfiter:网络过滤器,是一个框架
hook_function
INPUT
OUTPUT
FORWARD
POATROUTING
PRERROUTING
过滤:做报文筛选
NAT:Network Address Transltion
DNAT
SNAT
mangle:
raw:
FORWARD:
filter
mangle
INPUT
filter
mangle
OUT
filter
mangle
nat
PREROUTING
mangle
nat
POSTOUTING
mangle
nat
将控制强的放在前面,应用访问频繁的也要放在前面
四表:
fileter,net,mangle,raw
五链
PREROUTING(路由前) INPUT FOREARD OUTPUT POSTROUTING(路由后)
表和链的对应关系
filer:INPUT,FORWARD.OUTPUT
nat:PREROUTING OUTPUT POSTROUTING
mangle:PREROUTING FORWARD POSTROUTING INPUT OUTPUT
规则:检查条件,处理机制,
通:白名单,默认为堵,只对能识别的进行放行
堵:黑名单,默认为通,只对能识别的进行阻截
检查条件:
IP:SIP,DIP
TCP:SPORT,DPORT,FLags
UDP:SPORT,DPORT
ICMP:ICMP-TYPE
扩展机制:
time string state(connection-tracking)
处理机制:
DROP(丢弃),
REJECT(拒绝,并返回)
ACCEPT(允许)
SNAT
DNAT
RETURN(返回)
REDIRECT(端口转发)
LOG(只记录日志)
mangle:做防火墙标记
如何写规则
-t 表 -L 列出 -n 以数值方式显示iptables [-t table] -N chain
创建一条自定义的空规则链
iptables [-t table] -X chain
产出一条自定义的空规则链
iptables [-t table] -E old-chin-name new-chain-name
为链修改名
iptables [-t table] -P chain—name target
为链指定默认策略,修改默认的属性
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
-F 清空链中的规则
规则由编号,在链中自上而下,从1开始
-L list 列出表中的所有规则
-n:数字格式显示ip和port
-v:显示信息,
pkts:packets,被本规则所有匹配到的报文的个数
baytes:被本规则所匹配到的所有报文的大小子和,单位是字节,会执行单位换算
target:目标,即处理机制
port:协议一般为(TCP|UDP|ICMP)
opt:可选项
in:数据包的流入端口
out:数据包的流出接口
scource:源地址
destination:目标地址
-vv:
-vvv:
-x:exactly:精确值,不执行单位换
--line-nambers:显示各规则的行号
-Z:zero,清零:
把规则的计数器清零
打印iptables列表
# iptables -t filter -L -n
建立新的规则mychain
# iptables -t filter -N mychain
删除mychain
# iptables -X mychain
网络192.168.0.0/16访问192.168.8.40允许
# iptables -t filter -A INPUT -s 192.168.0.0/16 -d 192.168.8.40 -j ACCEPT
主机192.168.8.40访问192.168.0.0/16网段允许
# iptables -t filter -A OUTPUT -s 192.168.8.40 -d 192.168.0.0/16 -j ACCEPT
网段192.168.11.0访问192.168.8.40 icmp协议丢弃
# iptables -A INPUT -i eth0 -s 192.168.11.0/24 -d 192.168.8.40 -p icmp -j DROP
拒绝
# iptables -A INPUT -i eth0 -d 192.168.8.40 -p icmp -j REJECT
# iptables -A OUTPUT -o eth0 -s 192.168.8.40 -p icmp -j REJECT
iptables [-t table] {-A|-D} chain rule-specification
-A:append,附加一条规则
rule-specification
匹配条件 -j 处理机制
匹配条件:
通用匹配-s 匹配原地址,可以IP,也可以网络地址:可以使用!操作符取反,!172.168.0.0/16 相当于 --src,或 --source
-d 匹配目标地址,可以IP,也可以网络地址:可以使用!操作符取反,!172.168.0.0/16
-p 匹配协议,通常只能使用{TCP|UDP|ICMP}三者之一
-i 数据报文流入的接口,通常只用于INPUT,FORWARD和PREROUTING
-o 数据报文流出的接口,通常只用OUTPUT,FORWARD和POSTROUTING
保存规则:
service iptables save
规则会被保存至/etc/sysconfig/iptables文件中:
默认,start时也会读取次文件中的内容以设置规则
iptables-save > /path/to/some_rulefile 保存iptables至别的位置
iptables-restore < /path/to/some_rulefile 从自定义的位置读取并使之生效
规则命令:
-A:添加
-D:删除
iptables [-t table] -D chain rulenum
当一条被删除,另外的一条会被补上
删除INPUT和OUTPUT中的第二条规则
# iptables -t filter -D INPUT 2
# iptables -t filter -D OUTPUT 2
iptables [-t table] -I chain [rulenum] rule-specification
替换规则(覆盖指定规则)
iptables [-t table] -R chain rulenum rule-specification
显示指定链上的规则添加命令
iptables [-t table] -S [chain [rulenum]]
扩展匹配
隐含扩展:使用-p {tcp|udp|icmp}指定某特定协议后,自动能够对协议进行的扩展-p tcp
--dport m[-n],匹配的目标端口,可以是连续的多个端口
--sport:m[-n],匹配的源端口,可以是连续的多个端口
--tcp-flags
URG PSH PST SYN ACK FIN
显式扩展:必须要明确指定的扩展模块
-m 扩展模块名称 --专用选项1 --专用选项2
multiport:多端口匹配,一次指定多个离散端口
--source-ports --sport ports{port1 port2}
--destination-ports, --dports
--ports
iprange:ip地址服务
[!] --src-range from [-to]
[!] --dst-range from [-to]
time 指定时间范围
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss]
--timestart hh:mm[:ss]
[!] --weekdays day[,day....]
string 字符串匹配
--alog {bm|kmp} :字符匹配查找时使用的算法
--string “STRING” :要查找的字符串
--hex-string "HEX-STRING" 要查找的字符,先编码成16进制格式
connlimit:每IP对指定服务的最大并发连接数
[!] --connlimit-above
limit:报文速率控制
--limit #[/second|/minute|/hour|/day]
--limit-burst #
hping3:安装此包,做测试
state:状态追踪
ip_conntrack,nf_conntrack
netfilter:会话
--state
NEW
ESTABLISHED
RELATED
INVALID
调整连接追踪功能所能容纳的最大连接数
cat /proc/sys/net/nf_conntrack_max
定义了连接追踪的最大值,因此,建议按需调大此值
cat /proc/net/nf_conntrack
记录了当前追踪的所有连接
cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
超时时间
法则:
1.对于进入状态为ESTABLISHED都应该放行
2.对于返回状态为ESTABLISHED都应该放行
3.严格检查进入的状态为NEW的链接
4.所有状态为INVALID都应该拒绝
iptable -I lean_in 5 -d 172.16.100.7 -m state --state INVALID -j DROP
-j target
RETURN:返回调用链
常见服务规则案例:
放行来自于网络192.168.11.0/24对本机192.168.8.40 ssh服务的访问:
# iptables -t filter -A INPUT -s 192.168.11.0/24 -d 192.168.8.40 -p tcp --dport 22 -j ACCEPT
# iptables -t filter -A OUTPUT -s 192.168.8.40 -d 192.168.11.0/24 -p tcp --sport 22 -j ACCEPT
拒绝来自192.168.11.0网段对192.168.8.40 web 80端口的访问
# iptables -A INPUT -s 192.168.11.0/24 -d 192.168.8.40 -p tcp --dport 80 -j DROP
# iptables -A OUTPUT -s 192.168.8.40 -d 192.168.11.0/24 -p tcp --sport 80 -j DROP
--dport m[-n],匹配的目标端口,可以是连续的多个端口
--sport:m[-n],匹配的源端口,可以是连续的多个端口
放行本机的tftp服务
# iptables -A INPUT -s 192.168.11.0/24 -d 192.168.8.40 -p udp --dport 69 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -d 192.168.11.0/24 -p udp --sport 69 -j ACCEPT
放行本机的DNS服务
# iptables -A INPUT -s 192.168.0.0/16 -d 192.168.8.40 -p udp --dport 53 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -d 192.168.0.0/16 -p udp --sport 53 -j ACCEPT
查询互联网dns
# iptables -A OUTPUT -s 192.168.8.40 -p udp --dport 53 -j ACCEPT
# iptables -A INPUT -d 192.168.8.40 -p udp --sport 53 -j ACCEPT
-p icmp
--icmp-type
8:ping请求
0:ping响应
放开本机的ping响应
# iptables -A INPUT -d 192.168.8.40 -p icmp --icmp-type 8 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p icmp --icmp-type 0 -j ACCEPT
将input、output和forward都禁用
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
放行192.168.11.0/24网络对80端口访问
# iptables -t filter -A INPUT -s 192.168.11.0/24 -d 192.168.8.40 -p tcp --dport 80 -j ACCEPT
# iptables -t filter -A OUTPUT -s 192.168.8.40 -d 192.168.11.0/24 -p tcp --sport 80 -j ACCEPT
放行3306端口对所有主机的访问
# iptables -t filter -A INPUT -d 192.168.8.40 -p tcp --dport 3306 -j ACCEPT
# iptables -t filter -A OUTPUT -s 192.168.8.40 -p tcp --sport 3306 -j ACCEPT
放行对本地回环口的访问:
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
保存规则
# service iptables save
扩展匹配之状态追踪案例
# iptables -P OUTPUT ACCEPT
# iptables -F
# iptables -P OUTPUT DROP
//对每秒2次,高峰5次的ping包给予响应
# iptables -A INPUT -d 192.168.8.40 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT
//放行80端口
# iptables -A INPUT -d 192.168.8.40 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
验证
# curl -I http://192.168.8.40/index.html
HTTP/1.1 200 OK
Date: Mon, 28 Dec 2015 15:11:36 GMT
Server: Apache/2.4.9 (Unix)
Last-Modified: Sun, 27 Dec 2015 19:39:40 GMT
ETag: "1c-527e659749c1c"
Accept-Ranges: bytes
Content-Length: 28
Content-Type: text/html
//对输入、输出已经建立的连接放行
# iptables -I INPUT -d 192.168.8.40 -m state --state ESTABLISHED -j ACCEPT
# iptables -I OUTPUT -s 192.168.8.40 -m state --state ESTABLISHED -j ACCEPT
对规则进行合并
# iptables -I INPUT 2 -d 192.168.8.40 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
删除无用规则
# iptables -L -n -v --line-numbers
# iptables -D INPUT 3
# iptables -D INPUT 4
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
# iptables -L -n -v --line-numbers
通过命令观察数据变化
# watch -n .3 "iptables -L -n -v"
扩展案例之RETURN:返回调用链
# iptables -t filter -N clean_in//对数据包进行清洗
# iptables -A clean_in -d 192.168.8.40 -p tcp --tcp-flags ALL ALL -j DROP
# iptables -A clean_in -d 192.168.8.40 -p tcp --tcp-flags ALL NONE -j DROP
# iptables -A clean_in -d 192.168.255.255 -p icmp -j DROP
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
//应用clean_in规则
# iptables -A clean_in -d 192.168.8.40 -j RETURN
# iptables -I INPUT -d 192.168.8.40 -j clean_in
将INVALID状态的连接放弃
# iptables -I clean_in 5 -d 192.168.8.40 -m state --state INVALID -j DROP
放行工作于被动模式的ftp服务
1、确保iptables加载ftp协议支持的模块,ip_nat_ftp,ip_conntrack_ftp编辑/etc/syconfig/iftables-config文件,定义如下参数:
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
2、放行请求报文的RELATED和ESTABLISHED状态,放行响应报文的ESTABLISHED状态
具体步骤:
初始化:放行所有出和入的请求,开放ssh服务22号端口的访问并关闭所有进出请求
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -F
# iptables -A INPUT -d 192.168.8.40 -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p tcp --sport 22 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -d 192.168.8.40 -p tcp --dport 21 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p tcp --sport 21 -j ACCEPT
放开21号端口不能访问FTP服务,继续放开20号端口依旧不能访问192.168.8.40的FTP服务(21号端口主要用来建立会话、认证,20号端口用来传输数据)
# iptables -A INPUT -d 192.168.8.40 -p tcp --dport 20 -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -p tcp --sport 20 -j ACCEPT
删除这两条无用的规则
# iptables -D INPUT 3
# iptables -D OUTPUT 3
# iptables -A INPUT -d 192.168.8.40 -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.8.40 -m state --state ESTABLISHED -j ACCEPT
加载FTP扩展模块(临时有效)
# modprobe ip_nat_ftp
# modprobe ip_conntrack_ftp
想长期有效需要修改配置文件
# vim /etc/sysconfig/iptables-config
修改:
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
==================
优化之 开放21,22,80端口的访问
# iptables -I INPUT -d 192.168.8.40 -m state --state RELATED,ESTABLISHED -j ACCEPT# iptables -D INPUT 4
# iptables -I INPUT 2 -d 192.168.8.40 -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j ACCEPT
# iptables -D INPUT 3
# iptables -D INPUT 3
# iptables -I OUTPUT -s 192.168.8.40 -m state --state ESTABLISHED -j ACCEPT
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
# iptables -D OUTPUT 2
保存规则
# iptables-save > /etc/sysconfig/iptables-v1
清空规则
# echo "" > /etc/sysconfig/iptables
# sed -i "/^$/d" /etc/sysconfig/iptables
恢复规则
# iptables-restore < /etc/sysconfig/iptables-v1
