码迷,mamicode.com
首页 > 其他好文 > 详细

iptables防火墙配置

时间:2017-05-08 23:27:32      阅读:290      评论:0      收藏:0      [点我收藏+]

标签:off   within   number   mon   eject   提交   type   ssh服务   rsa   

iptables/netfilter:
    Packets Filter Firewall:
          包过滤型防火墙:
  
Firewall:隔离工具,工作于主机或网络的边缘处,对经由的报文根据预先定义的规则
(识别标准)进行检测,对于能够被规则匹配到的报文实行某种预定义的处理机制的一套组件
    硬件防火墙:在硬件级别实现部分功能的;
    软件防火墙:应用软件逻辑在通用硬件基础上实现;
    主机防火墙:
    网络防火墙:

iptables/netfilter:
    iptables:规则管理工具;
    netfilter:防火墙框架,承载并生效规则;
    hook functions(netfilter):
      prerouting
      input
      forward
      output
      postrouting
      
    iptables:
      PREROUTING
      INPUT
      FORWARD
      OUTPUT
      POSTROUTING
      
    允许用户自定义规则链;它们需要手动关联至指定的”钩子“;
      
netfilter:功能
      filter(“防火”):包过滤
      NAT:Network Address Translation    转发
      mangle:拆解报文,做出修改,而后重新封装
      raw:关闭nat表上启用的连接追踪机制            
      
功能(表)<–>钩子
      filter:input, forward, output
      nat:prerouting, input, output, postrouting
      mangle:prerouting, input, forward, output, postrouting
      raw:prerouting, output
      
      优先级(由高而低):raw –> mangle –> nat –> filter
    
iptables规则的组成部分:
      匹配条件:
        网络层首部:SourceIP, DestinationIP, …
        传输层首部:SourtPort, DestinationPort, TCP Flags
                                         (SYN,ACK,FIN,URG,RST,PSH), …
        扩展模块引入的辅助检查机制:
      跳转目标:-j target 
        内建的处理机制:ACCEPT, DROP, REJECT, SNAT, DNAT, MASQUERADE, 
                        MARK, LOG, …
        用户自定义链:
        
添加规则时需要考量的因素:
        (1) 实现的功能:用于判定将规则添加至哪个表;
        (2) 报文的流经位置:用于判断将规则添加至哪个链;
        (3) 报文的流向:判定规则中何为”源“,何为”目标“;
        (4) 匹配条件:用于编写正确的匹配规则;
          (a) 专用于某种应用的同类规则,匹配范围小的放前面;
          (b) 专用于某些应用的不同类规则,匹配到的可能性较多的放前面
              同一类别的规则可使用自定义链单独存放;
          (c) 用于通用目的的规则放前面;       
    
filter表:过滤,”防火墙“意义的核心所在; INPUT,FORWARD,OUTPUT
  
  安装:
    netfilter:位于内核中的tcp/ip协议栈报文处理框架;
    iptables:
      CentOS 5/6:iptables命令生成规则,可保存于文件中以反复装载生效;
        # iptables -t filter -F
        # service iptables save
           man iptables
      CentOS 7:firewalld, firewall-cmd, firewall-config
        # systemctl disable firewalld.service
                    man iptables
              man iptables-extensions    #扩展模块手册
        
iptables命令:
    iptables [-t table] {-A|-C|-D} chain rule-specification
    iptables [-t table] -I chain [rulenum] rule-specification
    iptables [-t table] -R chain rulenum rule-specification
    iptables [-t table] -D chain rulenum
    iptables [-t table] -S [chain [rulenum]]
    iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options…]
    iptables [-t table] -N chain
    iptables [-t table] -X [chain]
    iptables [-t table] -P chain target
    iptables [-t table] -E old-chain-name new-chain-name

      rule-specification = [matches…] [target]
            match = -m matchname [per-match-options]
            target = -j targetname [per-target-options]     
    
COMMANDs:
      链管理:
        -N, –new-chain chain:新建一个自定义的规则链;
        -X, –delete-chain [chain]:删除用户自定义的引用计数为0的空链;
        -F, –flush [chain]:清空指定的规则链上的规则;
        -E, –rename-chain old-chain new-chain:重命名链;
        -Z, –zero [chain [rulenum]]:置零计数器;
          注意:每个规则都有两个计数器
            packets:被本规则所匹配到的所有报文的个数;
            bytes:被本规则所匹配到的所有报文的大小之和;
        -P, –policy chain target
      规则管理:
        -A, –append chain 
                     rule-specification:追加新规则于指定链的尾部; 
        -I, –insert chain [rulenum] 
            rule-specification:插入新规则于指定链的指定位置,默认为首部
        -R, –replace chain rulenum 
                     rule-specification:替换指定的规则为新的规则;
        -D, –delete chain rulenum:根据规则编号删除规则;
        -D, –delete chain rule-specification:根据规则本身删除规则

      规则显示:
        -L, –list [chain]:列出规则;
          -v, –verbose:详细信息; 
          -n, –numeric:数字格式显示主机地址和端口号;
          -x, –exact:显示计数器的精确值,而非圆整后的数据;
          –line-numbers:列出规则时,显示其在链上的相应的编号;
        -S, –list-rules [chain]:显示指定链的所有规则;  
      
rule-specification = [matches…] [target]
        matches:匹配条件 
      target:跳转目标
      
      匹配条件: 
        通用匹配(PARAMETERS):
          [!] -s, –source address[/mask][,…]:检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
          [!] -d, –destination address[/mask][,…]:检查报文的目标IP
          地址是否符合此处指定的范围,或是否等于此处给定的地址;
          [!] -p, –protocol protocol:匹配报文中的协议,可用值tcp,
           udp,  udplite, icmp,  icmpv6,esp,  ah, sctp, mh 或者  “all”
          亦可以数字格式指明协议;
           -m, –match 
           match:调用指定的扩展匹配模块来扩展匹配条件检查机制;
           [!] -i, –in-interface 
           name:限定报文仅能够从指定的接口流入;only for packets 
                 entering the INPUT, FORWARD  and  PREROUTING  chains.
           [!] -o, –out-interface 
           name:限定报文仅能够从指定的接口流出;for packets entering 
                  the FORWARD, OUTPUT and POSTROUTING chains.
        扩展匹配(MATCH EXTENSIONS)
          -m tcp 
            –sport, –dport
        
      跳转目标:
        -j targetname [per-target-options]
          ACCEPT:接受
          DROP:丢弃
          REJECT:拒绝
          
练习:172.18.0.67
  1、开放本机的所有tcp服务给所有主机;    
              # iptables -I INPUT  -d  172.18.0.67 -p tcp -j ACCEPT
        # iptables -I OUTPUT  -s 172.18.0.67 -p tcp -j ACCEPT 
  2、开放本机的所有udp服务给172.16.0.0/16网络中的主机,但不包含172.16.0.200;
    # iptables -I INPUT 2 -d 172.18.0.67 -s 172.18.0.200 -p udp -j REJECT
    # iptables -I INPUT 3 -d 172.18.0.67 -s 172.18.0.0/16 -p udp -j ACCEPT
    # iptables -I OUTPUT 2 -s 172.18.0.67 -d 172.18.0.0/16 -p udp -j ACCEPT
  3、默认策略为REJECT;
      扩展:
      1、仅开放本机的ssh服务给172.16.0.0/16中的主机,而且不包含172.16.0.200
        
      
回顾:
  iptables/netfilter:
    netfilter:框架
    iptables:管理规则的工具
    
    四表:filter, nat, mangle, raw
    五链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
      流经位置:
        PREROUTING –> INPUT
        PREROUTING –> FORWARD –> POSTROUTING
        OUTPUT –> POSTROUTING
    
iptables命令:
    iptables [-t table] COMMAND [chain] [PARAMETERS] [-m matchname 
    [per-match-options]] [-j targetname [per-target-options]]
    
    PARAMETERS:
      -s, -d, -p {tcp|udp|icmp|sctp|udplite|…}, -i, -o, -m
      
    COMMAND:
      链管理:-P, -X, -N, -E, -F, -Z
      规则管理:-A,-I,-R,-D
      查看:
        -L,-n, -v, -x, –line-numbers
        -S
        
    -j targetname                  #处理动作
      ACCEPT, DROP, REJECT, RETURN
      
      
    匹配条件:
      基本匹配条件:PARAMETERS
      扩展匹配条件:
        隐式扩展:在使用-p选项指明了特定的协议时,无需再同时使用-m选项指
                  明扩展模块的扩展机制;
        显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制;
        
      隐式扩展:
        -p tcp:可直接使用tcp扩展模块的专用选项;
          [!] –sport       
             匹配报文源端口;可以给出多个端口,但只能是连续的端口范围 
          [!] –dport
             匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围
          [!] –tcp-flags mask comp 
             匹配报文中的tcp协议的标志位;Flags are: SYN ACK FIN 
                RST URG PSH ALL NONE;
          mask:要检查的FLAGS list,以逗号分隔;
          comp:在mask给定的诸多的FLAGS中,其值必须为1的FLAGS列表,
                余下的其值必须为0;
              –tcp-flags SYN,ACK,FIN,RST  SYN
              –tcp-flags ALL ALL
              –tcp-flags ALL NONE
          [!] –syn:  –tcp-flags SYN,ACK,FIN,RST  SYN  
          
        -p udp:可直接使用udp协议扩展模块的专用选项:
          [!] –sport
          [!] –dport 
          
        [!] –icmp-type {type[/code]|typename}   #互联网控制消息协议
          0/0: echo reply        #回显应答   用0标识
          8/0: echo request      #回显请求
        iptables -A INPUT -d 172.18.12.11 -p icmp –icmp-type 0 -j ACCEPT

      显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制;
        1、multiport
          以离散或连续的 方式定义多端口匹配条件,最多15个;    
          # iptables -I INPUT  -d 172.16.0.7 -p tcp -m multiport 
                           –dports 22,80,139,445,3306 -j ACCEPT
          
        2、iprange
          以连续地址块的方式来指明多IP地址匹配条件;
          [!] –src-range from[-to]
          [!] –dst-range from[-to]
          
          # iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport 
          –dports 22,80,139,445,3306 -m iprange –src-range 
          172.16.0.61-172.16.0.70 -j REJECT
          
        3、time
          This  matches  if the packet arrival time/date is within 
            a given range.
          
           –timestart hh:mm[:ss]
           –timestop hh:mm[:ss]
           
           [!] –weekdays day[,day…]
           [!] –monthdays day[,day…]
           
          –datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
          –datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
          
           –kerneltz:使用内核配置的时区而非默认的UTC;
           
        4、string
          This modules matches a given string by using some pattern
           matching strategy. 
          
          –algo {bm|kmp}
          [!] –string pattern
          [!] –hex-string pattern
            
          –from offset
          –to offset
          
          ~]# iptables -I OUTPUT -m string –algo bm –string “gay” -j
           REJECT
          
        5、connlimit     #限制客户端的连接数
          Allows  you  to  restrict  the  number  of parallel 
          connections to a server per client IP address 
          (or client address block).
          
          –connlimit-upto n        #达到
          –connlimit-above n       #超过   两者只能使用一个
          
          ~]# iptables -I INPUT -d 172.16.0.7 -p tcp –syn –dport 22
           -m connlimit –connlimit-above 2 -j REJECT
          
        6、limit 
          This  module  matches  at  a limited rate using a token 
          bucket filter. 
          
          –limit rate[/second|/minute|/hour|/day]
          –limit-burst number
          
          ~]# iptables -I OUTPUT -s 172.16.0.7 -p icmp –icmp-type 0 
             -j ACCEPT
          
        7、state
          The “state” extension is a subset of the “conntrack” module.  “state” allows access to the connection tracking state for this packet.
          
          [!] –state state
            INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.  
            NEW: 新连接请求;
            ESTABLISHED:已建立的连接;
            INVALID:无法识别的连接;
            RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;
            UNTRACKED:未追踪的连接;
                      
            state扩展:
              内核模块装载:
                nf_conntrack
                nf_conntrack_ipv4
                
                手动装载:
                  nf_conntrack_ftp 
                  
          追踪到的连接:
            /proc/net/nf_conntrack
            
          调整可记录的连接数量最大值:
            /proc/sys/net/nf_conntrack_max
            
          超时时长:
            /proc/sys/net/netfilter/timeout
        
  处理动作(跳转目标):
    -j targetname [per-target-options]
      简单target:
        ACCEPT, DROP
        
      扩展target:
        REJECT
          This is used to send back an error packet in response to the matched packet: otherwise it is equivalent to  DROP  so it  is  a  terminating  TARGET,  ending  rule traversal.
          
          –reject-with type
            The type given can be icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unreach‐ able, icmp-net-prohibited, icmp-host-prohibited, or icmp-admin-prohibited (*), which return  the  appropriate ICMP  error  message (icmp-port-unreachable is the default).

      
保存和载入规则:
    保存:iptables-save > /PATH/TO/SOME_RULE_FILE
    重载:iptabls-restore < /PATH/FROM/SOME_RULE_FILE
      -n, –noflush:不清除原有规则
      -t, –test:仅分析生成规则集,但不提交
      
    CentOS 6:
      保存规则:
        service iptables save
        保存规则于/etc/sysconfig/iptables文件,覆盖保存;
      重载规则:
        service iptables restart
        默认重载/etc/sysconfig/iptables文件中的规则 
        
      配置文件:/etc/sysconfig/iptables-config
      
    CentOS 7:
      (1) 自定义Unit File,进行iptables-restore;
      (2) firewalld服务;
      (3) 自定义脚本;
      
  规则优化的思路:
    使用自定义链管理特定应用的相关规则,模块化管理规则;
    (1) 优先放行双方向状态为ESTABLISHED的报文
    (2) 服务于不同类别的功能的规则,匹配到报文可能性更大的放前面;
    (3) 服务于同一类别的功能的规则,匹配条件较严格的放在前面;
    (4) 设置默认策略:白名单机制
      (a) iptables -P,不建议;
      (b) 建议在规则的最后定义规则做为默认策略;

iptables防火墙配置

标签:off   within   number   mon   eject   提交   type   ssh服务   rsa   

原文地址:http://www.cnblogs.com/chblogs/p/6804058.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!