iptables軟防火墻
£流入、流出接口(-i、-o)
£來源、目的地址(-s、-d)
£協議類型(-p)
£來源、目的端口(--sport、--dport)
按網絡接口匹配
-i <匹配數據進入的網絡接口>
例如:
-i eth0
匹配是否從網絡接口eth0 進來
-i ppp0
匹配是否從網絡接口ppp0 進來
-o 匹配數據流出的網絡接口
例如:
-o eth0
-o ppp0
按來源目的地址匹配
-s <匹配來源地址>
可以是IP、NET、DOMAIN,也可空(任何地址)
例如:
-s 192.168.0.1 匹配來自192.168.0.1 的數據包
-s 192.168.1.0/24 匹配來自192.168.1.0/24 網絡的數據包-s 192.168.0.0/16 匹配來自192.168.0.0/16 網絡的數據包
-d <匹配目的地址>
可以是IP、NET、DOMAIN,也可以空
例如:
-d 202.106.0.20 匹配去往202.106.0.20 的數據包
-d 202.106.0.0/16 匹配去往202.106.0.0/16 網絡的數據包
-d www.abc.com 匹配去往域名www.abc.com 的數據包
按協議類型匹配
-p <匹配協議類型>
可以是TCP、UDP、ICMP 等,也可為空
例如:
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8 pong: type 0
端口匹配
-p udp --dport 53匹配網絡中目的端口是53 的UDP 協議數據包地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來自10.1.0.0/24 去往172.17.0.0/16 的所有數據包
端口和地址聯合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來自192.168.0.1,去往www.abc.com 的80 端口的TCP 協議數據包註意:
-sport、--dport 必須聯合-p 使用,必須指明協議類型是什麽
條件寫的越多,匹配越細致,匹配範圍越小
禁止所有INPUT
2.動作(處理方式)
£ ACCEPT
£ DROP
£ SNAT
£ DNAT
£ MASQUERADE
-j DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的PREROUTING 鏈)
目的地址轉換,DNAT 支持轉換為單IP,也支持轉換到IP 地址池
(一組連續的IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
把從ppp0 進來的要訪問TCP/80 的數據包目的地址改為192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10
-j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的POSTROUTING 鏈)
源地址轉換,SNAT 支持轉換為單IP,也支持轉換到IP 地址池
(一組連續的IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
將內網192.168.0.0/24 的原地址修改為1.1.1.1,用於NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
同上,只不過修改成一個地址池裏的IP
-j MASQUERADE
動態源地址轉換(動態IP 的情況下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是192.168.0.0/24 的數據包進行地址偽裝
3.附加模塊
£按包狀態匹配(state)
£按來源MAC 匹配(mac)
£按包速率匹配(limit)
£多端口匹配(multiport)
添加多端口和states參數的策略
-m state --state 狀態
狀態:NEW、RELATED、ESTABLISHED、INVALID
NEW:有別於tcp 的syn
ESTABLISHED:連接態
RELATED:衍生態,與conntrack 關聯(FTP)
INVALID:不能被識別屬於哪個連接或沒有任何狀態
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTstate
-m state --state 狀態
狀態:NEW、RELATED、ESTABLISHED、INVALID
NEW:有別於tcp 的syn
ESTABLISHED:連接態
RELATED:衍生態,與conntrack 關聯(FTP)
INVALID:不能被識別屬於哪個連接或沒有任何狀態
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
mac
-m mac --mac-source MAC
匹配某個MAC 地址
例如:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
阻斷來自某MAC 地址的數據包,通過本機
註意:
報文經過路由後,數據包中原有的mac 信息會被替換,所以在路由
後的iptables 中使用mac 模塊是沒有意義的
multiport
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個端口,可以區分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
註意:
必須與-p 參數一起使用
4實例分析
£ 單服務器的防護
£ 如何做網關
£ 如何限制內網用戶
£ 內網如何做對外服務器
£ 連接追蹤模塊
單服務器的防護
£弄清對外服務對象
£書寫規則
網絡接口lo 的處理
狀態監測的處理
協議+ 端口的處理
實例:一個普通的web 服務器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
註意:確保規則順序正確,弄清邏輯關系,學會時刻使用-vnL
如何做網關
£ 弄清網絡拓撲
£ 本機上網
£ 設置nat
啟用路由轉發
地址偽裝SNAT/MASQUERADE
實例:ADSL 撥號上網的拓撲
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
如何限制內網用戶
£ 過濾位置filer 表FORWARD 鏈
£ 匹配條件-s -d -p --s/dport
£ 處理動作ACCEPT DROP
實例:
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 -j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
內網如何做對外服務器
£ 服務協議(TCP/UDP)
£ 對外服務端口
£ 內部服務器私網IP
£ 內部真正服務端口
實例:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.1.2:80傳統防火墻的做法
£只使用主動模式,打開TCP/20
£防火墻打開高範圍端口
£配置FTP 服務,減小被動模式端口範圍
5.網管策略
£怕什麽
£能做什麽
£讓什麽vs 不讓什麽
£三大“紀律”五項“註意”
£其他註意事項
必加項
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses modprobe ip_nat_ftp
可選方案
堵:
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P FORWARD DROP
三大“紀律”五項“註意”
£ 三大“紀律”——專表專用
filter
nat
mangle
£ 五項“註意”——註意數據包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
6.實戰
實戰.1-參考答案
CU:
ifconfig eth0 202.106.0.20 netmask 255.255.255.0
Client:
ifconfig eth0 192.168.0.1 netmask 255.255.255.0
route add default gw 192.168.0.254
Firewall:
ifconfig eth0 202.106.0.254 netmask 255.255.255.0
ifconfig eth1 192.168.0.254 netmask 255.255.255.0
service iptables stop
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --to 202.106.0.254
實戰.2-參考答案
CU:
ifconfig eth0 202.106.0.20 netmask 255.255.255.0
Server:
ifconfig eth0 172.17.0.1 netmask 255.255.255.0
route add default gw 172.17.0.254
Client:
ifconfig eth0 192.168.0.1 netmask 255.255.255.0
route add default gw 192.168.0.254
Firewall:
ifconfig eth0 202.106.0.254 netmask 255.255.255.0
ifconfig eth1 192.168.0.254 netmask 255.255.255.0
ifconfig eth2 172.17.0.254 netmask 255.255.255.0
service iptables stop
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --to 202.106.0.254
iptables -t nat -A PREROUTING -d 202.106.0.254 -p tcp -dport 80 -j DNAT --to 172.17.0.1
iptables -A FORWARD -i eth2 -o eth1 -m state --state NEW -j DROP
實踐2
[root@localhost ~]# iptables -t filter -P INPUT DROP
在filter 表的INPUT 鏈裏追加一條規則(作為最後一條規則)匹配所有訪問本機IP 的數據包,匹配到的丟棄
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]在INPUT最後添加策略
[root@localhost ~]# iptables -A INPUT -s 192.168.1.0/16 -p tcp --dport 8081 -j ACCEPT
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]在INPUTd第6條前添加策略
[root@localhost ~]# iptables -I INPUT 6 -p tcp--dport 8888 -j ACCEPT
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ][root@localhost ~]# iptables -I INPUT 7 -p tcp -m multiport --dport 110,465 -m state --state NEW -j ACCEPT
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[root@localhost ~]# vim /etc/sysconfig/iptables在防火墻上做ip轉發
net.ipv4.ip_forward = 1
sysctl -p做DNAT轉發:
iptables -t nat -A PREROUTING -i ens33 -d 172.16.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10:80
所有的iptables修改需要保存 :
service iptables saveSNAT
iptables -t nat -A POSTROUTING -s 192.168.157.0/24 -o ens37 -j SNAT --to-source 192.168.237.144
-s 指定內網ip網段
-o 指定路由器外網網卡
--to-source 指定路由器外網網卡ip清除client和server主機的防火墻策略
iptables -F
iptables -F -t nat
service iptables save
systemctl restart iptables
部分資源來源www.linuxdc.com
iptables軟防火墻