2. 程式人生 > >iptables: 包過濾型防火墻

iptables: 包過濾型防火墻

阿新 發佈:2018-12-27
數據連接 不能 n) works des 大於 指定表 過濾器 war

iptables: 包過濾型防火墻

Firewall: 防火墻,隔離工具;工作於主機或網絡的邊緣,對於進出本主機或網絡的報文根據事先定義好的檢查規則作匹配檢測,對於能夠被規則所匹配到的報文做出相應處理的組件;
    主機防火墻:
    網絡防火墻   

ipfw

ipchains

iptables/netfilter
    framework: netfilter
        hooks function  
    rule utils: iptables

功能:(四表)
    filter: 過濾,防火墻;
    nat: network address translation, 網絡地址轉換;
    mangle:拆解報文,做出修改,封裝報文;
    raw:關閉nat表上啟用的連接追蹤機制;

鏈(內置): (五鏈)
    PREROUTING
    INPUT
    FORWARD
    OUTPUT
    POSTROUTING

流入:PREROUTING --> INPUT
流出:OUTPUT --> POSTROUTING
轉發:PREROUTING --> FORWARD --> POSTROUTING

各功能的分別實現:
    filter:INPUT, FORWARD, OUTPUT    (iptables -t filter -L -n)
    nat: PREROUTING(DNAT), OUTPUT, POSTROUTING(SNAT)   (iptables -t nat -L -n)
    mangle:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING    (iptables -t mangle -L -n)
    raw:PREROUTING, OUTPUT     (iptables -t raw -L -n)

路由發生的時刻:
    報文進入本機後:
        判斷目標主機;
    報文發出之前:
        判斷經由哪個接口送往下一跳;

iptables:四表五鏈
    添加規則時的考量點:
        (1) 要實現哪種功能:判斷添加在哪張表上;
        (2) 報文流經的路徑:判斷添加在哪個鏈上;

    鏈:鏈上規則的次序,即為檢查的次序;因此隱含一定的法則
        (1) 同類規則(訪問同一應用),匹配範圍小的放上面;
        (2) 不同類規則(訪問不同應用),匹配到報文頻率較大的放上面;
        (3) 將那些可由一條規則描述的多個規則合並為一個;
        (4) 設置默認策略;

    功能的優先級次序:raw --> mangle --> nat --> filter

規則:
    組成部分:報文的匹配條件,匹配到之後處理動作
        匹配條件:根據協議報文特征指定
            基本匹配條件
            擴展匹配條件
        處理動作:
            內建處理機制
            自定義處理機制

        註意:報文不會經過自定義鏈,只能在內置鏈上通過規則進行引用後生效;

iptables:規則管理工具
    添加、修改、刪除、顯示等;

    規則和鏈有計數器:
        pkts:由規則或鏈所匹配到的報文的個數;
        bytes:由規則或鏈匹配到的所有報文大小之和;

iptables命令:

   iptables [-t table] {-A|-D} chain rule-specification

   iptables [-t table] -I chain [rulenum] rule-specification

   iptables [-t table] -R chain rulenum rule-specification

   iptables [-t table] -D chain rulenum

   iptables [-t table] -S [chain [rulenum]]

   iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

   iptables [-t table] -N chain

   iptables [-t table] -X [chain]

   iptables [-t table] -P chain target

   iptables [-t table] -E old-chain-name new-chain-name

   -t table:
        filter, nat, mangle, raw

    鏈管理:
        -F:flush,清空規則鏈;省略鏈,表示清空指定表上的所有的鏈;
        -N:new, 創建新的自定義規則鏈;
        -X:drop, 刪除用戶自定義的空的規則鏈;
        -Z:zero,清零,置零規則計數器;
        -P:Policy,為指定鏈設置默認策略;對filter表中的鏈而言,默認策略通常有ACCEPT, DROP, REJECT; 
        -E: rEname,重命令自定義鏈;引用計數不為0的自定義鏈,無法改名,也無法刪除;
    規則管理:
        -A:append,將新規則追加於指定鏈的尾部;
        -I:insert,將新規則插入至指定鏈的指定位置;
        -D:delete,刪除指定鏈上的指定規則;
            有兩種指定方式:
                (1) 指定匹配條件;
                (2) 指定規則編號;
        -R:replace,替換指定鏈上的指定規則;
    查看:
        -L:list,列出指定鏈上的所有規則;
            -n: numberic,以數字格式顯示地址和端口號;
            -v: verbose,顯示詳細信息;
                -vv, -vvv
            --line-numbers:顯示規則編號;
            -x: exactly, 顯示計數器計數結果的精確值;

    匹配條件:
        基本匹配:
            [!] -s, --src, --source IP|Netaddr:檢查報文中源IP地址是否符合此處指定的地址範圍;
            [!] -d, --dst, --destination IP|Netaddr:檢查報文中源IP地址是否符合此處指定的地址範圍;
            [!] -p, --protocol {tcp|udp|icmp}:檢查報文中的協議,即ip首部中的protocols所標識的協議;
            [!] -i, --in-interface IFACE:數據報文的流入接口;僅能用於PREROUTING, INPUT及FORWARD鏈上;
            [!] -o, --out-interface IFACE:數據報文的流出接口;僅能用於FORWARD, OUTPUT及POSTROUTING鏈上;

        擴展匹配:-m macth_name --spec_options
                例如:-m tcp --dport 22

            隱式擴展:對-p protocol指明的協議進行的擴展,可省略-m選項;
                -p tcp
                    --dport PORT[-PORT]:目標端口,可以是單個端口或連續多個端口;
                    --sport PORT[-PORT]
                    --tcp-flags LIST1 LIST2:檢查LIST1所指明的所有標誌位,且這其中,LIST2所表示出的所有標記位必須為1,而余下的必須為0;沒有LIST1中指明的,不作檢查;
                        SYN, ACK, FIN, RST, PSH, URG

                        --tcp-flags SYN,ACK,FIN,RST SYN
                    --syn: 
                -p udp
                    --dport
                    --sport

                -p icmp
                    --icmp-type
                        可用數字表示其類型:
                            0:echo-reply
                            8: echo-request

            顯式擴展: 必須使用-m選項指定使用的擴展;

    目標:
        -j TARGET:jump至指定的TARGET
            ACCEPT: 接受
            DROP: 丟棄
            REJECT: 拒絕
            RETURN: 返回調用鏈
            REDIRECT:端口重定向
            LOG: 記錄日誌
            MARK:做防火墻標記
            DNAT:目標地址轉換
            SNAT:源地址轉換
            MASQUERADE:地址偽裝
            ...
            自定義鏈:由自定義鏈上的規則進行匹配檢查

    四表:filter, nat, mangle, raw
    五鏈:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

    -j TARGET:
        ACCEPT, DROP, REJECT, RETURN, LOG, MARK, DNAT, SNAT, MASQUEARDE, ...

    匹配標準:
        通用匹配:-s, -d, -p, -i, -o
        擴展匹配
            隱含擴展:
                -p tcp: --dport, --sport, --tcp-flags, --syn (--tcp-flags SYN,ACK,FIN,RST SYN)
                -p udp: --dport, --sport
                -p icmp: --icmp-type 
            顯式擴展: -m

iptables:

顯式擴展:必須顯式指明使用的擴展模塊(rpm -ql iptables | grep "\.so")

    CentOS 6: man iptables
    CentOS 7: man iptables-extensions

1、multiport擴展
    以離散方式定義多端口匹配;最多指定15個端口;

    [!] --source-ports,--sports port[,port|,port:port]...:指明多個源端口;
    [!] --destination-ports,--dports port[,port|,port:port]...:指明多個離散的目標端口;
    [!] --ports port[,port|,port:port]...

    ~]# iptables -I INPUT -s 172.16.0.0/16 -d 172.16.100.9 -p tcp -m multiport --dports 22,80 -j ACCEPT
    ~]# iptables -I OUTPUT -d 172.16.0.0/16 -s 172.16.100.9 -p tcp -m multiport --sports 22,80 -j ACCEPT

2、iprange擴展
    指明連續的(但一般是不能擴展為整個網絡)ip地址範圍時使用;

    [!] --src-range from[-to]:指明連續的源IP地址範圍;
    [!] --dst-range from[-to]:指明連續的目標IP地址範圍;

    ~~]# iptables -I INPUT -d 172.16.100.9 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 172.16.100.1-172.16.100.120 -j ACCEPT
    ~]# iptables -I OUTPUT -s 172.16.100.9 -p tcp -m multiport --sports 22:23,80 -m iprange --dst-range 172.16.100.1-172.16.100.120 -j ACCEPT       

3、string擴展
    檢查報文中出現的字符串;

    --algo {bm|kmp}
        bm = Boyer-Moore
        kmp = Knuth-Pratt-Morris
    [!] --string pattern

    ~]# iptables -I OUTPUT -m string --algo bm --string ‘movie‘ -j REJECT

4、time擴展
    根據報文到達的時間與指定的時間範圍進行匹配;

    --datestart 
    --datestop

    --timestart
    --timestop

    --monthdays
    --weekdays

5、connlimit擴展
    根據每客戶端IP(也可以是地址塊)做並發連接數數量匹配;

    --connlimit-above n:連接的數量大於n
    --connlimit-upto n: 連接的數量小於等於n

6、limit擴展
    基於收發報文的速率做檢查;

    令牌桶過濾器

    --limit rate[/second|/minute|/hour|/day]
    --limit-burst number

7、state擴展
    根據連接追蹤機制檢查連接的狀態;

    調整連接追蹤功能所能夠容納的最大連接數量:
        /proc/sys/net/nf_conntrack_max

    已經追蹤到並記錄下的連接:
        /proc/net/nf_conntrack

    不同協議或連接類型追的時長:
        /proc/sys/net/netfilter/

    可追蹤的連接狀態:
        NEW:新發出的請求;連接追蹤模板中不存此連接相關的信息條目,因此,將其識別為第一次發出的請求;
        ESTABLISHED:NEW狀態之後,連接追蹤模板中為其建立的條目失效之前期間內所進行的通信的狀態;
        RELATED:相關的連接;如ftp協議的命令連接與數據連接之間的關系;
        INVALIED:無法識別的連接;

    --state STATE1,STATE2,...

    問題:如何開放被動模式的ftp服務?

        (1) 裝載ftp追蹤時的專用的模塊:
            # modprobe nf_conntrack_ftp

        (2) 放行請求報文:
            命令連接:NEW, ESTABLISHED
            數據連接:RELATED, ESTABLISHED

            # iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
            # iptables -A INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

        (3) 放行響應報文:
            ESTABLISEHD

            # iptables -A OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT

如何保存及重載規則:

    保存規則至指定文件:
        iptables-save > /PATH/TO/SOMEFILE

    從指定文件重載規則:
        iptables-restore < /PATH/FROM/SOMEFILE

    CentOS 6:
        service iptables save 
            iptables-save > /etc/sysconfig/iptables

        service iptables restart
            iptables-restore < /etc/sysconfig/iptables

    CentOS 7:
        引入了新的iptables前端管理服務工具:firewalld
            firewalld-cmd
            firewalld-config

    關於firewalld:
        http://www.ibm.com/developerworks/cn/linux/1507_caojh/index.html

核心轉發:/proc/sys/net/ipv4/ip_forward
    /etc/sysct.conf
    net.ipv4.ip_forward = 1

iptables:
    顯式擴展、網絡防火墻

    顯式擴展:multiport, iprange, string, time, connlimit, limit, state
        state:
            /proc/net/nf_conntrack
            /proc/sys/net/nf_conntrack_max

            NEW, ESTABLISHED, RELATED, INVALID

iptables:

nat:Network Address Translation,安全性,網絡層+傳輸層
proxy:代理,應用層        

nat:
    SNAT: 只修改請求報文的源地址;
    DNAT:只修改請求報文的目標地址;

nat表:
    PREROUTING:DNAT
    OUTPUT
    POSTROUTING:SNAT

源地址轉換:iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
            iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

目標地址轉換:iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

    iptables的鏈接跟蹤表最大容量為/proc/sys/net/ipv4/ip_conntrack_max,鏈接碰到各種狀態的超時後就會從表中刪除。

    所以解決方法一般有兩個:
    (1) 加大 ip_conntrack_max 值
    vi /etc/sysctl.conf
    net.ipv4.ip_conntrack_max = 393216
    net.ipv4.netfilter.ip_conntrack_max = 393216
    (2): 降低 ip_conntrack timeout時間
    vi /etc/sysctl.conf
    net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300
    net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
    net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
    net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120

    iptables -t nat -L -n

    補充:利用iptables的recent模塊來抵禦DOS***: 22,建立一個列表,保存有所有訪問過指定的服務的客戶端IP

ssh: 遠程連接,

iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP

iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-prefix "SSH Attach: "
iptables -I INPUT  -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP

1.利用connlimit模塊將單IP的並發設置為3;會誤殺使用NAT上網的用戶,可以根據實際情況增大該值;
2.利用recent和state模塊限制單IP在300s內只能與本機建立2個新連接。被限制五分鐘後即可恢復訪問。

下面對最後兩句做一個說明:
1.第二句是記錄訪問tcp 22端口的新連接,記錄名稱為SSH
--set 記錄數據包的來源IP,如果IP已經存在將更新已經存在的條目

2.第三句是指SSH記錄中的IP,300s內發起超過3次連接則拒絕此IP的連接。
--update 是指每次建立連接都更新列表;
--seconds必須與--rcheck或者--update同時使用
--hitcount必須與--rcheck或者--update同時使用

3.iptables的記錄:/proc/net/xt_recent/SSH

也可以使用下面的這句記錄日誌:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --second 300 --hitcount 3 -j LOG --log-prefix "SSH Attack"

iptables實現七層訪問過濾:

    模塊:layer7
        識別應用層協議

    iptables/netfilter
        iptables -m state, 
        netfilter state

    對內核中的netfilter,打補丁layer7,重新編譯內核
    對iptables打補丁,補上layer7模塊,重新iptables

iptables: 包過濾型防火墻

相關推薦

iptables: 過濾防火

數據連接 不能 n) works des 大於 指定表 過濾器 war iptables: 包過濾型防火墻 Firewall: 防火墻,隔離工具;工作於主機或網絡的邊緣,對於進出本主機或網絡的報文根據事先定義好的檢查規則作匹配檢測,對於能夠被規則所匹配到的報文做出相應處理的

過濾防火牆iptables

1、防火牆 Firewall:防火牆,隔離工具,工作於主機或網路邊緣,對於進出本主機或本網路的報文根據事先定義的檢查規則作匹配檢測,對於能夠被規則匹配到的報文作出相應處理的元件。防火牆分為主機防火牆和網路防火牆,從組成結構上分為軟體防火牆(軟體邏輯)和硬體防火牆(硬體和軟體邏輯)。

iptables詳解(11):iptables之網絡防火

允許 什麽 模塊 進行 通訊 usr accep 屬於 兩個 我們一起來回顧一下之前的知識,在第一篇介紹iptables的文章中,我們就描述過防火墻的概念,我們說過,防火墻從邏輯上講,可以分為主機防火墻與網絡防火墻。 主機防火墻:針對於單個主機進行防護。 網絡防火墻:

CloudDBA新功能上線——SQL過濾/限制/防火

nag time 51cto _id where blog strong stat 創建 摘要: 前言 CloudDBA是阿裏雲數據庫團隊開發的智能診斷和優化平臺,可以幫助用戶更好使用阿裏雲數據庫。CloudDBA不斷提升算法和規則,更好的匹配更多用戶場景,剛剛上線了SQL

iptables過濾防火牆

         iptables是管理netfilter的唯一工具;(netfilter是網路過濾器,或者網頁內容過濾器),netfiletr直接巢狀在linux的核心上面。netfilter在核心中過濾,沒有守護程序。它的過濾速度非常快,因為只讀取資料包頭,不會給資訊流量

zabbix監控iptables防火狀態之是否有丟棄的(攻-擊)

output shadow rip ssa var 圖片 模板 找到 大量 概述 之前有介紹通過saltstack統一管理線上防火墻規則,並且是在默認規則為DROP策略下,即意味著,如果沒有明確允許開放或允許出去訪問,則防火墻會拒絕請求;特別是在線上防火墻改造時,可能由於歷

linux防火(iptables)關閉與開啟配置

iptables永久性生效,重啟後不會復原chkconfig iptables onchkconfig iptables off即時生效,重啟後復原service iptables startservice iptables stop需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。在

2-7-配置iptables防火增加服務器安全

我們 公網ip 為我 介紹 1-1 5% family 方式 man 本節所講內容: ? iptables常見概念 ? iptables服務器安裝及相關配置文件 ? 實戰:iptables使用方法 ? 例1:使用ipt

CentOS 7 防火 出現Failed to start iptables.service: Unit iptables.service failed to load

entos code lang shell services strong imp centos 6 col 錯誤信息如下: [root]# service iptables start Redirecting to /bin/systemctl start iptabl

Iptables防火配置

dport -m nts enter 火墻 pop lis input net Iptables防火墻配置 安裝防火墻 sudo apt-get install iptables 查看狀態 sudo iptab

【轉載】centos7 關閉firewall防火指令以及更換安裝iptables並配置

ref stat con bsp comm 關閉 art output lis 轉載連接 http://ashui.net/archives/2015/943.html 一、配置防火墻,開啟80端口、3306端口 CentOS 7.0默認使用的是firewall作為防火

iptables詳解與Centos7 關閉防火

tex new color sta pos firewalld 如果 火墻 blog http://www.cnblogs.com/metoy/p/4320813.html CentOS 7.0默認使用的是firewall作為防火墻,使用iptables必須重新設

linux平臺下防火iptables原理(轉)

arch inux 方式 輸出結果 取反 地址 angle 啟動 internet iptables簡介 netfilter/iptables(簡稱為iptables)組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以

一個簡單的防火iptables)實例

dnat drop out bin war _for 轉換 其他 lis #!/bin/bash##for centos7 iptables table##yum install iptables-services -y###規則的排列是有順序的##清除默認規則 iptab

iptables防火四表五鏈介紹

iptablesiptables只是Linux防火墻的管理工具而已,位於/sbin/iptables。真正實現防火墻功能的是netfilter,它是Linux內核中實現包過濾的內部結構。 iptables包含4個表,5個鏈。其中表是按照對數據包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是ne

關閉防火iptables

關閉防火墻iptables關閉防火墻iptables1.臨時關閉iptables/etc/init.d/iptables stopiptables: Setting chains to policy ACCEPT:filter [ OK ]iptables: Flushing firew

Linux的防火iptables

防火墻iptables一.iptables簡介iptables是與Linux內核集成的過濾防火墻系統,其中包含三表(filter表,nat表,mangle表)、五鏈(INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING) 二.安裝啟動iptable服務三.參數解釋用法

如何將centos7自帶的firewall防火更換為iptables防火

style 防火墻 dpt http pre wal 配置文件 sta targe 用慣了centos6的iptables防火墻,對firewall太無感了,那麽如何改回原來熟悉的iptables防火墻呢? 1、關閉firewall防火墻 [[email pro

iptables防火服務

iptables一.iptables介紹二.安裝服務並開啟服務 yum install iptables-services.x86_64 systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld

Linux防火iptables參數

iptablesiptables命令參數1、清理參數[[email protected]~]# /etc/init.d/iptables start 啟動iptables[[email protected]~]# /etc/init.d/iptables status 查看iptables