文章目录
1.什么是防火墙
应用态:iptables
内核态:netfilter
使用iptables 命令来操作netfilter,netfilter才是真正的防火墙匹配规则
2.防火墙的工作原理
简述:iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制
2.1.规则表
- filter表:对数据进行过滤,根据具体的规则要决定如何处理一个数据包,包含三个链
- nat表:主要用于修改数据包IP地址,端口号等信息,包含三个链
- mangle表:主要用于修改数据包的TOS(Type Of Service,服务类型),TTL(Time To Live 生命周期),为数据包设置mark标记,包含五个链
- raw表:对数据包进行状态跟踪
2.2.规则链
- INPUT链:当防火墙收到放问本机地址的数据包(入站)时,应用此链中的规则
- OUTPUT链:当防火墙本机向外发送数据包(出站),应用此链中的规则
- FORWARD链:当接收到需要通过防火墙中转发送给其他地址的数据包(转发)是,应用测链中的规则。
- PREROUTING链:在对数据包做路由选择之前,应用测链中的规则。
- POSTROUTING链:在对数据包做路由选择之后,应用此链中的规则。
简述:其中INPUT,OUTPUT链主要用在“主机防火墙”中。即主要针对服务器本机保护的防火墙;而FORWARD,PREROUTING,POSTROUTING链多用在“网络型防火墙”中,例如使用Linux防火墙作为网关服务器在公司与Inetnet之间进行安全控制。
2.3.数据包过滤工作流程
链内部匹配规则:链内部的过滤遵循“匹配即停止”的原则,如果对比完整个链也没有找到和数据包匹配的规则,则会按照链的默认策略进行处理。
入站数据流向:数据包到达防火墙后首先被PREROUTING链处理(是否修改数据包地址等),然后进行路由选择(判断数据包发往何处),如果数据包的目标地址是防火墙本机(如:Internet用户访问网关的Web服务端口),那么内核将其传递给INPUT链进行处理(决定是否允许通过等)。
转发数据流向:来自外界的数据包到达防火墙后首先被PREROUTTING链处理,然后再进行路由选择;如果数据包的目标地址是其他的外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给FORWARD链进行处理(允许转发,拦截,丢弃),最后交给POSTROUTING链(是否修改数据包的地址等)进行处理。
出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网DNS服务时),首先被OUTPUT链处理,然后进行路由选择,再交给POSTROUTING链(是否修改数据包的地址等)进行处理。
3.Iptables语法规则
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
注意
1.不指定表名时,默认指filter表
2.不指定链名时,默认指表内的所有链
3.除非设置链的默认策略,否则必须指定匹配条件
4.选项、链名、控制类型使用大写字母,其余均为小写
3.1.常见的动作类型
- ACCEPT:允许通过
- DROP:直接丢弃,不给出任何回应
- REJECT:拒绝通过,必要时会给出提示
- LOG:记录日志信息,然后传给下一条规则继续匹配
- SNAT:修改数据包源地址
- DNAT:修改数据包目的地址
- REDIRECT:重定向
3.2.查看规则列表
查看规则列表
-L:列出所有的规则条目
-n:已数字的形式显示地址,端口信息
-v:已更详细的方式显示规则信息
--line-numbers:查看规则时,显示规则序号
# 查看所有的规则
iptables -L -n
# 查看指定表名的规则
iptables -t nat -L -n -v
3.3.添加新的规则
—A: 在链的末尾添加新的规则
-I: 在链的开头添加新的规则
默认的时filter表
iptables -t filter -A INPUT -p tcp -j ACCEPT
iptables -I INPUT -p udp -j ACCEPT
iptables -I INPUT 2 -p icmp -j ACCEPT # 在编号为2的头部添加一个规则
3.4.删除以及清空规则
-D:删除链内指定序号(或内容)的一条规则
-F:清空所有的规则
iptables -t nat -D INPUT 3
iptables -t filter -F
3.5.设置默认策略
-P:为指定的链设置默认规则
iptables -t filter -P FORWARD DROP
iptables -P OUTPUT ACCEPT
3.6.备份和还原
持久化保存:
service iptables save
导出文件:
iptables-save > 1.iptables
还原文件:
iptables-resore < 1.iptables
3.7.总结
4.Iptables复杂的语法规则
4.1.通用匹配
可以直接使用,不依赖于其他条件或者扩展
包括网络协议,IP地址,网络接口等条件
协议地址:-p 协议名
地址匹配:-s 源地址 -d 目标地址
接口匹配:-i 入站网卡 -o 出站网卡
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -I INPUT -p icmp -j DROP
iptables -A FORWARD -p ! icmp -j ACCEPT
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
4.2.隐含匹配
要求已特定的协议匹配作为前提
包含端口,TCP标记,ICMP类型等条件
常用的隐含匹配条件
端口匹配:--sport 源端口、--dport 目的端口
ICMP类型匹配:--icmp-type ICMP 类型
iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
4.3.显示匹配
要求已“-m 扩展模块” 的形式明确指出类型
包括多端口,mac地址,IP范围,数据包状态等条件
常用的显示匹配条件
多端口匹配:-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
IP范围匹配: -m iprange --src-range IP范围
MAC地址匹配:-m mac –mac1-source MAC地址
状态匹配:-m state --state 连接状态
iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 j ACCEPT
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP
iptables -P INPUT DROP
iptables -I INPUT -p tcp -m multiport --dport 80-82,85 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
5.NAT表SNAT策略
应用环境:局域网主机共享单个公网IP地址接入Internet
原理:修改数据包的源地址
原理
环境准备
第一台电脑
IP | 网卡 | 网卡模式 |
---|---|---|
192.168.64.129 | eth0 | NAT |
192.168.182.130 | eth1 | 主机模式 |
第二台电脑
IP | 网卡 | 网卡模式 |
---|---|---|
192.168.182.131 | eth0 | 主机模式 |
配置静态地址
DEVICE=eth0
HWADDR=00:0C:29:12:8F:7B
TYPE=Ethernet
UUID=8f842041-d5d1-4b0f-a021-67de410e00a7
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.64.129
NETMASK=255.255.255.0
GATEWAY=192.168.64.2
DNS1=8.8.8.8
DNS2=8.8.8.4
DEVICE=eth1
TYPE=Ethernet
UUID=8f842041-d5d1-4b0f-a021-67de410e00a7
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.182.130
NETMASK=255.255.255.0
DEVICE=eth0
HWADDR=00:0C:29:D7:E9:57
TYPE=Ethernet
UUID=688e7269-d719-4776-82ee-9055383c9c2f
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.182.131
NETMASK=255.255.255.0
GATEWAY=192.168.182.130
USERCTL=no
PEERDNS=yes
IPV6INIT=no
DNS1=8.8.8.8
DNS2=114.114.114.114
条件准备
vim /etc/sysctl.conf
修改为1
然后:执行sysctl -p
最后执行如下语句
iptables -t nat -A POSTROUTING -s 192.168.182.0/24 -o eth0 -j SNAT --to-source 192.168.64.129
或者:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
6.NAT表的DNAT策略
DNAT策略的典型应用环境 :在Internet中发布位于企业局域网内的服务器
DNAT策略的原理:
目标地址转换,Destination Network Address Translation 修改数据包的目标地址
iptables -t nat -A PREROUTING -i eth0 -d 192.168.64.129 -p tcp --dport 80 -j DNAT --to-destination 192.168.182.130
7.工作中遇到过的匹配规则
iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 2346 -j DNAT --to-destination 192.168.1.6:22
iptables -t nat -A OUTPUT -p tcp --dport 10350 -j DNAT --to 127.0.0.1:10003