菜鸟学Linux 第066篇笔记 简单配置iptables

Linux 网络防火墙

netfilter: frame

iptables: 数据报文过滤,NAT, mangle 等规则生成的工具

网络: IP报文首部, TCP报文首部

ip 协议

tcp protocol

三次握手

四次断开

防火墙 硬件, 软件: 规则(匹配标准,处理办法)

framework

默认规则

开放:堵

关闭:通

规则:匹配标准

IP:源IP,目标IP

TCP: 源port, 目标port

UDP: 源port, 目标port

ICMP:icmp-type

Linux2.0

ipfw/firewall

Linux 2.2

ipchain/firewall

Linux2.4

iptables/netfilter

hock function: 勾子函数

prerouting

input

output

forward

postrouting

规则链

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

filter(过滤) 表

INPUT

OUTPUT

FORWARD

nat(地址转换) 表

PREROUTING

OUTPUT

POSTROUTING

mangle(拆开、修改、封装) 表

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

raw() 表

PREROUTING

OUTPUT

iptables

不是服务,但有服务脚本,服务脚本的主要作用在于管理保存规则

装载或移除iptables/netfilter相关的内核模块

能否使用自定义链?

可以使用自定义链,但只在被调用时才能发挥作用,而且如果没有自定义链中的任何规则匹配,还应该有返回机制;

用户可以删除自定义的空链;

默认链无法删除

每个规则都有两个内置的计数器

被匹配的报文个数

被匹配的报文大小之和

规则:匹配标准,处理动作

匹配标准:

通用匹配

-s, --src

-d, --dst

-p,{tcp|udp|icmp}

-i, INTERFACE 数据报文流入接口

可用于定义标准的链:PREROUTING, INPUT, FORWARD

-o, INTERFACE 数据报文流出接口

可用于定义标准的链:OUTPUT, POSTROUTING, FORWARD

扩展匹配

隐含扩展:不用特别指明由哪个模块进行的扩展,因为使用-p {tcp|udp|icmp}

-p tcp

--sport PORT 源端口

--dport PORT 目标端口

--tcp-flags mask comp 只检查指定的标志位,是逗号分隔的标志位

--tcp-flags SYN,FIN,ACK,RST SYN,ACK

mask 0 comp 1

-p icmp

--icmp-type

0: echo-reply

8: echo-request

-p udp

--sport

--dport

显式扩展:必须指明哪个模块进行的扩展,在iptables中使用-m选项完成此功能

-m EXTENSION --spe-opt

state: 状态扩展

结合ip_conntrack追踪会话的状态

NEW 新连接请求

ESTABLISHED 已经建立的连接

INVALID 非常连接

RELATED 相关联的

-m state --state NEW,ESTABLISHED -j ACCEPT

multiport 离散的多端口匹配扩展

--source-ports

--destination-ports

--ports

-m multiport --destination-ports 21,22,80 -j ACCEPT

保存规则:

# service iptables save  (将现配置的规则保存)

/etc/sysconfig/iptables

# iptables-save > /etc/sysconfig/iptables.20161231(明确指定要保存的位置)

# iptables-restore < /etc/sysconfig/iptables.20161231 (读取保存的规则)

添加规则

iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理办法

-j TARGET

ACCEPT

DROP

REJECT

iptables/netfilter:

iptables

filter, nat, mangle, raw

filter

INTPU, FORWARD, OUTPUT

nat

PREROUTING(DNAT), OUTPUT, POSTROUTING(SNAT)

mangle

PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

raw

PREROUTING, OUTPUT

CHAN

PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

netfilter: Framework, tcp/ip, 内核中

命令COMMAND

管理规则

-A 附加一条 规则,添加在链的尾部append

-I CHAIN [num] 插入一条规则,插入为对应CHAIN上的第num条insert ;

-D CHAIN [num] 删除指定链中的第num条规则delete

-R CHAIN [num] 替换指定的规则replace

管理链

-F [CHAIN] 清空指定规则链flush

-p CHAIN 设定指定链的默认策略

-N 自定义一个新的空链

-X 删除一个自定义的空链

-Z 置零指定链中所有规则的计数器

-E 重命名自定义链

查看类

-L 显示指定表中的规则

-n 以数字格式显示主机地址和端口号

-v 显示链及规则的详细信息

-x 显示精确值

--line-numbers 显示规则号码

动作(target)

ACCEPT

DROP

REJECT

DNAT

SNAT

REDIRECT

MASQUERADE 伪装

LOG

MARK

放行示例:

ssh 放行

# iptables -t filter -A OUTPUT -s 192.168.11.122 -d 192.168.11.0/24 -p tcp --sport 22 -j ACCEPT

# iptables -t filter -A INPUT -s 192.168.11.0/24 -d 192.168.11.122 -p tcp --dport 22 -j ACCEPT

修改默认链的默认策略

# iptables -t filter -P FORWARD DROP

# iptables -t filter -P OUTPUT DROP

# iptables -t filter -P INPUT DROP

放行 http 80

# iptables -t filter -I OUTPUT -s 192.168.11.122 -p tcp --sport 80 -j ACCEPT

# iptables -t filter -I INPUT -d 192.168.11.122 -p tcp --dport 80 -j ACCEPT

放行本地lo 

# iptables -t filter -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT

# iptables -t filter -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT

可以自己ping其它主机,而不允许其它主机ping自己

# iptables -t filter -A OUTPUT -s 192.168.11.122 -p icmp --icmp-type 8 -j ACCEPT

# iptables -t filter -A INPUT -d 192.168.11.122 -p icmp --icmp-type 0 -j ACCEPT

想想DNS如果要放行的话应该建立几条?

8条 

4条tcp

2条input 

1条为本地客户端向本地DNS服务器请求地址解析(递归)

1条为远程DNS服务器向本地的DNS服务器发送解析结果

2条output

1条为本地服务器向远端DNS服务器请求地址解析(迭代)

1条为本地DNS服务器向本地客户端发送解析结果

4条udp

同上,只是此为udp 端口

优化iptables 规则条目

放行所有服务器已经建立会话出去的包

iptables -t filter -I OUTPUT -s 192.168.11.122 -m state --state ESTABLISHED -j ACCEPT

ftp 放行需要单加模块在iptables配置文件

/etc/sysconfig/iptables-config

ip_nat_ftp

然后需要在进入和出口方向加入 RELATED

INPUT

第一条放行所有已经建立的和相关联的规则

iptables -t filter -I INPUT -d 192.168.11.122 -m state --state ESTABLISHED,RELATED -j ACCEPT

多端口一条匹配NEW

iptables -t filter -I INPUT 2 -d 192.168.11.122 -p tcp -m multiport --destination-ports 22,80,21 -m state --state NEW -j ACCEPT