firewall之iptables ，SNAT，DNAT

简述防火墙 防火墙简单来说就是起隔离作用的网络防御机制，它分为软件防火墙和硬件防火墙。无论哪一种都是工作在网络的边缘。那么防火墙怎么隔离呢，又隔离什么呢？ 防火墙一般分为内核空间和用户空间，应用都是在用户空间中。对于客户端访问时，先访问内核空间，然后进入用户空间。对于主机防火墙，它的匹配规则一定设置在内核空间。一般client发送报文访问本主机，报文先通过一个进口进入内核空间，然后进入用户空间，用户空间检测报文，在重新进入内核空间，从内核的出口出去，离开防火墙，返回给client。 对于网络防火墙client发送报文，通过进口进入内核空间，然后在内核空间通过一个转发即FORWARD，在通过出口访问网络，它不通过用户空间。 防火墙内部有层层关卡，我们分为5个chain：PREROUTING,INPUT,OUTPUT,POSTROUTING,FORWARD。根据不同的功能我们分为了4个表，分别是raw，mangle，nat，filter。 优先级是raw，mangle，nat，filter，而我们最常用的是filter其次是nat，之后mangle，一般不会用到raw。 filter有INPUT,FORWARD,OUTPUT三个链 nat有PREROUTING，INPUT,OUTPUT，POSTROUTING四个链 mangle有PREROUTING，INPUT,FORWARD，OUTPUT，POSTROUTING全部链 raw只有PREROUTING，OUTPUT链 添加规则时的考量点： (1)要实现什么功能:判断添加在哪张表上; (2)报文流经的路径:判断添加在哪个链上; iptables是提供在用户空间操作防火墙的工具 工具使用 链管理命令（这都是立即生效的） -P :设置默认策略的（设定默认门是关着的还是开着的） 默认策略一般只有两种 iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的 比如： iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。 -F: FLASH，清空规则链的(注意每个链的管理权限) iptables -t nat -F PREROUTING iptables -t nat -F 清空nat表的所有链 -N:NEW 支持用户新建一个链 iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。 -X: 用于删除用户自定义的空链 使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了 -E：用来Rename chain主要是用来给用户自定义的链重命名 -E oldname newname -Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节） iptables -Z :清空 规则管理命令 -A：追加，在当前链的最后新增一个规则 -I num : 插入，把当前规则插入为第几条。 -I 3 :插入为第三条 -R num：Replays替换/修改第几条规则 格式：iptables -R 3 ………… -D num：删除，明确指定删除第几条规则 查看管理命令 “-L” 附加子命令 -n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。 -v：显示详细信息 -vv -vvv :越多越详细 -x：在计数器上显示精确值，不做单位换算 --line-numbers : 显示规则的行号 -t nat：显示所有的关卡的信息 详解匹配标准 通用匹配：源地址目标地址的匹配 -s：指定作为源地址匹配，这里不能指定主机名称，必须是IP IP | IP/MASK | 0.0.0.0/0.0.0.0 而且地址可以取反，加一个“!”表示除了哪个IP之外 -d：表示匹配目标地址 -p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP） -i eth0：从这块网卡流入的数据 流入一般用在INPUT和PREROUTING上 -o eth0：从这块网卡流出的数据 流出一般在OUTPUT和POSTROUTING上 扩展匹配 隐含扩展：对协议的扩展 -p tcp :TCP协议的扩展。一般有三种扩展 --dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如 --dport 21 或者 --dport 21-23 (此时表示21,22,23) --sport：指定源端口 --tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG） 对于它，一般要跟两个参数： 检查的标志位 必须为1的标志位 --tcpflags syn,ack,fin,rst syn = --syn 表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn -p udp：UDP协议的扩展 --dport --sport -p icmp：icmp数据报文的扩展 --icmp-type： echo-request(请求回显)，一般用8 来表示 所以 --icmp-type 8 匹配请求回显数据包 echo-reply （响应的数据包）一般用0来表示 显式扩展（-m） 扩展各种模块 -m multiport：表示启用多端口扩展 之后我们就可以启用比如 --dports 21,23,80 详解-j ACTION 常用的ACTION： DROP：悄悄丢弃 一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表 REJECT：明示拒绝 ACCEPT：接受 custom_chain：转向一个自定义的链 DNAT SNAT MASQUERADE：源地址伪装 REDIRECT：重定向：主要用于实现端口重定向 MARK：打防火墙标记的 RETURN：返回 在自定义链执行完毕后使用返回，来返回原规则链。 状态检测： 是一种显式扩展，用于检测会话之间的连接关系的，有了检测我们可以实现会话间功能的扩展 什么是状态检测？对于整个TCP协议来讲，它是一个有连接的协议，三次握手中，第一次握手，我们就叫NEW连接，而从第二次握手以后的，ack都为1，这是正常的数据传输，和tcp的第二次第三次握 手，叫做已建立的连接（ESTABLISHED）,还有一种状态，比较诡异的，比如：SYN=1 ACK=1 RST=1,对于这种我们无法识别的，我们都称之为INVALID无法识别的。还有第四种，FTP这种古老的拥有的 特征，每个端口都是独立的，21号和20号端口都是一去一回，他们之间是有关系的，这种关系我们称之为RELATED。 所以我们的状态一共有四种： NEW ESTABLISHED RELATED INVALID 所以我们对于刚才的练习题，可以增加状态检测。比如进来的只允许状态为NEW和ESTABLISHED的进来，出去只允许ESTABLISHED的状态出去，这就可以将比较常见的反弹式木马有很好的控制机制。 拓展： 进来的拒绝出去的允许，进来的只允许ESTABLISHED进来，出去只允许ESTABLISHED出去。默认规则都使用拒绝 iptables -L -n --line-number ：查看之前的规则位于第几行 改写INPUT iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT 此时如果想再放行一个80端口如何放行呢？ iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT 扩展：对于127.0.0.1比较特殊，我们需要明确定义它 iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT NAT 1.需要3台虚拟机 client端配置网卡静态，ip 192.168.20.2；server端网卡静态，ip 172.16.100.2；一台虚拟机需要2个网卡作为防火墙，网卡为静态，ip 192.168.20.1和172.16.100.1 注意这里需要80端口的验证，所以虚拟机开启httpd，client和server防火墙关闭，防火墙需要开启防火墙，最好将链和表删到最简。 2、两种修改内核参数方法: 1)、使用echo value方式直接追加到文件里如echo "1" >/proc/sys/net/ipv4/tcp_syn_retries，但这种方法设备重启后又会恢复为默认值 2)、把参数添加到/etc/sysctl.conf中，然后执行sysctl -p使参数生效，永久生效 在防火墙中配置SNAT： iptables -t nat -A POSTROUTING -s 192.168.20.2 -d 172.16.100.2 --dport 80 -j SNAT --to-source 172.16.100.1 在防火墙中配置DNAT： iptables -t nat -A PREROUTING -s 172.16.100.2 -d 172.16.100.1 --dport 80 -j DNAT --to-destination 192.168.20.2