防火墙之iptables工具
防火墙之IPTABLES
防火墙分类(实现划分、范围划分、协议划分)
- 硬件防火墙
- 软件防火墙
- 主机防火墙
- 网络防火墙
- 下四层防火墙
- 应用层防火墙
linux内核集成于2.4往后版本
- 由Netfilter组件提供
- 实现功能的软件之一:Iptables
netfilter 中的hook
- input
- outpu
- forword
- prerouting
- postrouting
数据流向
- 流入:到本地用户空间
- 流出:访问外部web
- 穿过:转发数据包
iptables对应hook的表chain
- filter、nat、mangle、raw、security
- filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包
- nat表:network address translation 地址转换规则表
- mangle:修改数据标记位规则表
- raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
- security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如 SELinux)实现
动作
- ACCEPT、DORP、REJECT...
详细动作:
RETURN:#返回调用链
REDIRECT:#端口重定向
LOG:#记录日志,dmesg
MARK:#做防火墙标记
DNAT:#目标地址转换
SNAT:#源地址转换
MASQUERADE:#地址伪装
自定义链
规则rule
- 语法:
-t filter 默认可省略,故后面未填写的都为 -t filter
iptables -t [filter] -A [INPUT] -s [192.168.47.106] -j [DORP]
iptables -t [表] -A 附加链 -s 规则 -j 满足规则的处理动作
# 指定表
-t table #指定表raw, mangle, nat, [filter]默认
# 子命令
N:#new, 自定义一条新的规则链
-E:#重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除
-X:#delete,删除自定义的空的规则链
-P:#Policy,设置默认策略;对filter表中的链而言,其默认策略有:
ACCEPT:#接受
DROP:#丢弃
# 查看选项
-L:#list, 列出指定鏈上的所有规则,本选项须置后
-n:#numberic,以数字格式显示地址和端口号
-v:#verbose,详细信息
-vv #更详细
-x:#exactly,显示计数器结果的精确值,而非单位转换后的易读值
--line-numbers:#显示规则的序号
-S #selected,以iptables-save 命令格式显示链上规则
# 规则管理类
A:#append,追加
-I:#insert, 插入,要指明插入至的规则编号,默认为第一条
-D:#delete,删除 (1) 指明规则序号(2) 指明规则本身
-R:#replace,替换指定链上的指定规则编号 然后添加修改后的规则
-F:#flush,清空指定的规则链
-j:#targetname [per-target-options] 前面的**动作**
-Z:#zero,置零包大小, iptables的每条规则都有两个计数器,(1) 匹配到的报文的个数 (2) 匹配到的所有报文的大小之和
例:
iptables -A INPUT -s 192.168.47.119 -j REJECT
iptables -I INPUT -s 192.168.47.120 -j ACCEPT
iptables -D INPUT 2 ,第二种 (iptables -D INPUT -s 192.168.47.120 -j ACCEPT)
iptables -R INPUT 2 -i lo -j REJECT
基本匹配条件
- 基本匹配条件:无需加载模块,由iptables/netfilter自行提供
-s, --source address[/mask][,...]:#源IP地址或范围
-d, --destination address[/mask][,...]:#目标IP地址或范围
-p, --protocol protocol:#指定协议,可使用数字如0(all)protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp, mh or "all" 参看:/etc/protocols
-i, --in-interface name:#报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链
-o, --out-interface name:#报文流出的接口;只能应用于数据报文流出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链
例:
iptables -A INPUT -s 192.168.47.119 -j REJECT
iptables -A INPUT -p tcp/icmp... -j REJECT
iptables -A INPUT -i lo/eth0... -j REJECT
扩展的匹配规则(使用模块)
- 使用帮助 man iptables-extensions
- 模式: 隐式扩展,显示扩展,且如果没有该模块,需要自己加载模块才能生效
- 隐式: 使用特定协议,即可不使用-m 指定特定模块
例如: tcp udp ...协议
tcp:
--tcp-flags SYN,ACK,FIN,RST SYN #表示要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余下的必须为0
--tcp-flags SYN,ACK,FIN,RST SYN,ACK
--tcp-flags ALL ALL
--tcp_flags ALL NONE
实例:iptables I INPUT 2 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP (第一次握手的包)
- 显式:使用-m 后调用模块,然后更上模块需要的参数
例如: time,string...等
time:
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
--monthdays day[,day...] 每个月的几号
--weekdays day[,day...] 星期几,1 – 7 分别表示星期一到星期日
实例:
iptabes -I INPUT 3 -m time --timestart 4:00 --timestop 6:00 -j ACCPET #(在中午午休时间允许访问12点到2点,这里使用TUC时区,需要减8个小时)
关于设置白名单机制
- iptables -I INPUT (最后一条的位置例5) -j DROP (设置除了已允许的能够访问之外,其余都不能访问)
防Dos 攻击:
- iptables -A INPUT -d 172.16.100.10 -p tcp --dport 80 -m connlimit --connlimit-above 1000 -j REJECT ( 在访问数量超过1000次80 端口后就拒绝访问 )
优化
1. 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条
2. 谨慎放行入站的新请求
3. 有特殊目的限制访问功能,要在放行规则之前加以拒绝
4. 同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理
5. 不同类的规则(访问不同应用),匹配范围大的放在前面
6. 应该将那些可由一条规则能够描述的多个规则合并为一条
7. 设置默认策略,建议白名单(只放行特定连接)
规则保存
- 默认生命周期 :kerenl存活期间
- iptables-save > /etc/iptables.conf (保存规则方法)
- iptables-restore < /etc/iptables.conf (添加文件的规则方法,-n 不清除原有规则)
