linux iptables理论学习
近来回顾系统知识,想写个基于iptables安全防御的脚本,实现系统自动防护。
参考文档:http://blog.chinaunix.net/uid-26495963-id-3279216.html
iptables的历史
iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能。
他们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter.(网络过滤器)
作者一共在内核空间中选择了5个位置,
1.内核空间中:从一个网络接口进来,到另一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口
iptables的工作机制
这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发管卡)
4.OUTPUT(数据包出口)
5.POSTROUTING(路由后)
iptables的动作和策略
防火墙的动作总共就两种,ACCEPT和DROP,不是通过就是丢弃。而针对不同位置有不同的策略表,每个表在不同的位置上有不同的链(chain)。
如图所示,我们现在用的比较多链的功能有3个:
1.filter 定义允许或者不允许的
2.nat 定义地址转换的
3.mangle功能:修改报文原数据
iptables规则的写法
iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理
比如:不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
当然你如果想拒绝的更彻底:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT
iptables -L -n -v #查看定义规则的详细信息
iptables COMMAND详解
1.链管理命令
-P :设置默认策略的 (accept|drop)
iptables –P INPUT (ACCEPT|DROP)
-F:清空规则链
-N: 新建一个用户自定义链
-X: 删除一个用户自定义链
-E: 用于重命名用户自定义链的名称
-Z: 清空链及链中的计数器
2.规则管理命令
-A :追加
-I chain num: 插入
-R chain num:替换
-D chain num:删除
3.查看管理命令 “-L”
-n :以数字方式显示ip
-v :显示详细信息
-vv -vvv越多越详细
-x :在计数器上显示精确值,不做单位换算
--line-numbers :显示规则行号
-t nat:显示所有的关卡的信息
详解匹配标准
1.通用匹配:源地址目标地址的匹配
-s: 指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
-d: 表示匹配目标地址
-p: 用于匹配协议的
-i eth#:从这块网卡流入的数据
-o eth#:从这块网卡流出的数据
2.扩展匹配:对协议的扩展
-p tcp :TCP协议的扩展
--dport ##-##: xx制定目的端口
--tcp-flags: TCP的标志位
--tcp-flags syn,ack,fin,rst syn = –-syn
-p udp : UDP协议的扩展
--dport
--sport
-p icmp : icmp数据报文的扩展
--icmp-type icmp的类型
3.显示扩展
-m,表示启用多端口扩展
之后我们就可以启用比如 –dports 21,23,80
详解-j ACTION
常用的ACTION
DROP:悄悄丢弃
REJECT:明示拒绝
ACCEPT:接受
详解状态检测
什么是状态检测?对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接,而从第二次握手以后的,ack都为1,这是正常的数据传输,和tcp的第二次第三次握手,叫做已建立的连接(ESTABLISHED),还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。还有第四种,FTP这种古老的拥有的特征,每个端口都是独立的,21号和20号端口都是一去一回,他们之间是有关系的,这种关系我们称之为RELATED。
所以我们的状态一共有四种:
NEW
ESTABLISHED
RELATED
INVALID
具体这个状态检测可以用来做什么呢?
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j REJECT
这句命令的意思是在INPUT的位置只允许第二次握手后的数据包和有依赖关系的数据包通过,这样就能让外部用户都无法发起对本机tcp连接,对于处于公网上,非C/S架构的业务会比较有效。
但是这句话有个问题,你连第一次发起的链接都拒绝了,那我root用户不是想管都管不上了?
于是就需要在这句话前放行你自己所在的IP网段的tcp state new,让本地网络可以访
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
limit,limit-burst详解
从iptables指南上看出limit和limit-burst最初不是拿来限速的。是拿来限制日志记录的次数的(iptables的logging功能),比如一秒1w个包,通过iptables的匹配了logging规则,都记录下来,log信息会无比庞大。在logging的规则中加上limit之后,可以有每秒/分/小时记录多少次的效果。
iptables -A INPUT -i wlan0 -m limit --limit 1000/s -j ACCEPT iptables -A INPUT -i wlan0 -j DROP
这两条规则一起,可以有限制没秒通过无线网卡上传包的数目为1000,因为INPUT 进来的包,进行ACCEPT的次数被限制为1000次每秒,OUTPUT也是如此。
另外需要注意的是第二条规则iptables -A INPUT -i wlan0 -j DROP 如果没有它,限速不成功。
因为在iptables里,一个包不符合某条规则,就会由后面的规则来处理,如果都不符合,就由缺省的策略处理。所以如果limit后面没规则了,默认规则就是全量ACCEPT,也就是每秒ACCEPT规则匹配超过1000次之后,那些包,都由默认规则(ACCEPT)来处理,所以无法限速。
关于limit-burst
个人理解limit-burst是个初始值..匹配次数过了这个初始值,之后的就由limit xxx/s来控制了
