Linux网络安全篇,认识防火墙(二),Netfilter

一.概述

因为iptables软件利用的是数据包的过滤的机制。所以它会分析数据包的报头数据。根据报头数据与定义的规则来决定该数据是否可以放行。若数据包内容与规则内容相同则放行,否则继续与下一条规则进行比较。我们可以发现这些规则是有顺序的。如果数据符合第一条规则,则不再理会后续的规则了。因此,规则的排列顺讯是非常重要的

如果该数据与所有规则都不符合,则会通过默认操作,即数据包策略Policy。

二.iptables的整体框架

从名字我们就可以得知,iptables是一个管理多个表格的软件。而每个表格又有很多链(chain)。我们在上面(概述)提到的工作流程其实只是某个表格的某个链的执行原理。

如何查看当前iptables中已经存在的表以及其中的规则呢?

iptables [-t tables] [-L] [-nv]

-t ===> 后面接table,若省略则默认使用filter

-L ===> 列出目前的table的规则

-n ===> 不进行IP和HOSTNAME的反查

-v ===> 列出更多的信息

eg:

字段属性:

target ===> 代表进行的操作,ACCEPT事放行,而REJECT则是拒绝,DROP是丢弃

prot ===> 代表使用的数据包协议

opt ===> 额外的选项说明

source ===> 代表此规则是针对哪个来源IP进行限制

destination ===> 代表此规则是针对哪个目标IP进行限制

主要的表及其内部包含的链:

Filter(过滤器):

主要跟进入Linux本机的数据包有关,是默认的table。

INPUT与要进入本机的数据包有关

OUTPUT:与本机要送出的数据包有关

FORWARD:与本机没有关系,可以传递数据包到后端的计算机中,与NAT的相关性较高

NAT(地址转换):

PREROUTING:路由判断之前要进行的规则

POSTROUTING:路由判断之后要进行的规则

OUTPUT:与发送出去的数据包有关

这个用来进行来源与目的地的IP或port的转换,与本机无关,主要与Linux主机后的局域网内计算机有关

Mangle(破坏者):

特殊的数据包。该表与特殊标志相关性较高

三、常用命令

1.查看完整的防火墙规则(没有格式化输出)

iptables-save [-t table]

2.清除规则

iptables [-t tables] [-FXZ]

-F ===> 清除所有的已制定规则

-X ===> 删除所有用户“自定义”的链(chain)

-Z ===> 将所有用户的链(chain)的计数与流量都归零

注意:这三条命令会将本机防火墙规则都清除,但是不会改变默认策略(policy)

3.定义默认策略

策略(policy) :当数据包不在我们设置的规则之内时,它的通过与否是以策略(policy)的设置为准。

iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT|DROP]

-P ===> 定义策略(Policy)

ACCEPT ===> 该数据包可接受

DROP ===> 该数据包直接丢弃,不会让Client端知道为何丢弃

eg:

将本机的INPUT设置为DROP

iptables -P INPUT DROP

4.数据包的基础对比

iptables [-A/I 链名] [-i/o 网络接口] [-p 协议] [-s 来源IP/网络] [-d 目标IP/网络] -j [ACCEPT|DROP|REJECT|LOG]

-A ===> 新增一条规则到该链的最后面

-I ===> 插入一条规则,若没有指明此规则的顺序,则默认插入变成第一条规则

-i ===> 设置数据包进入网络接口(eth0,lo等)的规范,需要与INPUT链配合

-o ===> 设置数据包传出网络接口的规范,需要与OUTPUT链配合

-p ===> 设置改规则适用于哪种数据包格式(tcp,udp,icmp,all)

-s ===> 设置此规则之数据包的来源地,可以为IP(如192.168.1.1)或网络(如192.168.1.0/24或192.168.1.0 255.255.255.0)

-d ===> 设置此规则之数据包的目标IP或网络

-j ===> 后面接操作,ACCEPT(接受),DROP(丢弃),REJECT(拒绝),LOG(记录)

注意:如果没有设置某个参数,则代表无论该参数代表的值为何值都接受

eg:

(1).

iptables -A INPUT -i lo -j ACCEPT 

该命令的意思是:设置lo成为受信任的设备,亦即进入和出去lo的数据都予以接受。

(2).

iptables -A INPUT -i eth1 -j ACCEPT

该命令的意思是:设置eth1网卡为信任网卡。即该网卡没有任何防备。

5.TCP、UDP的规则比对:针对端口设置

iptables [-A/I 链] [-i/o 网络接口] [-p tcp,udp] [-s 来源IP/网络] [--sport 端口范围] [-d 目标IP/网络] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]

--sport ===> 端口范围,限制来源的端口号码

--dport ===> 端口范围,限制目标的端口号码

注意:因为仅有tcp与udp数据包具有端口,因此要想使用--dport,sport时,需要加上-p tcp或-p udp的参数才会成功

eg:将想要连接进入本机port 21的数据包全部阻挡

iptables -A INPUT -i ens33 -p tcp --dport 21 -j DROP

6.特殊标志,对主动连接SYN的处理

eg:

将来自任何地方来源port 1:1023的主动连接到本机端的 1:1023连接丢弃

iptables -A INPUT -i ens33 -p tcp --sport 1:2023 --dport 1:1023 --syn -j DROP 

注意:一般来说,客户端启用的port都大于1024,而服务器端启用的端口都小于1023。

7.iptables外挂模块:mac与state

iptables -A INPUT [-m state] [--state 状态]

-m ===> 接iptables的外挂模块

常见的外挂模块有:

state:状态模块

mac:网卡硬件地址

--state ===> 接数据包的状态

常见状态主要有:

INVALID:无效的数据包

ESTABLISHED:已经连接成功的连接状态

NEW:想要新建立连接的数据包状态

RELATED:表示这个数据包是与主机发送出去的数据包有关

eg:

(1).只要已建立连接或与已发出请求相关的数据包就予以通过

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

(2).针对局域网内的aa:bb:cc:dd:ee:ff主机开放其连接

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT 

 

posted @ 2019-11-10 22:17  IT蓝月  阅读(244)  评论(0编辑  收藏  举报
Live2D