netfileter:防火墙内核态
ip tables:防火墙用户态(管理防火墙规则)
iptables的表和链
表包括不同的链,链包括大量的规则
4个表:
raw,mangle,nat,filter
5种链(一般在nat表里用):
INPUT(入站数据),OUTPUT(出站数据),FORWARD(转发数据),
PREROUTING(路由选择前),POSTROUTING(路由选择后)
iptables基本用法:
iptables -t 表名 -选项 链名 条件匹配 -j 操作类型
常见选项:
-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则
-L:列出所有的规则条目
-n:以数字形式显示地址,端口等信息
--line-numbers:查看规则时,显示规则的序号
-D:删除链内指定序号(或内容)的一条规则
-F:清空所有的规则
-P:为指定的链设置默认规则
条件匹配类型:
通用匹配:独立使用
-p:指定协议
-s:源地址
-d:目标地址
-i:入站网卡
-o:出站网卡
隐含匹配:依赖于某种通用匹配
--sport:源端口
--dport:目标端口
--icmp-type:
--tcp-flags:
扩展匹配:-m 模块名
扩展条件的方法
前提条件:有对应的防火墙模块支持
基本用法:
-m 扩展模块 --扩展条件 条件值
示例:-m mac --mac-source 00:0C:29:74:BE:21
简化服务开启规则
一条规则开放多个端口
比如web,ftp,mail,ssh等
[root@hydra]# iptables -A INPUT -p tcp -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
根据ip范围封锁主机:
ssh登陆的ip范围控制
允许192.168.1.10-192.168.4.20登陆
静止从192.168.4.0/24网段其他主机登陆
[root@hydra]# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
[root@hydra]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP
——————————————————————————————————————————————————————————
nat表典型应用
SNAT源地址转换(Source Network Address Translation)
修改数据包的源地址
仅用于nat表的POSTROUTING链
DNAT目标地址转换(Destination Network Address Translation)
修改数据包目标地址(ip,端口)
仅用于nat表的PREROUTING,OUTPUT链
配置SNAT共享上网
配置的关键策略:
选择出去的包,针对来自局域网,
即将从外网接口发出去的包,将源ip地址修改为网关的公网ip地址
[root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j SNAT --to-source 174.16.16.1
(192.168.4.0/24局域网网段地址,eth1外网接口,174.16.16.1外网接口的ip地址)
地址伪装策略
共享动态公网ip地址实现上网:
主要针对外网接口ip地址不固定的情况,
将SNAT改为MASQUERADE即可
对于ADSL宽带拨号连接,网络接口可写为ppp+
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j MASQUERADE
——————————————————————————————————————————————————————
案例准备:
gw1:192.168.4.1 174.16.16.1
svr:192.168.4.2
pc174.16.16.120
在svr上准备dns服务,web服务,网页内容hydra 提供解析记录:www.Anonymous.cn ——》174.16.16.1
从pc上能够访问以下地址:
http://174.16.16.1
http://www.Anonymous.cn
[root@svr ~]# vim /var/named/Anonymous.cn.zone
@ NS svr.Anonymous.cn.
svr A 192.168.4.2
www A 174.16.16.1
[root@svr ~]# vim /etc/named.conf
zone "Anonymous.cn" IN {
type master;
file "Anonymous.cn.zone";
};
[root@svr ~]# vim /var/www/html/test.html
hydra!
内网web主机能够访问internet,比如SNAT
linux网关服务器开启ip路由转发,将web域名解析为网关的外网ip地址
[root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j SNAT --to-source 174.16.16.1(nat地址转换)
[root@gw1 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1(开启路由转发)
发布web,dns服务器
配置的关键策略:
在路由选择之前,针对从外网接口收到的
访问本机公网地址tcp 80端口的数据包
将其目标地址修改位于内网的web主机的ip地址
[root@gw1 ~]# iptables -t nat -A PREROUTING -i eth1 -d 174.16.16.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.2(允许公网访问)
[root@gw1 ~]# iptables -t nat -A PREROUTING -i eth1 -d 174.16.16.1 -p udp --dport 53 -j DNAT --to-destination 192.168.4.2(发布dns服务地址)
发布ssh服务器
执行ssh -p 2345 174.16.16.1时,实际登陆192.168.4.2
[root@gw1 ~]# iptables -t nat -A PREROUTING -i eth1 -d 174.16.16.1 -p tcp --dport 2345 -j DNAT --to-destination 192.168.4.2:22
ps:sshd访问响应慢的问题,sshd会尝试解析客户机的fqdn,设置了一个不可用的dsn
ssh会gss验证方式
修改客户端的/etc/ssh/ssh_config文件,禁用gss认证
GSSAPIAuthentication no(改为no)
发布ftp服务器
注意事项:加载模块nf_nat_ftp,nf_conntrack_ftp
[root@gw1 ~]# modprobe -a nf_nat_ftp nf_conntrack_ftp
[root@gw1 ~]# iptables -t nat -A PREROUTING -i eth1 -d 174.16.16.1 -p tcp --dport 20:21 -j DNAT --to-destination 192.168.4.2
iptables导出/导入规则
使用iptables-save导出
[root@gw1~]# ipables-save > /root/myiptables.txt(把防火墙规则导入到自定义的文件夹)
使用iptables-restore导入
[root@gw1~]# iptables-restore < /root/myiptables.txt
开机后自动加载亿保存的规则
[root@gw1~]# iptables-save > /etc/sysconfig/iptables
[root@gw1~]# chkconfig iptables on
————————————————————————————————————————————————————————————————————
防火墙脚本
shell脚本的编写:
vim建立代码文件
使用变量
可执行语句的编写【免交互】
添加x权限
针对linux网关编写脚本,提供SNAT共享上网策略
提供DNAT发布web,ftp服务的策略,编写网络型,主机型防护规则。
批量设置防火墙规则
编写脚本文件——》开机时调用/etc/rc.local
防火墙规则的脚本化:
定义基本变量
必要时,内核模块和运行参数调整
防火墙策略设计:
各链的默认规则
按表,链组织的具体规则
运行环境处理
变量及模块整理,
方便脚本的维护,重用,移植
必要的功能模块预备
!/bin/bash
INET_IF=eth1
INET_IP=174.16.16.1
LAN_NET=192.168.4.0/24
LAN_WWW_IP=192.168.4.2
IPT=/sbin/iptables
... ...
/sbin/modprobe -a nf_nat_ftp nf_conntrack_ftp
... ...
主机型防火墙脚本
以filer表的INPUT链为主OUTPUT链次之
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
... ...
$IPT -P INPUT -p tcp --dport 8 -j ACCEPT
$IPT -P INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... ...
网络型防火墙脚本
以filter表的FORWRD链为主,网关上会用到nat表
$IPT -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP
$IPT -t nat -A PREROUTING -i $INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP
$IPT -A FORWARD -d $LAN_NET -i $INET_IF -m state --state ESTABLISHED,RELATED -j ACCEPT