公司注销了网站备案的负责人,凉州区新农村建设网站,北京网站搭建服务,杭州网站设计费用一、linux的防火墙组成
linux的防火墙由netfilter和iptables组成。用户空间的iptables制定防火墙规则#xff0c;内核空间的netfilter实现防火墙功能。
netfilter#xff08;内核空间#xff09;位于Linux内核中的包过滤防火墙功能体系#xff0c;称为Linux防火墙的“内核…一、linux的防火墙组成
linux的防火墙由netfilter和iptables组成。用户空间的iptables制定防火墙规则内核空间的netfilter实现防火墙功能。
netfilter内核空间位于Linux内核中的包过滤防火墙功能体系称为Linux防火墙的“内核态”。
iptables(用户空间)位于/sbin/iptables是用来管理防火墙的命令的工具为防火墙体系提供过滤规则/策略决定如何过滤或处理到达防火墙主机的数据包称为Linux防火墙的“用户态”。 Linux系统的防火墙功能是由内核实现的包过滤防火墙工作在TCP/IP的网络层。用户空间的iptables制定相应的规则策略控制内核空间的netfilter处理相应的数据访问控制。 二、iptables 概述 iptables是Linux斜体自带的防火墙工具支持数据包过滤、数据包转发、地址转换、基于MAC地址的过滤、基于状态的过滤、包速率限制等安全功能。iptables可以用于构建Linux主机防火墙也可以用于搭建网络防火墙。
三、iptables 结构 iptables的四表tables与五链chains
四表filter、nat、mangle、raw
五链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。
表与链关系图 四、iptables 的四表五链功能
四表功能 filter一般的过滤功能 nat用于nat功能端口映射地址映射等 mangle用于对特定数据包的修改 raw有先级最高设置raw时一般是为了不再让iptables做数据包的链接跟踪处理提高性能。 表的处理优先级rawmanglenatfilter。
当数据包抵达防火墙时将依次应用raw、mangle、nat和filter表中对应链内的规则如果有如下图所示。 五链功能 PREROUTING数据包进入路由表之前 INPUT通过路由表后目的地为本机 FORWARD通过路由表后目的地不为本机 OUTPUT由本机产生向外转发 POSTROUTIONG发送到网卡接口之前。 注INPUT、OUTPUT链更多的应用在“主机防火墙”中即主要针对服务器本机进出数据的安全控制而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”中特别是防火墙服务器作为网关使用时的情况。
1、filter表和input链、forward链、output链关系 Filter表 和主机自身相关、负责防火墙过滤本机流入、流出数据包。 是iptables默认使用的表。这个表定具有三个链chainsINPUT负责过滤所有目标地址是主机防火墙地址的数据包、通俗的讲、就是过滤进入主机的数据包。FORWARD负责转发流经主机但不进入本机的数据包、起转发作用、和NAT表关系很大、后面会详细介绍OUTPUT处理所有原地址是本机地址的数据包、通俗的讲就是处理从主机发出去的数据包。
2、nat表和output链、prerouting链、postrouting链关系 NAT表 是网络地址转换的意思。即负责来源与目的IP地址和port的转换、和主机本身无关。一般用于局域网多人共享上网或者内网IP映射外网IP及不同端口转换服务等功能。Nat表的功能很重要、这个表具有三个链chains OUTPUT主机发出去的数据包有关、在数据包路由之前改变主机产生的数据包的目的地址等。PREROUTING在数据包刚到达防火墙时、进行路由判断之前执行的规则、改变包的目的地址DNAT功能、端口等通俗比喻就是收信时、根据规则重写收件人的地址、这看上去不地道啊把公司IP映射到局域网的机器上、此链多用于把外部IP地址端口的服务、映射为内部IP地址及端口POSTROUTING在数据包离开防火墙时进行路由判断之后执行的规则、改变包的源地址SNAT、端口等通俗比喻、就是寄信时写好发件人的地址、要让人家回信是能够有地址可回刺链多用于局域网共享上网把所有局域网的地址、转换为公网地址
3、mangle表和input链、forward链、output链、prerouting链、postrouting链的关系 Mangle 主要负责修改数据包中特殊的路由标记如TTL、TOS、MARK等、这个表定义了5个链chainsINPUT同filter表的INPUTFORWARD同filter表的FORWARDOUTPUT同fileter表的OUTPUTPREROUTING同nat表的PREROUTINGPOSTOUTING同nat表的POSTOUTING4. Raw表和output链、prerouting链关系 RAW表只使用在PREROUTING链和OUTPUT链上、因为优先级最高从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表、在某个链上、RAW表处理完后、将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了。RAW表可以应用在那些不需要做nat的情况下以提高性能。如大量访问的web服务器可以让80端口不再让iptables做数据包的链接跟踪处理以提高用户的访问速度。
五、iptables 的工作原理 匹配顺序
自上向下按顺序依次进行检查找到相匹配的规则即停止 (LOG策略例外表示记录相关日志)
若在该链内找不到相匹配的规则则按该链的默认策略处理 (未修改的状况下默认策略为允许)
六、iptables 处理动作
ACCEPT允许数据包通过。DROP直接丢弃数据包不给任何回应信息这时候客户端会感觉自己的请求泥牛入海了过了超时时间才会有反应。REJECT拒绝数据包通过必要时会给数据发送端一个响应的信息客户端刚请求就会收到拒绝的信息。SNAT源地址转换解决内网用户用同一个公网地址上网的问题。MASQUERADE是SNAT的一种特殊形式适用于动态的、临时会变的ip上。DNAT目标地址转换。REDIRECT在本机做端口映射。LOG在/var/log/messages文件中记录日志信息然后将数据包传递给下一条规则也就是说除了记录以外不对数据包做任何其他操作仍然让下一条规则去匹配。 七、iptables 命令中常用的参数
-t 指定要操纵的表如果不指定-t参数默认就会自动匹配filter
-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空规则链并不影响 -P 设置的默认规则默认规则需要手动进行修改
-L 查看规则链
-A 在规则链的末尾加入新规则该规则增加在原规则的后面例如原来有3条规则使用-A选择就可以添加第4条规则
-I num 向规则链中插入一条规则如果没有指定此规则的顺序默认是插入变成第一条规则如果要添加为第3条规则就在-I后面的规则链后面添加3这数字例如在INPUT链中添加第3条规则iptables -I INPUT 3 后面添加相应的参数
-D num 删除某一条规则
-R 替换规则链中的一条规则
-Z 清空规则链中的数据包计算器和字节计数器它是计算同一数据包出现次数
-s 匹配来源地址IP/MASK加叹号!表示除这个IP外。
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 限制目标的端口号码端口号码也可以是连续的例如2000:3000代表端口2000到3000
--sport num 限制来源的端口号码端口号码也可以是连续的例如2000:3000代表端口2000到3000
-X 删除用户自定义的链
-N 创建新的用户自定义规则链
-n 地址和端口以数字的形式输出
-v 显示规则链中更多的信息比如网络接口等
-j 后面接操作策略主要的策略有 接受ACCEPT、丢弃DROP、拒绝REJECT、日志记录LOG
-m 显式扩展
iptables命令选项输入顺序 1、iptables [A/I/D/R 规则链名] [-i/o 网络接口] [-p 协议名] [-s 源IP/源子网] [-d 目标IP/目标子网] [--sport 源端口] [--dport 目标端口] [-j 策略]。 2、上面的命令如果不指定[-i/o 网络接口]则对主机的所有接口生效不指定[-s 源IP/源子网] [-d 目标IP/目标子网]则对代任何网络0.0.0.0生效。 3、使用[--sport 源端口] [--dport 目标端口]需要加上-p tcp或-p udp才会生效。
八、查看Linux防火墙的设置
rootdebian:~# iptables -L -vn
Chain INPUT (policy ACCEPT 15 packets, 2135 bytes)pkts bytes target prot opt in out source destination 439 45100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:220 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:23Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 89 packets, 16596 bytes)pkts bytes target prot opt in out source destination
rootdebian:~#上面的输出中每一个Chain就是一个链上面有三个链INPUT,FORWARD,OUTPUT每个链括号中的policy就是默认的策略每一个iptables 规则都伴随着一组记量器, 当封包符合 iptables 內的某一个规则时, 便会将包大小与数量累加到该规则所属的計量器。 下面的pkts、bytes、target、prot、opt、in、out、source、destination代表的分别是pkts: packets, 被本规则所匹配到的报文的个数bytes: 被本规则所匹配到的所有报文的大小之和会执行单位换算target代表进行的操作ACCEPT是放行DROP是丢弃REJECT是拒绝prot代表使用的数据包协议主要有tcp、udp、icmp三种数据包协议opt额外的选项说明in: 数据包的流入接口out: 数据包的流出接口source规则中针对那个来源IP进行限制destination规则中针对那个目的IP进行限制
九、iptables 常用实例
1、清除所有iptables规则
iptables -F
iptables -X
iptables -Z
2、自定义默认策略
iptables -P INPUT DROP
进入主机的数据包默认全部丢弃需要放行的数据包通过策略再进行放行这样主机比较安全
iptables -P OUTPUT ACCEPT
从主机出去的数据包默认当热要放行了但是如果主机当作代理服务之类的要考虑是否所以数据包允许通过
iptables -P FORWARD DROP
禁止主机进行NAT如果主机当作NAT要进行相应的策略配置 3、开放指定的端口,当默认INPUT链为DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
允许ssh服务的22端口通过
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
如果把OUTPUT默认规则设置成DROP的就要写上这一条
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
插入第3条规则允许ssh服务的22端口通过
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
允许FTP服务的20端口通过
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
允许FTP服务的21端口通过
iptables -A INPUT -j DROP
禁止其他未允许的规则访问
iptables -A FORWARD -j DROP
禁止其他未允许的规则访问
iptables -A OUTPUT -j ACCEPT
允许所有本机向外的访问
iptables -A INPUT -p tcp --sport 2222 -j ACCEPT
这个比较特殊是允许访问的主机应用通过2222端口发起的就允许通过一般INPUT配合--sport很少用 主要是INPUT配合--dport使用OUTPUT配合--sport使用。
4、开放指定IP或网段,当默认INPUT链为DROP
iptables -I INPUT -s 127.0.0.1 -j ACCEPT
允许本地回环接口(即运行本机访问本机)
iptables -I INPUT -s 192.168.2.100 -j ACCEPT
允许单个IP通过的命令
iptables -I INPUT -s 10.0.0.0/8 -j ACCEPT
允许整个网段即从10.0.0.1到10.255.255.254通过的命令
iptables -I INPUT -s 192.168.2.0/24 -j ACCEPT
允许整个网段即从192.168.2.1到192.168.2.254通过的命令
iptables -I OUTPUT -d 192.168.2.0/24 -j ACCEPT
如果把OUTPUT默认规则设置成DROP就要加上这一条才能允许整个网段通过
iptables -I INPUT -d 192.168.2.100 -j ACCEPT
如果被访问的服务器地址是192.168.2.100则这条命令会允许所有访问一般INPUT 配合-d很少有主要是INPUT配合-s使用OUTPUT配合-d使用。
5、开放指定网络接口,当默认INPUT链为DROP多用于有多个网卡的时候
iptables -A INPUT -i lo -j ACCEPT
允许本地回环接口(即运行本机访问本机)只是这个是通过接口来实现
iptables -A OUTPUT -o lo -j ACCEPT
如果把OUTPUT默认规则设置成DROP的就要写上这一条
iptables -A INPUT -i enp0s3 -j ACCEPT
允许从网卡enp0s3口进入的数据包通过
iptables -A OUTPUT -o enp0s3 -j ACCEPT
允许从网卡enp0s3口出去的数据包通过
6、允许icmp包通过,也就是允许ping
iptables -A INPUT -p icmp -j ACCEPT
(INPUT设置成DROP的话)
iptables -A OUTPUT -p icmp -j ACCEPT
(OUTPUT设置成DROP的话) 7、允许从网卡enp0s3口进入的192.168.0.106地址的主机访问ssh
iptables -I INPUT -i enp0s3 -s 192.168.0.106 -p tcp --dport 22 -j ACCEPT
8、从规则链中删除一条规则
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
删除ssh服务的22端口通过
iptables -D INPUT n
按规则序号删除n代表INPUT链中从上让下数的第n条规则也可用到OUTPUT和FORWARD链中
9、阻止指定IP地址
iptables -A INPUT -s 1.0.98.1 -j DROP
丢弃来自1.0.98.1的包
iptables -A INPUT -i eth0 -p tcp -s 1.0.98.1 -j DROP
阻止来自eth0网卡的tcp的包
10、允许所有SSH的链接请求
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
允许所有来自外部的SSH连接请求即只允许进入eth0接口并且目标端口为22的数据包
iptables -t filter -A INPUT -j DROP —dport 90
在filter表中的中插入拒绝由90端口的机器向本机发送tcp报文
11、删除规则
iptables -D INPUT -s 1.0.98.1 -j DROP
iptables -D INPUT -i eth0 -p tcp -s 1.0.98.1 -j DROP
iptables -D INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -D OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -D INPUT -j DROP —dport 90 删除上面的规则
12、显式匹配
要求以-m 扩展模块的形式明确指出类型包括多端口、MAC地址、IP范围、数据包状态等条件。
多端口匹配∶ -m multiport --sport 源端口列表 -m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -i ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
IP范围匹配∶ -m iprange --src-range IP范围
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
MAC地址匹配∶ -m mac --mac-source MAC地址
iptables -A FORWARD -m mac --mac -source xx:xx:xx:xx:xX:xx -j DROP
禁止来自某MAC 地址的数据包通过本机转发
状态匹配∶ -m state_–state 连接状态 常见的连接状态∶
NEW ∶与任何连接无关的还没开始连接 ESTABLISHED ∶响应请求或者已建立连接的连接态 RELATED ∶ 与已有连接有相关性的如FTP 主被动模式的数据连接衍生态一般与ESTABLISHED 配合使用 INVALID ∶ 不能被识别属于哪个连接或没有任何状态
iptables -A FORWARD -m state --state NEW -p tcp !--syn -j DROP
禁止转发与正常 TCP 连接无关的非–syn 请求数据包如伪造的网络攻击数据包
iptables -I INPUT -p tcp -m multiport --dport 80, 22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED, RELATED -j ACCEPT
13、端口转发端口转发不修改IP地址
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 18080 -j REDIRECT --to-port 80 14、目的地址转换DNAT修改IP地址 iptables -t nat -A PREROUTING -i eth0 -p tcp -d 10.1.201.2 --dport 18080 -j DNAT --to-destination 192.168.201.2:80
15、源目的地址转换SNAT
iptables -t nat -A POSTROUTING -s 192.168.201.2 -j SNAT --to-source 10.1.201.2#网络地址伪装iptables -t nat -A POSTROUTING -s 192.168.201.0/24 -j MASQUERADE 十、iptables扩展模块state 当我们为了安全把防火墙的INPUT链的默认规则设置成DROP这样任何数据包都不能进入我们的主机这样就会有问题当我们访问网页时会无法显示页面的因为访问网页是双向的你发出去的请求数据会返回相应的应答数据包但是防火墙拒绝了任何数据包所以网页无法显示。你可以开放相应的端口但是这只是其中的一个应用如果要访问的应用很多你就会疯掉需要开发多少个端口应用对应的端口又是什么头都大了怎么办呢
可以用扩展模块state来实现从字面上理解state可以翻译为状态但是我们可以用另外一个词来形容 连接追踪那么连接的是什么你可能下意识的想到tcp链接对于state模块而言的连接并不能与tcp的连接等同在TCP/IP协议中UDP和ICMP是没有所谓的连接的但是对于state模块来说tcp、udp、icmp报文都是有连接状态的我们可以这样认为对于state模块而言 只要两台机器在你来我往的通信就算建立起了连接而数据包在这个所谓的链接中是什么状态呢
在state中封包的4种链接状态分别为NEW ESTABLISHED RELATED INVALID
NEW当你在使用UDP、TCP、ICMP等协议时发出的第一个包的状态就是“NEW”
ESTABLISHED我们可以把NEW状态包后面的包的状态理解为ESTABLISHED表示连接以建立。如下图
RELATED这里我大致讲一下当你执行Linux下执行tracerouteWindows下对应的命令为tracert命令时这个traceroute会发出一个封包该封包的TTL生存时间Time To Live位1当这个包遇到路由器的时候它的TTL会减少1这时TTL 0然后这个包会被丢弃丢弃这个包的路由器会返回一个ICMP Type 11的封包给你并告诉你那个发出的数据包已尽死。而这个ICMP Type 11的链接状态就是“RELATED”。
INVALID状态为INVALID的包就是状态不明的包也就是不属于前面3中状态的包这类包一般会被视为恶意包而被丢弃。
通过下面的命令允许ESTABLISHED和RELATED状态的数据包通过
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
通过上面的命令就可以正常的访问浏览器了。
十一、iptables-save命令 选项
-c指定要保存的iptables表时保存当权的数据包计算器和字节计数器的值。 -t指定要保存的表的名称。
实例:保持当前主机iptables的规则到文件/etc/local/iptables/rules.v4.1.save这个文件的路径和名字可以自定义
iptables-save /etc/local/iptables/rules.v4.1.save
十二、iptables-restore命令 iptables-restore命令用来还原iptables-save命令所备份的iptables配置。
选项
-c指定在还原iptables表时候还原当前的数据包计数器和字节计数器的值。 -t指定要还原表的名称。
实例
iptables-restore /etc/local/iptables/rules.v4.1.save
/etc/local/iptables/rules.v4.1.save是iptables-save命令所备份的文件。
