目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙。对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙,不管你源端口或者目标端口,源地址或者目标地址是什么,都将对你所有的东西进行检查。所以,对于设计原理来讲,七层防火墙更加安全,但是这却带来了效率更低。
iptables的发展:
iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能。
它们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter.(网络过滤器)
iptables的组成
iptables有四个表和五个链以及一些规则组成:
四个表:file nat mangle raw
file 表(过滤规则,该表根据管理员预定义的一组规则过滤符合条件的数据包)
nat 表 (地址转换规则表)
mangle 表(修改数据标记位规则表)
raw 表 (跟踪数据表规则表)
其中常用的为file和nat表。
这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链
链(chain)
PREROUTING : 数据在做路由决策前经过的链
INPUT : 数据进入指定网卡的链
FORWARD : 数据转发链
OUTPUT : 数据流出指定网卡的链
POSTROUTING:数据最终要发出去的链
处理动作(target):
ACCEPT:放行
DROP:丢弃
REJECT:拒绝
DNAT:目标地址转换
SNAT:源地址转换
REDIRECT:端口重定向
MASQUERADE:地址伪装
LOG:日志
MARK:打标记
iptables命令
1、链管理
-N: new, 自定义一条新的规则链
-X: delete,删除自定义的空的规则链
-P: Policy,设置默认策略;对filter表中的链而言,其默认策略有:
ACCEPT:接受
DROP:丢弃
-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除
2、查看:
-L: list, 列出指定鏈上的所有规则,本选项须置后
-n: numberic,以数字格式显示地址和端口号
-v: verbose,详细信息
-vv 更详细
-x: exactly,显示计数器结果的精确值,而非单位转换后的
易读值
--line-numbers:显示规则的序号
常用组合:
--vnL
--vvnxL --line-numbers
-S selected,以iptables-save 命令格式显示链上规则 #cat /etc/sysconfig/iptables保存位置
-A选项向链中添加规则 -s源地址 -j指定执行的动作
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.70 -j DROP 拒绝源ip访问
[root@centos6 ~]#ping 172.18.70.40 一直等待
[root@centos7 ~]#tcpdump -i ens33 -nn host 172.18.70.70 请求响应拒绝
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.70 -j REJECT 拒绝更加彻底
[root@centos6 ~]#ping 172.18.70.40
PING 172.18.70.40 (172.18.70.40) 56(84) bytes of data.
From 172.18.70.40 icmp_seq=1 Destination Port Unreachable
[root@centos7 ~]#iptables -vnL 查看详细列表 6是拒绝次数
pkts bytes target prot opt in out source destination
6 480 REJECT all -- * * 172.18.70.70 0.0.0.0/0 reject-with icmp-port-unreachable
[root@centos7 ~]#iptables -vnL --line-numbers 加序列号
[root@centos7 ~]#iptables -vvnL 更加详细加vvv
3、规则管理:
-A: append,追加
-I: insert, 插入,要指明插入至的规则编号,默认为第一条
-D: delete,删除
(1) 指明规则序号
(2) 指明规则本身
-R: replace,替换指定链上的指定规则编号
-F: flush,清空指定的规则链
-Z: zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和
chain: PREROUTING, INPUT, FORWARD, OUTPUT,POSTROUTING
[root@centos7 ~]#iptables -I INPUT 2 -s 172.18.70.60 -j ACCEPT 选项 -I 是插入 ACCEPT 规则放入第2条
[root@centos7 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 52 packets, 6250 bytes)
num pkts bytes target prot opt in out source destination
1 6 480 REJECT all -- * * 172.18.70.70 0.0.0.0/0 reject-with icmp-port-unreachable
2 0 0 ACCEPT all -- * * 172.18.70.60 0.0.0.0/0
[root@centos7 ~]#iptables -D INPUT 2 删除第二条规则
[root@centos7 ~]#iptables -R INPUT 1 -s 1.1.1.1 -j ACCEPT 替换第1条规则
[root@centos7 ~]#iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 31 packets, 2796 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all -- * * 1.1.1.1 0.0.0.0/0
[root@centos7 ~]#iptables -F 清空所有规则
[root@centos7 ~]#iptables -Z 置零 归零后被拒绝的IP连接次数是0
[root@centos7 ~]#iptables -vnL
Chain INPUT (policy ACCEPT 0 packets,0 bytes) 0 0
匹配条件
基本:通用的, PARAMETERS
扩展:需加载模块, MATCH EXTENTIONS
1、基本匹配条件:无需加载模块,由iptables/netfilter自行提供
[!] -s, --source address[/mask][,...]:源IP地址或范围
[!] -d, --destination address[/mask][,...]:目标IP地址或范围
[!] -p, --protocol protocol:指定协议,可使用数字如0( all)
protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp,
mh or “all“ 参看: /etc/protocols
[!] -i, --in-interface name:报文流入的接口;只能应用于数据
报文流入环节,只应用于INPUT、 FORWARD、 PREROUTING链
[!] -o, --out-interface name:报文流出的接口;只能应用于数
据报文流出的环节,只应用于FORWARD、 OUTPUT、 POSTROUTING链
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.0/24 -j REJECT 拒绝源ip网段
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.70,172.18.70.60 -d 172.18.70.40 -j REJECT 拒绝源ip连接目标网段
[root@centos7 ~]#iptables -A INPUT ! -s 172.18.70.70 -j REJECT !取反除了源ip全部拒绝,不允许多源ip,
[root@centos7 ~]#iptables -A INPUT ! -s 172.18.70.0/24 -j REJECT 可以设定源网段
[root@centos7 ~]#iptables -A INPUT -p icmp -j REJECT -p指定协议 ping不通
[root@centos7 ~]#iptables -A INPUT -i ens33 -p icmp -j REJECT 拒绝ens33接口进入的数据
2 扩展匹配条件:需要加载扩展模块( /usr/lib64/xtables/*.so),方可生效
查看帮助 man iptables-extensions
(1)隐式扩展:在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块
tcp协议的扩展选项
[!] --source-port, --sport port[:port]:匹配报文源端口,可为端口范围
[!] --destination-port,--dport port[:port]:匹配报文目标端口,可为范围
[!] --tcp-flags mask comp
mask 需检查的标志位列表,用,分隔
例如 SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须为0,用,分隔
udp
[!] --source-port, --sport port[:port]:匹配报文的源端口;可以是端口范围
[!] --destination-port,--dport port[:port]:匹配报文的目标端口;可以是端口范围
icmp
[!] --icmp-type {type[/code]|typename}
type/code 默认类型有些支持扩展用法。不用加模块选项
0/0 echo-reply icmp应答
8/0 echo-request icmp请求
[root@centos7 ~]#iptables -A INPUT -p tcp --dport 22 -j REJECT 拒绝tcp协议的22端口访问
[root@centos7 ~]#iptables -A INPUT -p tcp --syn -j REJECT 新连接被拒绝,旧连接正常,维护使用不错
[root@centos7 ~]#ptables -A INPUT -p icmp --icmp-type 8 -j REJECT 拒绝icmp协议 8代表请求包
(2)显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制,要手动加载扩展模块
[-m matchname [per-match-options]]
显式扩展:必须显式地指明使用的扩展模块进行的扩展
使用帮助:
CentOS 6: man iptables
CentOS 7: man iptables-extensions
1、 multiport扩展
以离散方式定义多端口匹配,最多指定15个端口
[!] --source-ports,--sports port[,port|,port:port]...
指定多个源端口
[!] --destination-ports,--dports port[,port|,port:port]...
指定多个目标端口
[!] --ports port[,port|,port:port]...多个源或目标端口
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.70 -p tcp -m multiport --dports 22,80 -j REJECT 多个端口拒绝访问
2、 iprange扩展
指明连续的(但一般不是整个网络) ip地址范围
[!] --src-range from[-to] 源IP地址范围
[!] --dst-range from[-to] 目标IP地址范围
[root@centos7 ~]#iptables -A INPUT -d 172.18.70.40 -p tcp --dport 80 -m iprange --src-range 172.18.70.50-172.18.70.60 -j REJEC -d 目标端口
3、 mac扩展
指明源MAC地址
适用于: PREROUTING, FORWARD, INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.60 -m mac --macsource 00:50:56:12:34:56 -j ACCEPT
4、 string扩展
对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp}:字符串匹配检测算法
bm: Boyer-Moore
kmp: Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
[!] --string pattern:要检测的字符串模式
[!] --hex-string pattern:要检测字符串模式, 16进制格式、
[root@centos7 ~]#iptables -A OUTPUT -s 172.18.70.40 -d 0/0 -p tcp --sport 80 -m string --algo bm --string "google" -j REJECT OUTPUT传出的数据包
5、 time扩展
根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
[!] --monthdays day[,day...] 每个月的几号
[!] --weekdays day[,day...] 星期几
--kerneltz:内核时区,不建议使用, CentOS7系统默认为UTC
注意: centos6 不支持kerneltz , --localtz指定本地时区(默认)
[root@centos7 ~]#iptables -A INPUT -s 172.18.70.70/16 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j REJECT 源IP的tcp协议80端口在规定时间,星期无法访问
6、 connlimit扩展
根据每客户端IP做并发连接数数量匹配可防止CC(Challenge Collapsar挑战黑洞)攻击
--connlimit-upto n:连接的数量小于等于n时匹配
--connlimit-above n:连接的数量大于n时匹配
通常分别与默认的拒绝或允许策略配合使用
[root@centos7 ~]#iptables -A INPUT -d 172.18.70.40 -p tcp --dport 22 -m connlimit --connlimit-above 1 -j REJECT
7、 limit扩展
基于收发报文的速率做匹配
令牌桶过滤器
--limit rate[/second|/minute|/hour|/day] 达到不少个,多久限速
--limit-burst number 前几个不限速
[root@centos7 ~]#iptables -I INPUT -d 172.18.70.40 -p icmp --icmp-type 8 -m limit --limit 12/minute --limit-burst 5 -j ACCEP 目标ip imcp协议 8 请求包 每分钟12请求 超过5个
8、 state扩展
根据”连接追踪机制“去检查连接的状态,较耗资源
conntrack机制:追踪本机上的请求和响应之间的关系
状态有如下几种:
NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发出的请求
ESTABLISHED: NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED:新发起的但与已有连接相关联的连接,如:
ftp协议中的数据连接与命令连接之间的关系
INVALID:无效的连接,如flag标记不正确
UNTRACKED:未进行追踪的连接,如raw表中关闭追踪
[!] --state state
已经追踪到的并记录下来的连接信息库
/proc/net/nf_conntrack
调整连接追踪功能所能够容纳的最大连接数量 31248
/proc/sys/net/nf_conntrack_max sysctl -p生效
永久生效 net.nf_conntrack_max = 42000
临时生效 echo 31248 > /proc/sys/net/nf_conntrack_max
不同的协议的连接追踪时长
/proc/sys/net/netfilter/
注意: CentOS7 需要加载模块: modprobe nf_conntrack
[root@centos7 ~]#iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT 已经在连接的允许连接
[root@centos7 ~]#iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT 新连接拒绝
开放被动模式的ftp服务
(1) 装载ftp连接追踪的专用模块:
跟踪模块路径: /lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config 配置文件
IPTABLES_MODULES=" nf_conntrack_ftp "
modproble nf_conntrack_ftp
(2) 放行请求报文:
命令连接: NEW, ESTABLISHED
数据连接: RELATED, ESTABLISHED
iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW -j ACCEPT
(3) 放行响应报文:
iptables -I OUTPUT -s LocalIP -p tcp -m state --stateESTABLISHED -j ACCEPT
开放被动模式的ftp服务示例
yum install vsftpd
systemctl start vsftpd
modprobe nf_conntrack_ftp
iptables -F
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -vnL
Target:
ACCEPT, DROP, REJECT, RETURN
LOG, SNAT, DNAT, REDIRECT, MASQUERADE, ..
LOG: 非中断target,本身不拒绝和允许,放在拒绝和允许规则前并将日志记录在/var/log/messages系统日志中
--log-level level 级别: emerg, alert, crit, error,warning, notice, info or debug
--log-prefix prefix 日志前缀,用于区别不同的日志,最多29个字符
示例:
iptables -A INPUT -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "
上述结论:
任何不允许的访问,应该在请求到达时给予拒绝
规则在链接上的次序即为其检查时的生效次序
基于上述,规则优化
1 安全放行所有入站和出站的状态为ESTABLISHED状态连接
2 谨慎放行入站的新请求
3 有特殊目的限制访问功能,要在放行规则之前加以拒绝
4 同类规则(访问同一应用),匹配范围小的放在前面,用于特
殊处理
5 不同类的规则(访问不同应用),匹配范围大的放在前面
6 应该将那些可由一条规则能够描述的多个规则合并为一条
7 设置默认策略,建议白名单(只放行特定连接)
1) iptables -P,不建议
2) 建议在规则的最后定义规则做为默认策略
规则有效期限:
使用iptables命令定义的规则,手动删除之前,其生效期限为
kernel存活期限
保存规则:
保存规则至指定的文件
CentOS 6
service iptables save
将规则覆盖保存至/etc/sysconfig/iptables文件中
CentOS 7 可用下面方法保存规则
iptables -S > /PATH/TO/SOME_RULES_FILE
iptables-save > /PATH/TO/SOME_RULES_FILE
service iptables restart
会自动从/etc/sysconfig/iptables 重新载入规则
CentOS 7 重新载入预存规则文件中规则:
iptables-restore < /PATH/FROM/SOME_RULES_FILE
-n, --noflush:不清除原有规则
-t, --test:仅分析生成规则集,但不提交
开机自动重载规则文件中的规则:
(1) 用脚本保存各iptables命令;让此脚本开机后自动运行
/etc/rc.d/rc.local文件中添加脚本路径
/PATH/TO/SOME_SCRIPT_FILE
(2) 用规则文件保存各规则,开机时自动载入此规则文件中的规则
/etc/rc.d/rc.local文件添加
iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE
(3)自定义Unit File,进行iptables-restore
网络防火墙
iptables/netfilter网络防火墙:
(1) 充当网关
(2) 使用filter表的FORWARD链
注意的问题:
(1) 请求-响应报文均会经由FORWARD链,要注意规则
的方向性
(2) 如果要启用conntrack机制,建议将双方向的状态为
ESTABLISHED的报文直接放行
192.168.25.0网段为内网
172.168.25.0网段为外网
内网ping不通外网,外网可以ping通内网
已经连接上的允许,外网ping不通内网,内网可以ping通外网
根据当前连接状态,新连接的内网可以ping通外网
设置21,22,80端口访问,外网访问内网不行
NAT
NAT: network address translation
PREROUTING, INPUT, OUTPUT, POSTROUTING
请求报文: 修改源/目标IP, 由定义如何修改
响应报文:修改源/目标IP,根据跟踪机制自动实现
SNAT: source NAT POSTROUTING, INPUT
让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装
请求报文:修改源IP
DNAT: destination NAT PREROUTING , OUTPUT
把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP
请求报文:修改目标IP
PNAT: port nat,端口和IP都进行修改
SNAT
nat表的target:
SNAT:固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
ExtIP 公网地址
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
示例:
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source172.18.100.6-172.18.100.9
SNAT 源地址转换 适合内网访问外网
MASQUERADE:动态IP,如拨号网络
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d
LocalNet -j MASQUERADE
示例:
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE
DNAT
DNAT端口转发(映射)
--to-destination [ipaddr[-ipaddr]][:port[-port]]
port端口
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp--dport PORT -j DNAT --to-destination
InterSeverIP[:PORT]
示例:
内部私网192收到请求端口转到外部公网地址172
iptables -t nat -A PREROUTING -s 0/0 -d172.168.0.107 -p tcp --dport 22 -j DNAT --todestination 192.168.25.106:22
iptables -t nat -A PREROUTING -s 0/0 -d172.18.100.6 -p tcp --dport 80 -j DNAT --todestination 10.0.1.22:8080
