linux防火墙

image.png

iptables的组成

iptables由五个表和五个链以及一些规则组成
五个表table：filter、nat、mangle、raw、security
filter表：过滤规则表，根据预定义的规则过滤符合条件的数据包
nat表：network address translation 地址转换规则表
mangle：修改数据标记位规则表
raw：关闭NAT表上启用的连接跟踪机制，加快封包穿越防火墙速度
security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux）实现
优先级由高到低的顺序为：security -->raw-->mangle-->nat-->filter
五个内置链chain
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

iptables规则

规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动作作出处理
匹配条件：默认为与条件，同时满足
基本匹配：IP，端口，TCP的Flags（SYN,ACK等）
扩展匹配：通过复杂高级功能匹配
处理动作：称为target，跳转目标
内建处理动作：ACCEPT,DROP,REJECT,SNAT,DNATMASQUERADE,MARK,LOG...
自定义处理动作：自定义chain，利用分类管理复杂情形
规则要添加在链上，才生效；添加在自定义上不会自动生效
链chain：
内置链：每个内置链对应于一个钩子函数
自定义链：用于对内置链进行扩展或补充，可实现更灵活的规则组织管理机制；只有Hook钩子调用自定义链时，才生效

iptables命令

查看：
-L：list, 列出指定鏈上的所有规则，本选项须置后
-n：numberic，以数字格式显示地址和端口号
-v：verbose，详细信息
-vv 更详细
-x：exactly，显示计数器结果的精确值,而非单位转换后的易读值
--line-numbers：显示规则的序号
常用组合：
-vnL
-vvnxL --line-numbers
-S selected,以iptables-save 命令格式显示链上规则

规则管理：

-A：append，追加
-I：insert, 插入，要指明插入至的规则编号，默认为第一条
-D：delete，删除
(1) 指明规则序号
(2) 指明规则本身
-R：replace，替换指定链上的指定规则编号
-F：flush，清空指定的规则链
-Z：zero，置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和
chain：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

connlimit扩展
根据每客户端IP做并发连接数数量匹配
可防止Dos(Denial of Service，拒绝服务)攻击 --connlimit-upto #：连接的数量小于等于#时匹配
--connlimit-above #：连接的数量大于#时匹配
通常分别与默认的拒绝或允许策略配合使用
示例：
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

limit扩展
基于收发报文的速率做匹配
令牌桶过滤器
--limit #[/second|/minute|/hour|/day]
--limit-burst number
示例：
iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT
iptables -I INPUT 2 -p icmp -j REJECT

防火墙规则保存可以安装iptables-services

这个软件和firewall冲突，要关闭firewall

[root@centos ~]#yum install iptables-services

把配置好的iptables规则保存到/etc/sysconfig/iptables

[root@centos ~]#iptables-save > /etc/sysconfig/iptables

启动iptables服务就可以了，并开机启动
[root@centos ~]#systemctl enable -- now iptables

网络防火墙

iptables/netfilter网络防火墙：
(1) 充当网关
(2) 使用filter表的FORWARD链
注意的问题：
(1) 请求-响应报文均会经由FORWARD链，要注意规则的方向性
(2) 如果要启用conntrack机制，建议将双方向的状态为ESTABLISHED的报文直接放行

NAT

NAT: network address translation
PREROUTING，INPUT，OUTPUT，POSTROUTING
请求报文：修改源/目标IP，由定义如何修改
响应报文：修改源/目标IP，根据跟踪机制自动实现
SNAT：source NAT POSTROUTING, INPUT
让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装
请求报文：修改源IP
DNAT：destination NAT PREROUTING , OUTPUT
把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP
请求报文：修改目标IP
PNAT: port nat，端口和IP都进行修改

SNAT

nat表的target：
SNAT：固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
示例：
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9

MASQUERADE：动态IP，如拨号网络
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE
示例：
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE

DNAT

DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
示例：
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080

REDIRECT：
NAT表
可用于：PREROUTING OUTPUT 自定义链
通过改变目标IP和端口，将接受的包转发至不同端口
--to-ports port[-port]
示例：
iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080