Linux-C-高级-第6章-IPTable防火墙基础
2018-10-04 本文已影响0人
sky92archangel
目录(持续更新)
基础-第0章-安装
基础-第1章-基本操作
基础-第2章-磁盘及文件系统管理
基础-第3章-获得帮助
基础-第4章-用户及权限基础
基础-第5章-网络基本配置
基础-第6章-管道,重定向及文本处理
基础-第7章-系统启动详解
进阶-第1章-日志服务
进阶-第2章-DNS域名服务器
进阶-第3章-FTP文件共享服务
进阶-第4章-NFS文件共享服务
进阶-第5章-SMB文件共享服务
进阶-第6章-WEB服务Apache篇
进阶-第7章-电子邮件服务
进阶-第8章-Linux服务基础及管理
高级-第1章-LVM逻辑卷
高级-第2章-高级权限ACL
高级-第3章-RAID提升速度及冗余
高级-第4章-高级网络-网卡绑定,子端口
高级-第5章-SELinux安全系统基础
高级-第6章-IPTable防火墙基础
高级-第7章-Linux远程管理-SSH、VNC
第6章 IPTable防火墙基础
第一节
网络访问控制
Linux作为服务器,对外提供一些基于网络服务
通常需要网络访问控制,类似防火墙
厂家爱你访问控制包括:哪些IP可访问的服务器,协议,接口,数据包修改
如可能受到某个IP攻击,这时就禁止所有来自IP的访问
Linux 内核集成了网络访问控制功能 通过netfilter模块实现
IPTables
用户层我们可以哦那个过iptables程序对netfilter进行控制管理
netfilter可以对数据进行允许 丢弃 修改操作
netfilter支持通过以下方式对数据包进行分类
源IP地址
目标IP地址
使用接口
使用协议 ( TCP UDP ICMP )
端口号
连接状态 ( new ESTABLISHED RELATED INVALID)
过滤点
INPUT 出流量
FORWARD 转发数据
OUTPUT 入流量
PREROUTING 路由前
POSTROUTING 路由后
过滤表
三种表:
filter (chain)用于对数据进行过滤 只用在 INPUT FORWARD OUTPUT 过滤点
nat用以多数据包的源,目标IP地址进行修改 只用在 OUTPUT PREROUTING POSTROUTING过滤点
mangle用以对数据包进行高级修改 用于所有过滤点
常用功能
作为服务器
过滤本地流量
过滤本地发出流量
作为路由
过滤转发流量
修改转发数据
规则
通过规则对数据进行访问控制
一个规则使用一行配置
规则按顺序排列
当收到发出转发数据包时,使用规则对数据包进行匹配,按规则顺序进行逐条匹配
数据包按照第一个匹配上的规则执行相关动作:丢弃,放行,修改
没有匹配规则,则使用默认动作(每个检查点都有默认动作)
通过命令 iptables -t filter -A INPUT -s 192.168.1.1 -j DROP
表 链 匹配属性 动作
表:规定使用的表(filter nat mangle 不同表有不同功能)
链:规定过滤点 INPUT FORWARD OUTPUT PREROUTING POSTROUTING
匹配属性:规定匹配数据包的特征
匹配后的动作:放行 丢弃 记录 ACCEPT DROP REJECT
第二节
基础配置
表:规定使用的表
filter
nat
mangle
链:规定过滤点
INPUT
FORWARD
OUTPUT
PREROUTING
POSTROUTING
匹配属性:
规定匹配数据包的特征
源,目标地址 ,协议(TCP UDP ICMP )
端口号
接口
TCP状态
匹配后的动作:
放行 ACCEPT
丢弃 DROP
记录 REJECT (返回信息)
命令操作(临时生效)
iptables status 查看默认状态
列出现有所有规则
iptables -L
插入一个规则
iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT
插入到规则第3条 所有端口22的TCP数据全部允许进入
删除一个iptables规则
iptables -D INPUT 3
iptables -D INPUT -s 192.168.1.2 -j DROP
删除所有规则
iptables -F
参数匹配
基于IP地址
-s 192.168.1.1 源地址
-d 10.0.0.0/8 目标地址
基于接口
-i eth0 接收流量
-o eth1 发出流量
排除参数
-s '!' 192.168.1.0/24 !为取反操作
基于协议及端口
-p tcp --dport 23
-p udp --sport 23
-l icmp
例:
检测到来自192.168.1.100攻击 屏蔽所有这个IP的流量
iptables -A INPUT -s 192.168.1.100 -j DROP
屏蔽所有访问80网页服务的流量
iptables -A INPUT -s tcp --dport 80 -j DROP
屏蔽所有192.168.1.0到服务器的22端口ssh流量
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP
iptables -A INPUT -i eth0 -j ACCEPT
FORWARD 路由设备使用
FORWARD 对所有数据转发控制
如:禁止所有 从192.168.1.0/24 到目标10.1.1.0/24 的流量
iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP
NAT
NAT 网络地址转换是用来对数据包的IP地址进行修改的机制,NAT分为两种
SNAT 源地址转换 常用伪装内部地址
DNAT 目标地址转换 通常用于跳转
iptables 中实现的 NAT 功能是NAT 表
常用NAT
通过NAT 进行跳转 转发到192.168.1.10
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10
DNAT 只能用在PREROUTING上
通过NAT 进行出向数据跳转
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080
通过NAT对数据伪装 一般意义的NAT 将内部地址全部伪装为一个外部公网IP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
所有内网地址伪装成eth0个公网IP地址
通过NAT隐藏IP
iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.4
保存配置文件
通过iptables修改需要写入/etc/sysconfig/iptables配置文件
可以通过命令将iptables规则写入配置文件 保存后会覆盖
service iptables save
注意
远程管理 修改iptables
需要允许来自客户端主机的SSH流量确保是第一条iptable规则
以免失误将自己锁在外面