10月17日 linux防火墙 1

1、iptables基础知识

• Netfilter组件
  防火墙功能是集成在内核中的，通过以下命令可以看出防火墙功能是以模块的方式打到内核当中的

[root@centos7 boot]#cat ./boot/config-3.10.0-514.el7.x86_64 |grep -i iptables
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP6_NF_IPTABLES=m
# iptables trigger is under Netfilter config (LED target)

内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则，这五个钩子函数就像检查的关卡一样，对进出本机的的数据钩住后检查。

Paste_Image.png

• 三种报文流向：
  流入本机：PREROUTING --> INPUT-->用户空间进程
  流出本机：用户空间进程-->OUTPUT--> POSTROUTING
  转发：PREROUTING --> FORWARD --> POSTROUTING
• 防火墙工具
  iptables：命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包
  firewalld：CentOS 7引入了新的前端管理工具
• iptables由四个表和五个链以及一些规则组成
  四个表table：filter、nat、mangle、raw
  filter表:过滤规则表，根据预定义的规则过滤符合条件的数据包
  nat表:network address translation 地址转换规则表
  mangle:修改数据标记位规则表
  Raw:关闭NAT表上启用的连接跟踪机制，加快封包穿越防火墙速度
  优先级由高到低的顺序为:raw-->mangle-->nat-->filter
  五个内置链chain：INPUT、OUTPUT、FORWARD、PREROUTING
  、POSTROUTING

Paste_Image.png

可以通过如下命令查看各个表中的链

iptables -t filter -vnL
iptables -t nat -vnL

Paste_Image.png

• IPTABLES和路由
  路由功能发生的时间点，报文进入本机后
  判断目标主机是否为本机
  是：INPUT
  否：FORWARD
  报文离开本机之前，判断由哪个接口送往下一跳，路由决策就是本机的路由表

Paste_Image.png

• 内核中数据包的传输过程
  当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去
  如果数据包就是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达POSTROUTING链输出
  如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出
• iptables规则
  规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动作作出处理
  匹配条件：
  基本匹配：IP,端口,TCP的Flags（SYN,ACK等）
  扩展匹配：通过复杂高级功能匹配
  处理动作：称为target，跳转目标
  内建处理动作：ACCEPT,DROP,REJECT,SNAT,DNAT
  MASQUERADE,MARK,LOG...
  自定义处理动作：自定义chain，利用分类管理复杂情形
  规则要添加在内置链上才生效；添加在自定义上不会自动生效
  链chain：
  内置链：每个内置链对应于一个钩子函数
  自定义链：用于对内置链进行扩展或补充，可实现更灵活的规则组织管理机制；只有Hook钩子调用自定义链时，才生效
• iptables添加要点
  iptables规则添加时考量点
  要实现哪种功能：判断添加在哪张表上
  报文流经的路径：判断添加在哪个链上
  报文的流向：判断源和目的
  匹配规则：业务需要
  链上规则的次序，即为检查的次序，因此隐含一定的法则
  同类规则(访问同一应用)，匹配范围小的放上面，因为放在上面的会先生效，并且生效后就不会继续检查下面的规则了
  不同类规则(访问不同应用)，匹配到报文频率较大的放上面
  将那些可由一条规则描述的多个规则合并为一个
  设置默认策略
• 实验环境准备：
  要关闭系统默认的iptables策略，这样我们才能自己定制防火墙策略，并不是把防火墙服务关闭了，防火墙功能是集成在内核当中的，用户空间通过iptables软件工具编写规则发给内核的netfilter进行处理。

Centos7: systemctl stop firewalld.service
systemctl disable firewalld.service
Centos6:service iptables stop
chkconfig iptables off

2、iptables命令

man 8 iptables
规则格式：iptables[-t table] SUBCOMMAND chain [-m matchname[per-match-options]] -j targetname[per-target-options]
-t table：
raw, mangle, nat, [filter]默认

• SUBCOMMAND：
  1、链管理：
  -N：new, 自定义一条新的规则链
  -X：delete，删除自定义的空的规则链，只有是空链才能被删除，删除之前要清空，iptables -F自定义链和所关联的默认链
  -P：Policy，设置默认策略；对filter表中的链而言，其默认策略有：
  ACCEPT：接受
  DROP：丢弃
  iptables -F是清不掉的，最好不要用这个，可以在链里设置规则
  -E：重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除

iptables -P INPUT DROP
iptables -P INPUT ACCEPT  ---设置默认策略

2、查看：
-L：list, 列出指定链上的所有规则，本选项须置后
-n：numberic，以数字格式显示地址和端口号
-v：verbose，详细信息
-vv更详细
-x：exactly，显示计数器结果的精确值,而非单位转换后的易读值，-x就是精确显示，以字节为单位，不加是以k为单位
--line-numbers：显示规则的序号
常用组合：
--vnL
--vvnxL--line-numbers
-S selected,以iptables-save 命令格式显示链上规则，可以用此命令将命令的输出结果保存到文件中，将规则存到磁盘上

[root@centos7 html]#iptables -vnL  ---查看规则
Chain INPUT (policy ACCEPT 1151 packets, 127K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       172.18.21.106        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  *      *       172.18.21.106        0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 152 packets, 17928 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@centos7 html]#iptables --line-numbers -vnL   ---查看规则并显示编号
Chain INPUT (policy ACCEPT 1296 packets, 141K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       172.18.21.106        0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 ACCEPT     all  --  *      *       172.18.21.106        0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 192 packets, 22320 bytes)
num   pkts bytes target     prot opt in     out     source               destination     
[root@centos7 html]#iptables --line-numbers -vnxL   ---以字节显示计数，而不是以默认的k
Chain INPUT (policy ACCEPT 1432 packets, 157588 bytes)
num      pkts      bytes target     prot opt in     out     source               destination         
1           0        0 REJECT     all  --  *      *       172.18.21.106        0.0.0.0/0            reject-with icmp-port-unreachable
2           0        0 ACCEPT     all  --  *      *       172.18.21.106        0.0.0.0/0           
[root@centos7 html]#iptables -S 
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 172.18.21.106/32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 172.18.21.106/32 -j ACCEPT
[root@centos7 html]#iptables -S >/app/f1  ---将规则保存到文件中

3、规则管理：
-A：append，追加
-I：insert, 插入，要指明插入至的规则编号，默认为第一条
-D：delete，删除
(1) 指明规则序号
(2) 指明规则本身
-R：replace，替换指定链上的指定规则编号
-F：flush，清空指定的规则链
-Z：zero，置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数pkts
(2) 匹配到的所有报文的大小之和bytes

iptables -A INPUT -s 172.18.21.106 -j DROP
iptables -A INPUT -s 172.18.21.106,172.18.21.108 -j REJECT  ---多条ip地址用逗号隔开
iptables -R INPUT 2 -s 172.18.21.106 -j ACCEPT   ---替换第二条规则
iptables -I INPUT 2 -s 192.168.74.0/24 -j REJECT   ---把这条规则插入到INPUT链的第二条
iptables -D INPUT 1   ---删除INPUT链的第一条规则
iptables -D INPUT -s 172.18.21.106 -j ACCEPT   ---删除链上的规则的第二种方式
iptables -F  INPUT ---清空指定链的规则，不指定就是清空所有链
iptables -A INPUT ! -s 172.18.21.106 -j ACCEPT ---表示除了来自172.18.21.106的都接受。这里需要注意的是要将默认权限设置为DROP，！表示取反的意思。用！就不能用多个ip地址之间用逗号隔开的格式。
iptables -A INPUT ! -s 172.18.21.106 -j REJECT   ---表示除了172.18.21.106的都拒绝，此时默认权限要设置为接受

• 匹配条件
  基本：通用的，PARAMETERS
  扩展：需加载模块，MATCH EXTENTIONS
  1、基本匹配条件：无需加载模块，由iptables/netfilter自行提供
  [!] -s, --source address[/mask][,...]：源IP地址或范围
  [!] -d, --destination address[/mask][,...]：目标IP地址或范围
  [!] -p, --protocol protocol：指定协议，可使用数字如0（all）
  protocol: tcp, udp, icmp, icmpv6,udplite,esp, ah, sctp, mhor “all“ 参看：/etc/protocols
  [!] -i, --in-interface name：报文流入的接口；只能应用于数据报文流入环节，只应用于INPUT、FORWARD、PREROUTING链
  [!] -o, --out-interface name：报文流出的接口；只能应用于数据报文流出的环节，只应用于FORWARD、OUTPUT、POSTROUTING链

iptables -A INPUT -p icmp -j REJECT   ---禁ping
iptables -A INPUT -i ens33 -j REJECT   ---流入报文禁止访问哪个网卡

2 、扩展匹配条件：需要加载扩展模块（/usr/lib64/xtables/*.so），方可生效
查看帮助man iptables-extensions
(1)隐式扩展：在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块
tcp协议的扩展选项
[!] --source-port, --sport port[:port]：匹配报文源端口,可为端口范围
[!] --destination-port,--dportport[:port]：匹配报文目标端口,可为范围
[!] --tcp-flags mask comp
mask 需检查的标志位列表，用,分隔
例如SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表，无指定则必须为0，用,分隔

示例：
--tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个，其中SYN必须为1，余下的必须为0，也就是三次握手的第一次请求
--tcp-flags SYN,ACK,FIN,RST SYN,ACK  ---表示三次握手的第二次请求，SYN、ACK为1
--tcp-flags ALL ALL   ---表示检查所有的标志位，所有位都是1，没有这样的情况，是错误的数据包，可以认为是恶意攻击
--tcp_flagsALL NONE  ---这个也是一样，所有位都是0，也可以认为是恶意攻击
[!] --syn：用于匹配第一次握手
相当于：--tcp-flags SYN,ACK,FIN,RST SYN
iptables -A INPUT -p tcp --dport 80 -j REJECT  ---拒绝访问本机的tcp协议的80端口，也就是拒绝访问httpd服务
iptables -A INPUT -p tcp --syn -j REJECT  ---表示tcp的第一次握手被拒绝，也就是新的连接被拒绝，旧的连接不被拒绝，此时的xshell通过ssh还可以继续连接，但在打开一个新的窗口去连接却连接不了了
iptables -A INPUT -p icmp --icmp-type 8 -j REJECT  ---icmp的请求包是8，icmp的请求包被拒绝，就是拒绝别人ping我
iptables -A INPUT -p tcp --dport 80:85 -j REJECT  ---表示拒绝访问tcp的80-85端口，端口必须是连续的

udp
[!] --source-port, --sport port[:port]：匹配报文的源端口；可以是端口范围
[!] --destination-port,--dportport[:port]：匹配报文的目标端口；可以是端口范围
icmp
[!] --icmp-type {type[/code]|typename}
type/code
0/0 echo-reply icmp应答，0是icmp的回应包
8/0 echo-request icmp请求，8是icmp的请求包
(2)显式扩展：必须使用-m选项指明要调用的扩展模块的扩展机制，要手动加载扩展模块，[-m matchname[per-match-options]]
1、multiport扩展
以离散方式定义多端口匹配,最多指定15个端口
[!] --source-ports,--sports port[,port|,port:port]...
指定多个源端口
[!] --destination-ports,--dportsport[,port|,port:port]...
指定多个目标端口
[!] --ports port[,port|,port:port]...多个源或目标端口

iptables -A INPUT -s 172.18.21.106 -p tcp -m multiport --dports 22,80 -j REJECT   ---表示拒绝来自172.18.21.106的主机访问我的tcp的22和80端口，端口可以使离散的，不必是连续的

2、iprange扩展
指明连续的（但一般不是整个网络）ip地址范围
[!] --src-range from[-to]源IP地址范围
[!] --dst-range from[-to]目标IP地址范围

iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 172.18.21.1-172.18.21.10 -j REJECT 

3、mac扩展
指明源MAC地址
适用于：PREROUTING, FORWARD，INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX

iptables -A INPUT -p tcp --dport 80 -m mac --mac-source 00:0c:29:6d:aa:fe -j REJECT

4、string扩展
对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp}：字符串匹配检测算法
bm：Boyer-Moore
kmp：Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
[!] --string pattern：要检测的字符串模式
[!] --hex-string pattern：要检测字符串模式，16进制格式

iptables -A OUTPUT -m string --algo bm --string "google" -j REJECT --表示流出的报文中含有google字符串的就拒绝，这样别人就不可以访问我的google网站，只支持明文，https等加密的就不可以了

5、time扩展
根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
[!] --monthdays day[,day...] 每个月的几号
[!] --weekdays day[,day...] 星期几
注意：centos6 默认是本地时区，CentOS7系统默认为要使用UTC时间

iptables -A OUTPUT -m time --timestart 01:00 --timestop 10:00 -j REJECT   ---表示09:00-18:00上课时间不准上网，因为是UTC时间，比北京时间晚8小时，centos6上直接写本地时区就可以
date -u 查看utc时间
iptables -A INPUT  -m time --timestart 01:00 --timestop 10:00 --weekdays San,Sun -j REJECT  ---表示周六和周日的9:00-18:00禁止访问我，注意星期的第一个字母是大写
iptables -A INPUT -m time --timestart 01:00 --timestop 10:00 --monthdays 10,20,30 -j REJECT 

6、connlimit扩展
根据每个客户端IP做并发连接数数量匹配
可防止CC(Challenge Collapsar挑战黑洞)攻击
--connlimit-upton：连接的数量小于等于n时匹配
--connlimit-above n：连接的数量大于n时匹配
通常分别与默认的拒绝或允许策略配合使用

iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 1 -j REJECT ---表示连接本机的tcp的22端口数量大于1就拒绝

7、limit扩展
基于收发报文的速率做匹配
令牌桶过滤器
--limit rate[/second|/minute|/hour|/day] 超过下面限制的数量后，每分钟允许的请求数
--limit-burst number 表示前几个不限制

iptables -A INPUT  -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 10 -j ACCEPT ---表示来自icmp的请求包，前10个不受限制，超过10个，每分钟处理10个请求，要配合下面的使用，其他的包都拒绝，注意一定要和下面的配合使用，不然不会限速的，因为不知道其他的包怎么处理
iptables -A INPUT -p icmp -j REJECT 

8、state扩展
根据”连接追踪机制“去检查连接的状态，较耗资源
conntrack机制：追踪本机上的请求和响应之间的关系
状态有如下几种：
NEW：新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求
ESTABLISHED：NEW状态之后，连接追踪信息库中为其建立的条目失效之前，期间内所进行的通信状态
RELATED：新发起的但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系，ftp发起数据连接之前，命令连接已经连接，属于ESTABLISHED，当ftp发起新的数据连接时会只要命令连接是ESTABLISHED，即使新的连接受限也不影响ftp连接。
INVALID：无效的连接，如flag标记不正确
UNTRACKED：未进行追踪的连接，如raw表中关闭追踪
已经追踪到的并记录下来的连接信息库
/proc/net/nf_conntrack
调整连接追踪功能所能够容纳的最大连接数量
/proc/sys/net/nf_conntrack_max
不同的协议的连接追踪时长
/proc/sys/net/netfilter/
注意：CentOS7 需要加载模块：modprobe nf_conntrack
示例

[root@centos7 ~]#lsmod |grep nf_conntrack   ---模块已经加载，如果没有加载需要用modprobe命令加载
nf_conntrack_ipv4      19108  1 
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
nf_conntrack          111302  6 nf_nat,xt_connlimit,nf_nat_ipv4,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ipv4
iptables -A INPUT -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT 
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j REJECT 
以上两条规则可以实现ssh协议新的连接被拒绝，旧的连接继续连接

1、iptables的链接跟踪表最大容量为/proc/sys/net/nf_conntrack_max，各种状态的超时链接会从表中删除；当模板满载时，后续连接可能会超时
解决方法两个：

(1) 加大nf_conntrack_max值
vi /etc/sysctl.conf
net.nf_conntrack_max= 393216
net.netfilter.nf_conntrack_max= 393216
(2) 降低nf_conntracktimeout时间
vi /etc/sysctl.conf
net.netfilter.nf_conntrack_tcp_timeout_established= 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120
iptables-t nat-L -n

2、开放被动模式的ftp服务示例

yum install vsftpd
systemctl start vsftpd
modprobe nf_conntrack_ftp  ---必须加载这个模块才可以
lsmod |grep nf_conntrack_ftp
iptables -F 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 相关联的和已经连接的都是允许的，命令端口连接后，因数据连接和命令连接相关联，所以客户端进行数据连接也是被允许的
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT ---连接本机tcp的21端口的新的连接是允许的
iptables -A INPUT -j DROP ---其他连接是拒绝的
[root@centos7 var]#iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1272 81651 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   10   600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
 4093  531K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

• 处理动作：
  -j targetname[per-target-options] -j是jump跳转至下一跳
  简单：ACCEPT，DROP
  扩展：REJECT：--reject-with:icmp-port-unreachable默认
  RETURN：返回调用链
  REDIRECT：端口重定向
  MARK：做防火墙标记
  DNAT：目标地址转换
  SNAT：源地址转换
  MASQUERADE：地址伪装
  LOG：记录日志，非中断的处理动作,本身不拒绝和允许,放在拒绝和允许规则前，并将日志记录在/var/log/messages系统日志中
  --log-level level 级别：emerg, alert, crit, error, warning, notice, info or debug
  --log-prefix prefix 日志前缀，用于区别不同的日志，最多29个字符
  示例

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j LOG --log-prefix "new connections"   --- 表示访问本机的httpd服务的新的请求就记录到日志/var/log/messages中，并且记录的日志中的前缀为new connections

3、自定义链

示例一：自定义一个链，规则是认为是恶意攻击的报文请求被拒绝
iptables -N deny   ---创建一个自定义链
iptables -A deny -p tcp --tcp-flags ALL ALL -j REJECT 
iptables -A deny -p tcp --tcp-flags ALL NONE -j REJECT ---在自定义链上设置规则为标记位都是1和标记位都是0的tcp报文被拒绝
iptables -A INPUT -j deny   ---把自定义链内置链相关联，注意自定义链只有和内置链关联后才能起作用
iptables -vnL
iptables -F
iptables -vnL
iptables -X deny  ---删除自定义链之前一定要先清空自定义链和它所关联的默认链，因为-X 选项是清空自定义的空链
iptables -vnL

示例二：自定义一个链，规则是禁ping

iptables -N jinping
iptables -A jinping -p icmp --icmp-type 8 -j REJECT 
iptables -A INPUT -j jinping
iptables -vnL

自定义链的作用是可以把一些常用的规则写到自定义链里，当要用的时候把它和内置链相关联就可以了，很方便。

总结：
任何不允许的访问，应该在请求到达时给予拒绝
规则在链接上的次序即为其检查时的生效次序
基于上述，规则优化
1 安全放行所有入站和出站的状态为ESTABLISHED状态连接
2 谨慎放行入站的新请求
3 有特殊目的限制访问功能，要在放行规则之前加以拒绝
4 同类规则（访问同一应用），匹配范围小的放在前面，用于特殊处理
5 不同类的规则（访问不同应用），匹配范围大的放在前面
6 应该将那些可由一条规则能够描述的多个规则合并为一条
7 设置默认策略，建议白名单（只放行特定连接）
1）iptables-P，不建议
2）建议在规则的最后定义规则做为默认策略