防火墙基础和iptables基本配置
1.从了解iptables开始
iptables 与最新版本Liunx内核集成的ip信息包过滤系统。
该系统是一种强大的工具可用于添加、编辑和除去规则,这些规则是做信息包过滤决定的,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤过程中,规则被分组在我们所谓的链(chain)中。
虽然 netfilter/iptables IP 信息包过滤系统称为一个实体,实际由netfilter和iptables组成。
netfilter组件也称为内核空间(kernelspace),是内核的的一部分,由一些信息包过滤表组成,包含信息包过滤处理的规则集
iptables组件是一种工具,也称作用户空间(userpace),它使插入、修改和除去信息包过滤表中的规则变得容易。
2.安全控制手段
常用的安全控制手段有包过滤、状态检测、代理服务。
其中包过滤通过在网络间的相互连接的设备上加载允许、禁止来自特定的源地址、目的地址、TCP端口号等规则,对通过设备的包进行检查并限制进出内网。对于拥塞攻击,内存覆盖和病毒入侵缺无能为力
3.基础操作
(1)启动:service iptables start
重启:service iptables restart
关闭:service iptables stop
(2)表和链的概念
iptables具有filter nat mangle raw四个表;每个表上都列有不同的链
INPUT:处理来自外部的数据
OUTPUT:处理向外发送的数据
FORWAR:将数据转发到本机的其他网卡设备上
PREROUTING:处理到达本机并在路由转发前的数据包。转换数据包中IP地址,常用NAT转换
POSTROUTING:处理即将离开本机的数据包。转换数据包中的源IP地址
(3)表的三条规则
规则包括一个条件和一个目标;如满足条件,就执行目标中的规则或特定值;不满足条件,就判断下一条规则
-j+目标值
目标值:ACCEPT允许接收数据包;DROP:丢弃包;QUEUE:将数据移交到用户空间;RETURN停止执行当前的规则并返回链头重新判断
(4)配置常用口令
iptables -L:看当前所有策略
iptables -F/--flush :清空当前的策略
iptables -t filter/mangle/nat --list 看指定表内的规则
iptables -t NAT -F 手动清除NAT表
永久保存这些规则的更改
iptables -save > /etc/iptables 备份
新建一个规则的脚本 并保存到/etc/network/if-pre-up.d/目录下,每次开机都会加载这个脚本
(5)追加规则
-A+链名+基本参数(通过firewall - rule 查看)
基本参数:
-p+协议名(tcp,udp,icmp)
-s+指定数据包的源地址 也可用-src
-d+指定数据包目的地址 -dst
-j+目标值(ACCEPT,DROP,QUEUE,REURN)/其他链
-i+输入接口(eth0)/ !-i 取反
-o+输出接口(eth0)
-sport +源端口号/服务名称,缺省下将匹配所有端口
-dport+目的端口号/服务名称
-tcp-flags (SYN,ACK,FIN,RST,URG,PSH)
-icmp-type 0 表示 Echo Reply
-icmp-type 8 表示 Echo
4.给出两脚本作为例子
企业防火墙概念图
防火墙将子网划分为多个部分,简短运行时间
