iptables防火墙详解(一)

--
防火墙
常见的防火墙 :瑞星 江民 诺顿 卡巴斯基 天网......
iptables firewalld http://www.netfilter.org/ netfilter / iptables --iptables 的全名 2.4版本内核后都集成有这个组件 # yum install iptables\* # rpm -qa |grep iptables iptables-services-1.4.21-17.el7.x86_64 iptables-utils-1.4.21-17.el7.x86_64 iptables-devel-1.4.21-17.el7.x86_64 iptables-1.4.21-17.el7.x86_64 # systemctl start iptables.service # systemctl status iptables.service
iptables 基本概念 四张表: 表里有链 (chain ) filter: 用来进行包过滤: INPUT OUTPUT FORWARD nat: 用来网络地址转换: network address translation ,允许一个内网地址块,通过NAT转换成公网IP,实现对公网的访问,解决IP地址不足 PREROUTING INPUT POSTROUTING OUTPUT mangle :用来对数据包标记 PREROUTING INPUT OUTPUT FORWARD POSTROUTING raw:对原始数据包的处理 PREROUTING OUTPUT Incoming / \ Outgoing -->[Routing ]--->|FORWARD|-------> [Decision] \_____/ ^ | | | ____ ___ / \ / \ |OUTPUT| |INPUT| \____/ \___/ ^ | | ----> Local Process ----
iptables -A 增加一条规则,后接链名,默认是加到规则的最后面 -D 删除 -L 列出规则 -n 以数值显示 -I 在最前面插入规则 -v 显示统计数据,与-L一起用,看到的信息更多    -F 清空规则 -z 清空计数器 -x 清空自定义链 -t 后接表名 -P policy,默认策略 -p protocol,后接协议名 --dport 目标端口 --sport 源端口 -d destination,目标地址 -s source,源地址 -i 接网卡接口, 进入的网卡接口 -o 接网卡接口, 出去的网卡接口 -j 后接动作 动作的分类: ACCEPT 接收数据包 DROP 丢弃数据包 REJECT 拒绝数据包,和DROP的区别就是REJECT会返回错误信息,DROP不会 MASQUEREAD IP地址伪装,使用NAT转换成外网IP,可以PPP拔号(外网IP不固定情况) SNAT 源地址转换,它与MASQUEREAD的区别是SNAT是接一个固定IP DNAT 目标地址转换 LOG 记录日志 例1,列规则 iptables -L --默认看的就是filter表 iptables -L -t filter iptables -L -t nat iptables -L -t mangle iptables -L -t raw # iptables -t filter -F # iptables -t nat -F # iptables -t mangle -F --这三张表有些默认的规则,我们把规则都清掉 例2,控制ping 172.16.25.0/24网段ping本机,会被拒绝(客户端会收到拒绝信息) # iptables -t filter -A INPUT -p icmp -s 172.16.25.0/24 -j REJECT # iptables -t filter -D INPUT -p icmp -s 172.16.25.0/24 -j REJECT --删除上一条规则 # iptables -t filter -A INPUT -p icmp -s 172.16.25.0/24 -j DROP # iptables -t filter -D INPUT -p icmp -s 172.16.25.0/24 -j DROP # iptables -t filter -A OUTPUT -p icmp -d 172.16.25.0/24 -j REJECT # iptables -t filter -D OUTPUT -p icmp -d 172.16.25.0/24 -j REJECT # iptables -t filter -A OUTPUT -p icmp -d 172.16.25.0/24 -j DROP # iptables -t filter -D OUTPUT -p icmp -d 172.16.25.0/24 -j DROP --上面四种方法都可以控制拒绝172.16.25.0/24网段ping本机 # iptables -t filter -A INPUT -p icmp -j REJECT --如果不写-s或-d,默认代表所有人 扩展 我想实现所有人都ping不通我,但是172.16.25.X(X你自定义)这个IP能ping通我 --提示:iptables的匹配规则:读取的顺序是从上往下一条一条匹配,匹配一条就不继续往下匹配,都没有匹配,则最后匹配默认策略 # iptables -t filter -A INPUT -p icmp -j REJECT # iptables -t filter -A INPUT -p icmp -s 172.16.25.X -j ACCEPT --此写法错误的 # iptables -t filter -A INPUT -p icmp -j REJECT # iptables -t filter -I INPUT -p icmp -s 172.16.25.X -j ACCEPT --正确写法,把第二条加到第一条前面 # iptables -t filter -I INPUT 2 -p icmp -s 172.16.25.X -j ACCEPT --链后面接数字2,表示插入到原来第二条的上面,成为新的第2条 删除的方法: 方法一: # iptables -t filter -D INPUT -s 172.16.25.X -p icmp -j ACCEPT --加的时候怎么写,删除时就要怎么写 A 参数换成 D就可以 方法二; # iptables -L -n --line # iptables -D INPUT 2 --在规则比较多或者不好写规则的情况下,可以先用--line或者--line-number列出行号,再用行号删除 方法三: # iptables -F --直接清空filter表的所有规则 iptables -X iptables -Z --清除计数器,自定义链 修改操作: # iptables -t filter -R INPUT 3 -p icmp -s 172.16.25.248 -j ACCEPT --把filter表INPUT链第三行,修改成上面的命令的内容 例3,规则的保存与还原 # iptables-save > /etc/sysconfig/iptables --将当前规则保存到这个文件,文件可以自定义 # iptables-restore < /etc/sysconfig/iptables --把保存的规则还原回去 --/etc/sysconfig/iptables文件为默认保存文件,重启iptables服务会默认把此文件里的规则还原。当然也可以手工保存到另一个文件,就需要iptables-restore手工还原了。 如果要永久保留此规则,则先iptables-save > /etc/sysconfig/iptables保存,再# systemctl enable iptables.service做成开机自动启动就可以了 如果你想做成开机自动空规则(没有任何iptables策略),你可以把/etc/sysconfig/iptables保存为空规则,然后systemctl enable iptables.service  例4,每个链的默认策略的修改 # iptables -P INPUT DROP --INPUT键默认策略改为DROP,改回来把DROP换成ACCEPT就行了 # iptables -P OUTPUT DROP --OUTPUT键默认策略改为DROP 例5,实现允许ssh过来(代表本机为服务器身份),ssh出去(代表本机为客户端身份),别的任何访问都拒绝 (要求,INPUT和OUTPUT双链默认策略都为DROP)
172.16.25.2 172.16.25.3 OUTPUT INPUT 客户端 随机端口 ---》 服务器 22    (1024-65535)  客户端 随机端口 《--- 服务器 22 INPUT OUTPUT 服务器 iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -p tcp --dport 22 -s 172.16.25.2 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -d 172.16.25.2 -j ACCEPT 客户端 iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A OUTPUT -p tcp --dport 22 -d 172.16.25.3 -j ACCEPT iptables -A INPUT -p tcp --sport 22  -s 172.16.25.3 -j ACCEPT 例6, 把上面的例子基础上再加http服务(tcp的80端口),怎么做? 答案:和上面做法一样,把22换成80就ok了 http tcp 80 https tcp 443 例7, 在上面的基础上再加上允许别人访问本台服务器的DNS 只需要做udp的53端口就可以了,不用写tcp 53(因为tcp 53主要是用于主从DNS服务器同步的) 一些特殊的写法 连续端口或多端口写法 iptables -A INPUT -p tcp --dport 1:1000 -j ACCEPT iptables -A INPUT -p tcp -m multiport --dport 25,110 -j ACCEPT 硬件地址 iptables -A INPUT -m mac --mac-source 00:23:CD:95:DA:0B -p all --dport 80 -j ACCEPT 例8 samba 139 445 例9, 邮件服务器 smtp 25 pop3 110 imap 143 smtps 465 pop3s 995 imaps 993 ----- 公司邮件服务器-----    |   |    |   | 张三(发信人) 李四(收信人) [email protected] [email protected] 网易邮件服务器 ----------腾讯邮件服务器    |   |    |   | 张三(发信人) 李四(收信人) [email protected] [email protected] # iptables -P INPUT DROP # iptables -P OUTPUT DROP # iptables -A INPUT -p tcp -m multiport --dport 25,110,143 -s 172.16.25.0/24 -j ACCEPT # iptables -A OUTPUT -p tcp -m multiport --sport 25,110,143 -d 172.16.25.0/24 -j ACCEPT 例10 dhcp iptables 对dhcp端口控制无效 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 例11 nfs --因为nfs用到rpc调用,端口不固定,所以需要把端口给固定起来.nis服务也会用到rpc调用,也需要做端口绑定 vim /etc/sysconfig/nfs --在此文件里加上下面四句 LOCKD_TCPPORT=3000 LOCKD_UDPPORT=3000 MOUNTD_PORT=3001 STATD_PORT=3002 /etc/init.d/nfs restart /etc/init.d/rpcbind restart --这里先把默认策略改成ACCEPT,再启动就可以启动起来,然后再把默认策略改回成DROP,再继续做下面的实验 netstat -ntl |grep 300 去查看,看到rpc.的守护进程的端口为自己绑定的端口 iptables -A INPUT -p tcp --dport 3000:3002 -j ACCEPT iptables -A OUTPUT -p tcp --sport 3000:3002 -j ACCEPT iptables -A INPUT -p udp --dport 3000:3002 -j ACCEPT iptables -A OUTPUT -p udp --sport 3000:3002 -j ACCEPT 还要加上2049(nfs)和111(rpcbind)的端口的规则 iptables -A INPUT -p tcp --dport 2049 -j ACCEPT iptables -A OUTPUT -p tcp --sport 2049 -j ACCEPT iptables -A INPUT -p udp --dport 2049 -j ACCEPT iptables -A OUTPUT -p udp --sport 2049 -j ACCEPT iptables -A INPUT -p tcp --dport 111 -j ACCEPT iptables -A OUTPUT -p tcp --sport 111 -j ACCEPT iptables -A INPUT -p udp --dport 111 -j ACCEPT iptables -A OUTPUT -p udp --sport 111 -j ACCEPT --现在就可以用另一台机showmount -e 查看并进行挂载了 --练习:把上面的3000,3001,3002,2049,111合起来来做 # iptables -A INPUT -p tcp -m multiport --dport 111,2049,3000,3001,3002 -j ACCEPT # iptables -A INPUT -p udp -m multiport --dport 111,2049,3000,3001,3002 -j ACCEPT # iptables -A OUTPUT -p tcp -m multiport --sport 111,2049,3000,3001,3002 -j ACCEPT # iptables -A OUTPUT -p udp -m multiport --sport 111,2049,3000,3001,3002 -j ACCEPT 例12: yum 视你做的yum类型而定 file ftp http 例13 mysql 3306 例14 rsync 873 还加一个22 例15 vnc 5900 例16: telent 23 例17: tftp 69 例18: rsyslog远程日志  tcp/udp 514
练习: ftp实现双链拒绝的情况下,客户端通过主动和被动都能访问进来 服务器端准备: # yum install vsftpd -y # vim /etc/vsftpd/vsftpd.conf --直接在配置文件最后加上这两句就可以 pasv_min_port=3000 pasv_max_port=3005 # systemctl restart vsftpd # iptables -P INPUT DROP # iptables -P OUTPUT DROP 客户端测试方法: 1,命令连接测试,能成功连接上就表示命令端口连接没问题 # ftp 172.16.25.3(服务器的ip) 2,数据传输测试,用上面的命令登录成功后,在客户端使用passive指令转换你的主动和被动模式, (服务器端不用转换,因为服务器端默认就是主动和被动都支持的) 然后使用ls指令能看到里面的pub子目录就表示数据传输OK了(因为默认是登录到服务器的/var/ftp/目录,里面有一个pub子目录) ftp有主动和被动的连接两种 1,为什么有主动和被动两种连接方式呢? 因为这是一种比较古老的设计方式,它是假设客户端用户有防火墙并且还不会配置防火墙的情况下,才设计出两种模式。 防火墙默认只会拒绝进来的包,而不会拒绝出去或出去回来的包。 2,一般用主动好还是被动好? 用被动比较常见,(原因参考问题一) 3,主动和被动在使用时的区别? 没有防火墙,那么使用起来没什么区别,只是底层传输包的方式不一样 有防火墙,那么防火墙的规则写法也不一样 主动: server client 20 21 n m <------------- --------------> ----------------------------------------> <--------------------------------------- iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT 被动: server client 随机端口 21 n m 3000-3005 <--------------- ----------------> <-------------------------------------------- ---------------------------------------------> iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 3000:3005 -j ACCEPT iptables -A OUTPUT -p tcp --sport 3000:3005 -j ACCEPT ================================================================================ rhel7和centos7的新防火墙软件 firewalld  (但仍然可以使用iptables) 官网地址 http://www.firewalld.org/ # yum install firewalld firewall-config # systemctl restart firewalld --启动服务 # systemctl status firewalld --确认状态 # systemctl enable firewalld --设为开机自动启动(可选) 概念一: Zone 简单来说就是防火墙方案,就是一套规则集,你可以切换使用哪一个zone # firewall-cmd --get-zones --查看现在有哪些zone work drop internal external trusted home dmz public block drop:拒绝所有外部连接请求。 block:拒绝所有外部连接(with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6),允许内部发起的连接 public:适用公共环境,拒绝所有外部连接请求,但指定外部连接可以进入 external:特别适用路由器启用了伪装功能的外部网。拒绝所有外部连接请求,只能接收经过选择的连接。 dmz:用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。(受限制的公共连接可以进入) work:适用于工作网络环境,概念和workgoup一样,也是指定的外部连接允许用于工作区。 home:类似家庭组,用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接 internal:用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接 trusted:可接受所有的网络连接。(最不安全) # firewall-cmd --get-default-zone  --查看当前使用的zone public # firewall-cmd --set-default-zone=work # firewall-cmd --set-default-zone=public --修改当前使用的zone # firewall-cmd --list-all  --查看当前使用的zone的规则集 # firewall-cmd --zone=work --list-all --指定查看work这个zone的规则集 概念二: 网卡接口 # firewall-cmd --zone=public --add-interface=eth0 --指定网卡加入到哪个zone # firewall-cmd --get-zone-of-interface=eth0 --查看网卡加入到哪个zone 概念三: port,service 分别表示端口和服务 # firewall-cmd --add-port=80/tcp  --允许tcp的80端口进来的通迅(类似iptables的INPUT) # firewall-cmd --remove-port=80/tcp --删除上面的规则 # firewall-cmd --add-service=http --允许http服务进来的通迅(不用管它是什么端口,只记住服务就好了) # firewall-cmd --remove-service=http # firewall-cmd --add-service=ftp --允许ftp服务进来的通迅(无论主动还是被动都可以,这样就把iptables的写法简单化了) # firewall-cmd --remove-service=ftp 概念四: rich-rule复杂规则 # firewall-cmd --add-rich-rule="rule family="ipv4" source address=172.16.25.1 service name="ssh" accept" 下面两条合起来实现允许所有人访问我的http,但drop掉172.16.25.1的访问我的http的包 # firewall-cmd --add-service=http # firewall-cmd --add-rich-rule="rule family="ipv4" source address=172.16.25.1 service name="http" drop" 概念五: 关于立即生效与永久生效的讨论 上面加端口或加服务规则,是立即生效,但重启不生效(可以使用firewall-cmd --reload来装载保存的规则) # firewall-cmd --permanent --add-service=ftp  --加了一个--permanent参数后,立即不生效,需要reload后才能生效 实际写规则时,建议直接写(不加--permanent参数),所有规则写完,测试完成后,再使用# firewall-cmd --runtime-to-permanent全部转成permanent规则 概念六: panic模式 # firewall-cmd --panic-on # firewall-cmd --panic-off 概念七: 图形配置 # firewall-config

转载于:https://www.cnblogs.com/yanjieli/p/7502013.html

你可能感兴趣的:(iptables防火墙详解(一))