一、iptable 防火墙介绍
现代的计算机环境是一个网络的环境,而且是一个非常开放的网络环境,在这个开放的网络环境中,用户可以获得大量的资讯信息,也可以更加轻松地进行社交、学生等。但这个开放的环境也给我们带来了一些不便,在开放的同时,网络中还伴有大量的攻击、发送垃圾邮件、盗号、欺诈等活动。对于IT运维人员而言,如何防止自己的服务器免受攻击?这需要管理员掌握扎实的安全理论基础知识以及专业工具的使用技巧。要防止遭受网络攻击,掌握一种网络访问控制工具的使用是至关重要的,而netfilter/iptables 是集成在Linux2.4X版本内核中的包过滤防火墙系统。
netfilter/iptables 框架可以实现数据包过滤、网络地址转换以及数据包管理功能。Linux中的防火墙系统包括两部分:netfilter/iptables。netfilter位于内核空间,目前是Linux内核的组成部分。具体地说,netfilter是Linux内核内部的一系列钩子,这些钩子允许数据表过滤函数挂载到系统内核中。而iptables是用户工具,由于netfilter位于在内核空间中,用户通常接触内核和修改内核,此时就需要一个像iptables这样的命令行工具,使用iptables可以添加、删除具体的过滤规则,iptables默认维护着四个表和五个链,所有的防火墙测落规则都将被分别写入这些表与链中。Linux防火墙因为已经集成在内核中,所以相对于应用层防火墙产品而言,基于内核的Linux防火墙更加快捷、高效。
iptables有很好的可扩展性,也就是说,内核架构与iptables工具都可以添加扩展功能,CentOS6.3 系统中防火墙模块存放在/lib/modules/2.6.32-279.e16.x86_64/kernel/net/netfilter 目录下,当需某个模块功能时,可以通过modprobe加载该模块功能。
默认的iptables规则表有:filter表(过滤规则表)、nat表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表)。每个规则表中包含多个数据链:INPUT(入站数据过滤)、OUTPUT(出站数据过滤)、FORWARD(转发数据过滤)、PREROUTING(路由前过滤)和POSTROUTING(路由后过滤),防火墙规则需要写入到具体的数据链中。图1展示了Linux防火墙的过滤框架,从图中可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过PREROUTING链和INPUT链;如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT链和POSTROUTING链;如果防火墙作为路由负责转发数据,则数据将经过PREROUTING链、FORWARD链以及POSTROUTING链。
二、iptables防火墙语法格式
管理员需要使用iptables命令添加、删除防火墙规则,下面我们看看iptables命令的具体用法。
命令描述:netfilter防火墙规则管理工具。
用法:iptables[-t 表名] {-A|-D|-I|-D|-F|-L|-Z|-P}链名 rule-specification
选项:-t 指定需要维护的防火墙规则表,不使用-t时,则默认操作对象为filter表。
-A 追加防火墙规则。
-D 删除防火墙规则。
-I 插入防火墙规则。
-F 清空防火墙规则。
-L 列出防火墙规则。
-R 替换防火墙规则。
-Z 清空防火墙数据表统计信息。
-P 设置链默认规则。
匹配参数:[!]-p 匹配协议,!代表取反
[!]-s 匹配源地址
[!]-d 匹配目标地址
[!]-i 匹配入站网卡接口
[!]-o 匹配出站网卡接口
[!]--sport 匹配源端口
[!]--dport 匹配目标端口
[!]--src-range 匹配源地址范围
[!]--dst-range 匹配目标地址范围
[!]--limit 匹配数据表速率
[!]--mac-source 匹配源MAC地址
[!]--sports 匹配源端口
[!]--dports 匹配目标端口
[!]--state 匹配状态(INVALID、ESTABLISHED、NEW、RELATED)
[!]--string 匹配应用层字串
触发动作:ACCEPT 允许数据包通过
DROP 丢弃数据包
REJECT 拒绝数据包
LOG 将数据包信息记录syslog日志
DNAT 目标地址转化
SNAT 源地址转换
MASQUERADE 地址欺骗
REDIRECT 重定向
iptables防火墙规则的顺序非常重要,内核按顺序检查这些规则,如果发现有匹配的规则条目,则立即指向相关动作,停止继续向下查找规则条目,如果所有的防火墙规则都未能匹配成功,则按默认策略处理。我们使用-A选项添加防火墙规则会将该规则追加到整个链的最后,而使用-I选项添加的规则默认会插入到链中作为第一条规则。下面通过实例简单演示iptables命令的使用方法。
查看filter表所有规则:
[root@localhost ~]# iptables -nL
查看nat表的所有规则:
[root@localhost ~]# iptables -t nat -nL
清空filter表中的所有规则:
[root@localhost ~]# iptables -F
往filter表中添加一条新的入站规则,丢弃192.168.0.1主机发送给防火墙本机的所有数据包。
[root@localhost ~]# iptables -A INPUT -s 192.168.0.1 -j DROP
往filter表中添加一条新的入站规则,拒绝192.168.0.22ping防火墙本机
[root@localhost ~]# iptables -A INPUT -s 192.168.0.22 -p icmp -j REJECT
查看filter表中防火墙规则并显示规则编号:
[root@localhost ~]# iptables -nL --line-number
删除filter表中INPUT链的第一条规则:
[root@localhost ~]# iptables -D INPUT 1
替换filter表中INPUT链的第二条规则,拒绝192.168.0.254之外的任何主机连接防火墙本机:
[root@localhost ~]# iptables -R INPUT 2 ! -s 192.168.0.254 -j REJECT
修改filter表中INPUT链的默认规则为接收数据包:
[root@localhost ~]# iptables -t filter -P INPUT -j ACCEPT
将192.168.0.10主机发送给防火墙本机22端口的所有数据包信息记录到messages日志:
[root@localhost ~]# iptables -I INPUT -s 192.168.0.10 -p tcp --dport 22 -j LOG
允许任何主机从eth0网络接口访问防火墙本机的80端口:
[root@localhost ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
三、iptables防火墙应用案例
案例1:允许任意客户端访问服务器主机提供的日常服务(HTTP、HTTPS、DNS、NTP、SMTP、POP3、SSH),在Linux系统中,/etc/services 文件可以帮助我们找到各种服务所对应的标准端口信息。
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p udp --dport 25 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 143 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 123 -j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -P OUTPUT ACCEPT
案例2:公司拥有一个公有IP,防火墙实现局域网中所有的主机通过SNAT共享上网 ,拓扑结构如图2所示。我们使用Centos6.3作为公司软件路由,公司内部所有192.168.0.0/24网段内的主机连接外网时,防火墙自动将所有数据包的源地址修改为路由器上的公有IP,最后互联网将信息返回路由后,由路由再转发给真正的后端主机。防火墙源地址转发(SNAT)规则需要被写入到NAT表的POSTROUTING链。
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
[root@localhost ~]# iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 124.126.199.84
案例3:公司对外有一个公有IP,内部有HTTP、MAIL两台核心服务器,通过防火墙实现客户可以从互联网的任意位置访问位于公司内部两台服务器资源,拓扑结构如图3,只是连接的方向发生了改变,案例2是源地址转换(SNAT),本例是目标地址转换(DNAT)。
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
[root@localhost ~]# iptables -t nat -I PREROUTING -d 124.126.199.84 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.100
[root@localhost ~]# iptables -t nat -I PREROUTING -d 124.126.199.84 -p tcp --dport 25 -j DNAT --to-destination 192.168.0.101
[root@localhost ~]# iptables -t nat -I PREROUTING -d 124.126.199.84 -p tcp --dport 110 -j DNAT --to-destination 192.168.0.101
案例4:数据包因为太大无法一次完成数据的传输,此时数据包将被分割为数据片段再发送出去。接收端收完数据后,将把这些数据片段重新组合成完整的数据包。但问题在于当数据被分割后,只有前面的初始数据片段包含全部的数据头部信息(IP、TCP、UDP、ICMP等),后续的数据片段仅包含数据包头部信息的一部分。这时再去检查后续数据片段的头部信息是不可能的。当然,如果你想匹配第二个及后面被分片的数据,可以使用“-f”选项。
丢弃发送至192.168.1.1的所有数据以及分片数据:
[root@localhost ~]# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
案例5:目前网络上的攻击手段层出不穷,很多攻击会采用发送大量无效的数据包给服务器,造成服务器无法响应正常的请求包,iptables提供了一个limit扩展功能,可以限制单位时间内数据包的个数。下面的规则是当每秒钟数据包个数为500时接受入站连接,否则拒绝连接。
[root@localhost ~]# iptables -I INPUT -m limit --limit 500/sec -j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP
案例6:企业环境中,服务器会面临各种各样的攻击,iptables本身属于三层包过滤防火墙,但也提供了string扩展功能,通过--string也可以根据关键词限制网络连接。将下面两条记录写入基于Linux的软路由服务器防火墙规则中,实现拒绝转发包哈关键词/etc/passwd以及qq的数据包,也就是防止密码文件复制出局域网,并防止内部员工访问QQ网站。
[root@localhost ~]# iptables -I FORWARD -m string --algo bm --string "/etc/passwd" -j REJECT
[root@localhost ~]# iptables -I FORWARD -m string --algo bm --string "qq" -j REJECT
案例7:根据数据连接状态设置防火墙规则,放行所有的出站数据包。拒绝入站的新连接请求与无效链接,放行入站的回应请求。
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -A INPUT -m state --state NEW -j DROP
[root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost ~]# iptables -P OUTPUT ACCEPT
案例8:公司采用基于Linux的软路由设备,要求在路由设备上设置防火墙规则,记录192.168.0.1至192.168.0.22地址段内所有的主机发送给路由要求转发的数据包,并允许转发这些数据包。
[root@localhost ~]# iptables -A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.22 -p tcp --dport 80 -j LOG
[root@localhost ~]# iptables -A FORWARD -m iprange --src-range 192.168.0.1-192.168.0.22 -p tcp --dport 80 -j ACCEPT
四、防火墙备份与还原
默认的iptables防火墙规则会立刻生效,但如果不保存,当计算机重启后所有的规则都将丢失,所以对防火墙规则进行及时保存的操作是非常必要的。iptables软件包提供了两个非常有用的工具,我们可以使用工具处理大量的防火墙规则。这两个工具分别是iptables-save 和 iptables-restore,使用该工具实现防火墙规则的保存与还原。这两个工具的最大优势是处理庞大的规则集时速度非常快。Centos6.3系统中防火墙规则默认保存在/etc/sysconfig/iptables文件中,使用iptables-save将规则保存至该文件中可以实现保存防火墙规则的作用,计算机重启会自动加载该文件中的规则。如果使用iptables-save将规则保存至其他位置,可以实现备份防火墙规则的作用。当防火墙规则需要做还原操作时,可以使用iptables-restore将备份文件直接导入当前防火墙规则。
[root@localhost ~]# iptables-save > /etc/sysconfig/iptables
[root@localhost ~]# iptables-save > firewall.bak
[root@localhost ~]# iptables-restore < firewall.bak