Linux系统安全之iptables防火墙
一.iptables防火墙基本介绍
- 主要作用:隔离功能
- 一般部署在网络边缘或主机边缘
- 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
二、划分的方式
2.1 按保护范围划分:
- 主机防火墙:服务范围为当前一台主机
- 网络防火墙:服务范围为防火墙一侧的局域网
2.2 按实现方式划分:
- 硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现
- 软件防火墙:通过代码实现,并进行判断
2.3 按网络协议划分:
- 网络层防火墙:OSI模型下四层,又称为包过滤防火墙
- 应用层防火墙/代理服务器:设置数据的进出
三、Linux防火墙工具
- friewalld:centos7专有
- iptables:包过滤防火墙
- selinux:自带的安全工具
3.1 iptables
- Linux的防火墙体系主要工作在网络层,
- 针对数据包实施过滤和限制,
- 属于典型的包过滤防火墙(或称为网络层防火墙)
3.1.1 作用
- IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。
-
主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口、协议(主要针对tcp协议)等信息的处理。
3.2 iptables组成及原理
3.2.1 组成部分
iptables由四个表table和五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)
四表:raw、mangle、nat、filter
- raw: 用于控制数据包的状态跟踪,可以决定是否跳过后续的处理流程。
- mangle:数据标记
- nat:地址转换表
- filter:过滤规则表,根据规则表来定义或者过滤符合条件的数据包,默认表
优先级由高到低的顺序为:
security -->raw-->mangle-->nat-->filter
五链:
- INPUT:处理数据包进入本机的规则
- OUTPUT:处理数据包发出的规则
- PREROUTING:处理数据包进入本机之前的规则
- POSTROUTING:处理数据包离开本机之后的规则
-
FORWARD:处理数据包转发到其他主机的规则。
3.2.2 iptables规则
表里面有链,链里面有规则,规则就是我们自定义的对于包的控制命令
3.2.3 匹配顺序
根据表的优先级匹配,在表中从上到下 进行检查,找到匹配规则立即停止,不再继续查找,如破i配不到,按照链的默认规则处理
3.2.4 三种报文流向
- 流入本机:PREROUTING --> INPUT-->用户空间进程 httpd服务-目的转换-httpd
- 流出本机:用户空间进程 -->OUTPUT--> POSTROUTING httpd服务-out-源地址
- 转发:PREROUTING --> FORWARD --> POSTROUTING -----FOR------
3.3 iptables命令格式
iptable [-t表名](不指定表名,默认就是filter表) 管理选项[链名] [匹配条件] [-j 控制类型]3.3.1 管理选项
| 管理选项 | 用法 |
|---|---|
| -A | 在指定链末尾追加一条 |
| -I | 在指定链中插入一条新的,可以指定序号,-I后跟数字表示序号 |
| -P | 修改链的默认策略 |
| -D | 删除 |
| --line-numbers | 规则带编号 |
| -R | 修改、替换某一条规则(修改一般不用) |
| -L | 查看链中规则 |
| -F | 清空链中所有规则(!!!慎用) |
| -n | 所有字段以数字形式显示 |
| -v | 查看时显示更详细信息,常跟-L一起使用 (查看) |
| -X | 清空自定义链的规则,不影响其他链 |
| -Z | 清空链的计数器(匹配到的数据包的大小和总和) |
| -S | 看链的所有规则或者某个链的规则/某个具体规则后面跟编号 |
3.3.2 匹配条件
| 匹配的条件 | 作用 |
|---|---|
| -p | 指定要匹配的数据包的协议类型 |
| -s | 指定要匹配的数据包的源IP地址(指定多个ip用“ ,”隔开,加在协议前) |
| -d | 指定要匹配的数据包的目的IP地 |
| -i | 指定数据包进入本机的网络接口 |
| -o | 指定数据包离开本机做使用的网络接口 |
| --sport | 指定源端口号(指定多个端口用” :”隔开,加在协议后,注意小端口号在前) |
| --dport | 指定目的端口号 |
3.3.3 控制类型
| 类型 | 作用 |
|---|---|
| ACCEPT | 允许数据包通过 |
| DROP | 直接丢弃数据包,不给出任何回应信息 |
| REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应信息 |
| SNAT | 修改数据包的源IP地址 |
| DNAT | 修改数据包的目的IP地址 |
四、 实际操作
4.1 前期准备
CentOS7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装启用iptables
4.2 查看默认规则
iptables -vnL --line-number
##不指定表,默认就是filter
##--line-numbers 规则带编号4.3 修改链的默认规则
在生产工作中,iptables所有链默认规则都是DROP(相当与设置了白名单)
格式:iptables -P INPUT DROP1.-F 仅仅是清空链中的规则,并不影响 -P 设置的规则,默认规则需要手动进行修改
2.-P 设置了DROP后,使用 -F 一定要小心!
#防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决
此时的解决方案有三种:
第一种:我的防火墙设置只是临时设置,并为保存,重启服务器即可
第二种:操作服务器,重启iptables服务
第三种:进入机房操作该服务器(将设置恢复,重新修改规则)炸!
在生产中都是默认DROP
4.4 不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmp
iptables -t filter -A INPUT -p icmp -j REJECT
#不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmp
iptables -vnL --line-number
#使用数字形式(fliter)表所有链,编号显示换另一台主机测试:立即生效
4.5 指定序号插入,在上一规则前添加允许其它主机ping本机
iptables -I INPUT 1 -p icmp -j ACCEPT
换另一台主机测试
查看规则:
4.6 按照行号删除
iptables -D INPUT 2
#删除第二行规则
4.7 按照内容删除
iptables -D INPUT -p icmp -j DROP
#将含有icmp协议使用DROP类型的规则删除- 注意:按照内容匹配删除规则,只能每次删除内容相同序号较小的规则。
- 直到删除最后一条时,才能将该规则全部清除 。
- 一定要报保证该匹配的内容存在,且完全匹配规则才能删除,不然报错。
五、通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d 目的地址 可以是IP、网段、域名、空(任何地址)
- 接口匹配:-i 入站网卡、-o出站网卡
iptables -A INPUT -s 192.168.247.0/24 -p tcp --dport 80 -j REJECT
#禁止整个网段访问80端口的服务六、隐藏模块
iptables在使用-p 指定协议时,若指明特定协议后就无须再使用-m指明扩展模块的扩展机制。
6.1 指定多个端口
- -m multiport --sport 源端口列表
- -m multiport --dport 目的端口列表
例1:
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j REJECT
#多端口匹配,一次性禁止多个tcp网络协议的端口匹配规则
例2:
[root@localhost ~]# iptables -A INPUT -p udp -m multiport --dport 53,54,55 -j ACCEP
#多端口匹配,一次性放通多个udp网络协议的端口匹配规则
6.2 IP范围匹配
- -m iprange --src-range 源IP范围
- -m iprange --dst-range 目的IP范围
[root@localhost ~]# iptables -A INPUT -p icmp -m iprange --src-range 192.168.233.20-192.168.233.30 -j REJECT
#禁止网段内的ip地址ping主机
6.3 MAC匹配
该方式范围过于有限,且操作不方便,用的不多,了解即可
- -m mac --mac-source MAC地址
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:f7:24:38 -j DROP