什么是防火墙?
防火墙可以是像360,金山,卡巴斯基等软件,也可以是硬件,我们来用OSI七层模型来划分的话。那么分为:
1. 三层防火墙:它只负责检查数据从进入到第三层,还有从第三层流出,是否符合它规定的条件,如果是,那么就放行,反之就拦截。
2.七成防火墙:它负责数据输入到第七层,与从第七层到流出,它的检查范围更加广泛,但是消耗的系统资源也就更多。这也是为什么现在市面上大多数防火墙方案都是两者结合的原因
防火墙如何生效?
我们刚知道,防火墙分为3层和7层,那么我们想让防火墙生效,就必须放在特定的地方,例如:你的目的是防止入侵破坏,而你把防火墙放在了数据传出的地方,那么它就起不到作用,因为你的系统已经受到破坏了。如下图:
那么Linux中的防火墙是什么样的?
linux1.0时代
注意:ipchains和iptables工作在用户空间,是用户定义的规则,它们本身不属于防火墙基于端口,可以实现防火的功能
netfilter : 真正意义上的防火墙
所以要想让防火墙生效,我们就需要将它放置在TCP/IP协议栈(TCP/IP stack)的几个特殊的位置,作者设计了五个放置位置:在这五个位置上定义拦截,来实现防火墙的功能。这五个位置,分别是
INPUT(数据流入)
PREROUTING(路由前)
POSTROUTING(路由后)
FORWARD(转发)
OUTPUT(数据流出)
理解了防火墙的概念,现在我们来学习iptables,iptables详细用法由于比较长,放在下面一个文章中:
iptables的详细用法:http://blog.csdn.net/deansrk/article/details/6704170
1.假设一台主机只允许172.16.0.0网段可以使用ssh远程连接到本机,如何实现
分析:
1)到本机内部访问的最好定义在INPUT
2)从本机内部出去的最好定义在OUTPUT
iptables -t filter -A INPUT -s 172.16.0.0/16 172.16.100.1 -p tcp --dport 22 -j ACCEPT iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
2.一台服务器172.16.14.1只允许172.16.0.0/16访问80:22,且不允许172.16.0.1访问80:22,并且只放行建立连接后的数据。(防止反弹性木马)
ptabels -A INPUT -s 172.16.0.1 -p tcp --dport 22 -j DROP ptabels -A INPUT -s 172.16.0.1 -p tcp --dport 80 -j DROP ptabels -A INPUT -s 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT iptabels -A INPUT -s 172.16.0.0/16 -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -L -n -v Chain INPUT (policy DROP 7013 packets, 660K bytes) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * * 172.16.0.1 0.0.0.0/0 tcp dpt:22 0 0 DROP tcp -- * * 172.16.0.1 0.0.0.0/0 tcp dpt:80 2548 200K ACCEPT tcp -- * * 172.16.0.0/16 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 172.16.0.0/16 0.0.0.0/0 tcp dpt:80 3 484 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 4180 packets, 4043K bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 6381 packets, 577K bytes) pkts bytes target prot opt in out source destination 556 64420 all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
3.服务器A于客户端C要经过防火墙B的转发来访问,如下表对应的关系,要求C可以访问到172网段,B有两个地址192.168.0.28和172.16.14.10,只允许192.168.0.48可以访问到服务器A的80端口和22端口,其他的都不能访问。(需要开启3台虚拟机)
服务器A 防火墙B 客户端C
172.16.14.10:80 FORWARD C 80:22 192.168.0.48
172.16.14.10:22 FORWARD policy DROP
1)配置C的默认网关为192.168.0.28
route add default gw 192.168.0.28
2)开启A的httpd和sshd服务,如果没有请先安装
service httpd start service sshd start
3)配置B的iptables
iptables -A FORWARD -c 192.168.0.48 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -c 192.168.0.48 -p tcp --dport 80 -j ACCEPT iptables -P FORWARD DROP iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination ACCEPT tcp -- 192.168.0.48 172.16.14.10 tcp dpt:80 ACCEPT tcp -- 192.168.0.48 172.16.14.10 tcp dpt:22 Chain OUTPUT (policy ACCEPT) target prot opt source destination
4)在C上ping一下 172.16.14.10 应该不通,然后使用ssh连接A ,再使用elinks测试下A的httpd服务是否正常
ssh 172.16.1410 elinsk http://172.16.14.10 #如果能连接到测试页说明正常
5)将C的ip换为192.168.0.58看还能不能ssh或者访问到测试页
ifconfig eth0 192.168.0.58 ssh 172.16.1410 #应该脸不上 elinsk http://172.16.14.10 #应该不能显示任何内容,两样都满足说明防火墙生效