Iptables 原理
现在防火墙主要分以下三种类型:包过滤、应用代理、状态检测
包过滤防火墙:现在静态包过滤防火墙市面上已经看不到了,取而代之的是动态包过滤技术的防火墙哈~
代理防火墙:因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护,比如大家知道的 SYN攻击、ICMP 洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈~其使用了一种应用协议分析的新技术。 状态检测防火墙:其基于动态包过滤技术发展而来,加入了一种状态检测的模块,进一点发展了会话过滤功能,会话状态的保留是有时间限制的,此防火墙还可以对包的内容进行分析,从而避免开放过多的端口。
netfilter/iptables IP 数据包过滤系统实际上由 netfilter 和 iptables 两个组件构成。
netfilter 是集成在内核中 的一部分,其作用是定义、保存相应的规则,而 iptables 是一种工具,用来修改信息的过滤规则及其他配置,我们可以通过 iptables 来设置一些适合我们企业需求环境的规则哈~,而这些规则会保存在内核空间之中。 netfilter 是 Linux 核心中的一个通用架构,其提 供了一系列的表(tables),每个表由若干个链(chains)组成,而每条链可以由一条或若干条规则(rules)组成。实际上 netfilter 是表的容器,表是链的容器,而链又是规则的容器。
filter 表
nat表
mangle 表
iptables
内置链
PREROUTING:
数据包进入本机,进入路由器之前
INPUT :
通过路由表后目的地为本机
FORWARDING:
通过路由表后,目的地不为本机
OUTPUT:
由本机产生,向外转发
POSTROUTIONG:
通过路由表后,发送到网卡接口之前
netfilter
五条链相互关系,即 iptables
数据包转发流程图
Iptables 工作流程图
iptables 拥有三个表和五条链组成
NAT 工作原理
Iptables 详细参数表
Iptables 基本语法
iptables [-t
表名] -
命令 -
匹配 -j
动作/
目标
iptables 内置了 filter、nat 和 mangle 三张表,我们可以使用-t 参数来设置对哪张表生效哈~也可以省略-t 参数,则默认对 filter 表进行操作。
具体命令参数可以通过
man iptables查询哈~
配置 SNAT 命令基本语法
iptables -t nat -A POSTROUTING -o 网络接口 -j SNAT --to-source IP 地址
配置 DNAT 命令基本语法
iptables -t nat -A PREROUTING -i 网络接口 -p 协议 --dport 端口 -j DNAT
--to-destination IP 地址
企业环境及需求
1
、企业环境
230 台客户机,IP 地址范围为 192.168.0.1~192.168.0.254,子网掩码为 255.255.255.0
Mail 服务器:IP 地址为 192.168. 1.1 子网掩码为 255.255.255.0
FTP 服务器:IP 地址为 192.168.1.2 子网掩码为 255.255.255.0
WEB 服务器:IP 地址为 192.168.1.3 子网掩码为 255.255.255.0
公司网络拓扑图如下:
2、配置默认策略
所有内网计算机需要经常访问互联网,并且员工会使用即时通信工具与客户进行沟通,企业网络DMZ 隔离区搭建有 Mail、FTP 和 Web 服务器,其中 Mail 和 FTP 服务器对内部员工开放,仅需要对外发布 Web 站点,并且管理员会通过外网进行远程管理,为了保证整个网络的安全性,需要添加 iptables 防火墙并配置相应的策略
需求分析
企业的内部网络为了保证安全性,需要首先删除所有规则设置,并将默认规则设置为 DROP,然后开启防火墙对于客户端的访问限制,打开 WEB、MSN、QQ 及 MAIL 的相应端口,并允许外部客户端登录 WEB 服务器的 80、22 端口。
解决方案
1、配置默认策略
默认 iptables 已经被安装好了
(1)删除策略
iptables -F :清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则
iptables -X :清除预设表 filter 中使用者自定链中的规则
iptables -Z :清除预设表 filter 中使用者自定链中的规则
(2)设置默认策略
设置默认策略为关闭 filter 表的 INPPUT 及 FORWARD 链开启 OUTPUT 链,nat 表的三个链PREROUTING、OUTP UT、POSTROUTING 全部开启哈~默认全部链都是开启的,所以有些命令可以不操作,另外 mangle 表本文没用到,所以不做处理,mangle 主要用在数据包的特殊变更处理上,比如修改 TOS 等特性。
2
、设置回环地址
有些服务的测试需要使用回环地址,为了保证各个服务的正常工作,需要允许回环地址的通信,己有涉及,如果不设置回环地址,有些服务不能启动哈~。
iptables -A INPUT -i lo -j ACCEPT
3、连接状态设置
为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEP T
连接跟踪存在四种数据包状态
NEW :想要新建连接的数据包
INVALID :无效的数据包,例如损坏或者不完整的数据包
ESTABLISHED :已经建立连接的数据包
RELATED :与已经发送的数据包有关的数据包
4、设置 80 端口转发
公司网站需要对外开放,所以我们需要开放 80 端口
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
5、DNS 相关设置
为了客户端能够正常使用域名访问互联网,我们还需要允许内网计算机与外部 DNS 服务器的转发。
开启 DNS 使用 UDP、TCP 的 53 端口
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
6、允许访问服务器的 SSH
管理员会通过外网进行远程管理,所以我们要开启 SSH 使用的 TCP 协议 22 端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
7、允许内网主机登录 MSN 和 QQ 相关设置
QQ 能够使用 TCP80、8000、443 及 UDP8000、4000 登录,而 MSN 通过 TCP1863、443 验证。因此
只需要允许这些端口的 FORWARD转发即可以正常登录。
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 4000 -j ACCEPT
注意:当然,如果公司要限制这样即时通信工具的使用,只要禁止这些端口的转发就可以了哈~
特别注意:
麻花疼这家伙忒坏~
嘿嘿~
,端口不固定,QQ//V/I/P
会员专用通道什么的,代理登录等等哈~
,所以我们如果需要封杀就要收集全登录端口及 QQ
服务器地址,根据总结,最好在企业实际配置中技术与行政管理相结合,这样达到的效果最好~
8、允许内网主机收发邮件
客户端发送邮件时访问邮件服务器的 TCP25 端口。接收邮件时访问,可能使用的端口则较多,UDP协议以及 TCP 协议的端口:110、143、993 及 995
smtp:
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
pop3:
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --dport 110 -j ACCEPT
imap:
iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -p udp --dport 143 -j ACCEPT
imaps:
iptables -A FORWARD -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -p udp --dport 993 -j ACCEPT
pop3s:
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -p udp --dport 995 -j ACCEPT
9、NAT 端口映射设置
由于局域网的地址为私网地址,在公网上不合法哈~所以必须将私网地址转为服务器的外部地址进行地址映射哈~连接外网接口为 ppp0
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
MASQUERADE
和 SNAT
作用一样哈~
相样是提供源地址转换的操作,但是 MASQUERADE
是针对外部接口为动态 IP
地址来设置滴,不需要使用--to-source
指定转换的 IP
地址。如果网络采用的是拨号方式接入互联网,而没有对外的静态 IP
地址(主要用在动态获取 IP
地址的连接,比如 ADSL
拨号、DHCP
连接等等),那么建议使用 MASQUERADE
哈~
注意:MASQUERADE
是特殊的过滤规则,其只可以映射从一个接口到另一个接口的数据哈~
10、内网机器对外发布 WEB 网站
内网 WEB 服务器 IP 地址为 192.168.0.3,我们需要进行如下配置哈~,当公网客户端访问服务器时,防火墙将请求映射到内网的 192.168.0.3 的 80 端口
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination
11、保存与恢复 iptables 配置
保存:iptables-save
iptables-save [-c] [-t 表名]
-c:保存包和字节计数器的值。可以使在重启防火墙后不丢失对包和字节的统计
-t:用来保存哪张表的规则,如果不跟-t 参数则保存所有的表
可以使用重定向命令来保存这些规则集
iptables-save > /etc/iptables-save
恢复:iptables-restore
iptables-restore [-c] [-n]
-c:如果加上-c 参数则表示要求装入包和字节计数器
-n:表示不覆盖己有的表或表内的规则,默认情况下是清除所有己存在的规则
使用重定向来恢复由 iptables-save 保存的规则集
iptables-restore > /etc/iptables-save
如果要在服务或系统重启后依然生效
12、最终 iptables 配置如下 nat可以自己查看下!
注意:
SNAT 将源网络地址进行转换,只能用在 nat 表的 POSTROUTING 链中,只要连接的第一个符合条件的包被 SNAT 了哈~,那么这个连接的其他所有的数据包都会自动地被 SNAT。与 SNAT 对应,DNAT将目的地址进行转换,只能用在 nat 表的 PREROUTIONG 和 OUTPUT 链中,或者是被这两条链调用的链里面。包含 DNAT 的链不能被除此之外的其他链调用,比如 POSTROUTING 链。
阻止访问某域名,直接改hosts
文件即可了,也不知道用的多不多!!!
本文转自 lgpqdwjh 51CTO博客,原文链接:http://blog.51cto.com/itchenyi/1061828,如需转载请自行联系原作者