主机防火墙的设置与优化

简介:

一、设置主机防火墙。

开放: 服务器的:web服务、vsftpd 文件服务、ssh远程连接服务、ping 请求。

1、开放sshd服务

开放流入本地主机,22端口的数据报文。

1
[root@stu13 ~] # iptables -A INPUT --destination 192.168.60.99 -p tcp --dport 22 -j ACCEPT

开放从本地主机22端口流出的数据报文

1
[root@stu13 ~] # iptables -A OUTPUT --source 192.168.60.99 -p tcp --sport 22 -j ACCEPT

修改默认策略为:DROP。 目的禁止所有报文通过本机的TCP/IP协议栈,再开放指定端口的服务。

1
2
[root@stu13 ~] # iptables -P INPUT DROP
[root@stu13 ~] # iptables -P OUTPUT DROP

如:

1
2
3
4
5
6
7
8
9
10
11
[root@stu13 ~] # iptables -L -n -v
Chain INPUT (policy DROP 554 packets, 53329 bytes) ----> 已经阻止到数据包了
  pkts bytes target prot opt  in   out    source           destination
  1162 60532 ACCEPT tcp  --  *   *     0.0.0.0 /0        192.168.60.99       tcp dpt:22
    匹配到数据包
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt  in   out    source         destination
 
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
  pkts bytes target prot opt  in   out    source            destination
   681 96248 ACCEPT tcp  --  *      *  192.168.60.99    0.0.0.0 /0            tcp spt:22


2、开放本机提供的web服务:

开放访问本机的80,443服务。

开放流入本地主机,80端口的数据报文

1
[root@stu13 ~] # iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 80 -j ACCEP

开放从本地主机80端口流出的数据报文

1
[root@stu13 ~] # iptables -A OUTPUT --src 192.168.60.99 -p tcp --sport 80 -j ACCEPT

开放流入本地主机,443端口的数据报文

1
[root@stu13 ~] # iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 443 -j ACCEPT

开放从本地主机443端口流出的数据报文

1
[root@stu13 ~] # iptables -A OUTPUT --src 192.168.60.99 -p tcp --sport 443 -j ACCEPT

3、本机可以接受ping

开放应用层协议为icmp数据报文流入本机

1
[root@stu13 ~] # iptables -A INPUT -p icmp -j ACCEPT

开放应用层协议为icmp数据报文流出本机

1
[root@stu13 ~] # iptables -A OUTPUT -p icmp -j ACCEPT

4、开放被动模式FTP服务

开放命令连接的21端口

装载模块:这是连接追踪ftp服务器的数据连接的模块。

1
[root@stu13 httpd-2.4.9] # modprobe nf_conntrack_ftp

查看是否装载成功

1
2
3
[root@stu13 ~] # lsmod  | grep "nf_conntrack_ftp"
nf_conntrack_ftp       10475  0
nf_conntrack           65428  3 nf_conntrack_ftp,nf_conntrack_ipv4,xt_

开放应用层协议为tcp,目标端口为21的数据报文流入本机

1
[root@stu13 ~] # iptables -A INPUT --dst 192.168.60.99 -p tcp --dport 21 -m state --state NEW -j ACCEPT

使用iptables的状态追踪功能,追踪ftp服务器的数据传输端口,意思是说:只要是找开的数据传输连接传输的数据报文与某个已经建立连接有关连,就允许开数据包通过。

1
[root@stu13 ~] # iptables -A INPUT --dst 192.168.60.99 -m state --state ESTABLISHED,RELATED -j ACCEPT

数据流出

1
[root@stu13 ~] # iptables -A OUTPUT --src 192.168.60.99 -m state --state RELATED,ESTABLISHED -j ACCEPT

二、测试:主机防火墙开放的服务是否成功:

1、PING 测试:本机PING其它主机 

1
2
3
4
5
6
7
[root@stu13 ~] # ping -c 1 192.168.60.1
PING 192.168.60.1 (192.168.60.1) 56(84) bytes of data.
64 bytes from 192.168.60.1: icmp_seq=1 ttl=64  time =1.81 ms
 
--- 192.168.60.1  ping  statistics ---
1 packets transmitted, 1 received, 0% packet loss,  time  2ms
rtt min /avg/max/mdev  = 1.812 /1 .812 /1 .812 /0 .000 ms

在windows下ping 192.168.60.99主机

1
2
3
4
5
6
7
8
9
10
D:\> ping  192.168.60.99
 
正在 Ping 192.168.60.99 具有 32 字节的数据:
来自 192.168.60.99 的回复: 字节=32 时间=2ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
 
192.168.60.99 的 Ping 统计信息:
     数据包: 已发送 = 2,已接收 = 2,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
     最短 = 0ms,最长 = 2ms,平均 = 1ms

2、测试80服务

1
2
[root@nfs ~] # curl -eI http://192.168.60.99/index.html
<h1>This Server is OK...< /h1 >

3、在Windows 下测试:文件服务器。

1
2
3
4
5
6
7
8
9
10
11
12
13
D:\> ftp  192.168.60.99
连接到 192.168.60.99。
220 (vsFTPd 2.2.2)
用户(192.168.60.99:(none)):  ftp
331 Please specify the password.
密码:
230 Login successful.
ftp > get pub /inittab
200 PORT  command  successful. Consider using PASV.
150 Opening BINARY mode data connection  for  pub /inittab  (884 bytes).
226 Transfer complete.
ftp : 收到 884 字节,用时 0.00秒 884000.00千字节/秒。
ftp >

4、测试连接到ssh服务

1
2
[root@nfs ~] # ssh 192.168.60.99
Last login: Mon Aug 18 17:51:20 2014

三、分析优化防火墙

设置开放特定服务后的filter表的规则如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 1911 packets, 223K bytes)
num   pkts bytes target   prot opt  in    out   source         destination
1     7470  441K ACCEPT    cp    --  *    *    0.0.0.0 /0      192.168.60.99 tcp dpt:22
2       51  4545 ACCEPT   tcp  --  *    *    0.0.0.0 /0      192.168.60.99 tcp dpt:80
3        1    60 ACCEPT    cp    --  *    *    0.0.0.0 /0      192.168.60.99 tcp dpt:443
4        4   288 ACCEPT   icmp --  *    *    0.0.0.0 /0      0.0.0.0 /0
5       12   624 ACCEPT   tcp  --  *    *    0.0.0.0 /0      192.168.60.99 tcp dpt:21 state NEW
6      174  8122 ACCEPT   all  --  *    *    0.0.0.0 /0      192.168.60.99 state RELATED,ESTABLISHED
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
 
Chain OUTPUT (policy DROP 8 packets, 480 bytes)
num   pkts bytes target   prot opt  in   out   source            destination
1     5761  701K ACCEPT   tcp  --  *   *    192.168.60.99    0.0.0.0 /0      tcp spt:22
2       40  4522 ACCEPT   tcp  --  *   *    192.168.60.99    0.0.0.0 /0      tcp spt:80
3        1    40 ACCEPT   tcp  --  *   *    192.168.60.99    0.0.0.0 /0      tcp spt:443
4        4   288 ACCEPT   icmp --  *   *    0.0.0.0 /0         0.0.0.0 /0
5      328 22614 ACCEPT   all  --  *   *    192.168.60.99    0.0.0.0 /0     state RELATED,ESTABLISHED

1、优化策略:将多条规则合并成一条。

(1)、使用umltiport扩展模块合并端口模块:

1
2
3
4
5
6
[root@stu13 httpd-2.4.9] # ll /lib/xtables-1.4.7/ | grep "multiport"
-rwxr-xr-x. 1 root root 10772 Feb 22  2013 libxt_multiport.so
[root@stu13 httpd-2.4.9] # iptables -I INPUT --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,22 -j ACCEPT
[root@stu13 httpd-2.4.9] # iptables -D INPUT 2
[root@stu13 httpd-2.4.9] # iptables -D INPUT 2
[root@stu13 httpd-2.4.9] # iptables -D INPUT 2
1
2
3
4
[root@stu13 httpd-2.4.9] # iptables -I OUTPUT --src 192.168.60.99 -p tcp -m multiport --sports 80,443,22 -j ACCEPT
[root@stu13 httpd-2.4.9] # iptables -D OUTPUT 2
[root@stu13 httpd-2.4.9] # iptables -D OUTPUT 2
[root@stu13 httpd-2.4.9] # iptables -D OUTPUT 2

(2)、查看合并端口后filter过滤表

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 20 packets, 2060 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      813 49587 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       multiport dports 80,443,22
2        4   288 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3       13   676 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:21 state NEW
4      196  9102 ACCEPT     all  --  *      *       0.0.0.0 /0             192.168.60.99       state RELATED,ESTABLISHED
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
 
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      165 21277 ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            multiport sports 80,443,22
2        4   288 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3      355 24153 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED,ESTABLISHED

2、使用iptables/netfiltes提供的状态追踪功能优化防火墙

iptables/netfiter提供有一个状态追踪功能,只要第一次连接都是NEW状态。下一次连接只要在状态追踪表的计数器的时间没到之前,该客户端重新建立的连接,iptables/netfilter 也认为该连接是ESTABLISHED状态的。


     通常情况下,处于ESTABLISHED状态的连接要比处于NEW状态的连接要多得多,那么意味着:ESTABLISHED状态的连接传输的数据报文通常要比NEW状态的连接传输的数据报文要多得多。数据报文经过某链时,数据报文与链中的定义的规则一一做匹配,顺序是从上到下依次做匹配操作。如果数据报文的某些特征,如:源IP地址、目标IP地址、源端口、目标端口、连接的状态、TCP的标志位等,与链中定义的规则匹配到了,就执行【-j】后面的 action(如:DROP|ACCEPT等)。如果数据报文与它经过的链中的规则从上到下一一做匹配,都没有匹配到的话,就执行iptables中定义的默认规policy。因为,定义防火墙规则的时候,首先拒绝所有(默认策略都为:DROP),开放某些服务的数据报文通过.处于ESTABLISHED状态的连接传输的数据报文通常是安全的,应该允许它通过,而数据报文通过的链的要做规则检查的规则又有很多,而处于ESTABLISHED状态的连接,要传输的数据报文很多,那么怎么样要它快速通过iptables/netfilter的防火墙的规则检查呢?

1
2
(1)、根据防火墙做数据报文的匹配规则,应该让处于ESTABLISHED状态的连接传输的数据报文快速      通过变卦的规则检查,意思是说:防火墙根据连接追踪功能一发现该数据报文是ESTABLISHED      状态的连接发送的,立马发行。做法:把允许处于ESTABLISHED连接的数据报文通过的策略放       在链的所有规则的最前面。
(2)、状态检测,是连接追踪模块实现的。连接追踪模块在内核内存中维护一张追踪表,记录每个连     接的状态,以及连接处于ESTABLISHED的状态的超时时间和可以追踪多少个连接以及目前正追      踪的连接数等等。注意:要根据实际应用开启或关闭连接追踪功能。

 连接追踪模块可以追踪的连接数量

1
2
[root@stu13 httpd-2.4.9] # cat /proc/sys/net/nf_conntrack_max
  31928

 连接处于ESTABLISHED状态的超时时长

1
2
[root@stu13 /] # cat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
  432000  约等于5天。

 当前追踪的所有连接:

1
2
  [root@stu13 httpd-2.4.9] # cat /proc/sys/net/netfilter/nf_conntrack_count
   3

注意:

    如果,我们启用了iptables/netfilterr 的连接追踪功能的话,当前追踪的所有连接数已经达到连接追踪模块可以追踪的连接数量的上限了,且连接追踪到的连接处于ESTABLISHED状态的连接,还没到失效时间。后续新的连接只能等待,iptables/netfilter的连接追踪表有连接的超时时间到。才可以通过我们的防火墙。而防火墙定义的ESTABLISHED状态的走超时时长为5天,而我们的TCP连接在TCP的各种状态的超时时长,都是很短的。所以。会导致大量的后续新的连接被拒绝。也就是出现连接服务器超时的情况发生。所以,根据实际应用调整这些参数很关键。或比较繁忙的服务器就不应该开启iptables/netflter的连接追踪功能。


iptables/netfilter的连接追踪功能是通过下述扩展模块实现的。

1
2
[root@stu13 httpd-2.4.9] # ll /lib/xtables-1.4.7/ | grep "state"
-rwxr-xr-x. 1 root root  5860 Feb 22  2013 libxt_state.so

提供,允许发往特定端口处于ESTABLISHED状态连接的数据报文通过TCP/IP协议栈,且把该规则放在链的所有规则的最前面。

INPUT表

1
2
[root@stu13 httpd-2.4.9] # iptables -I INPUT 1 --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,22 -m state --state  ESTABLISHED,NEW -j ACCEPT
[root@stu13 httpd-2.4.9] # iptables -D INPUT 2

OUTPUT表:允许处于ESTABLISHED状态连接的数据报文从本机出去。且把该规则放在链的所有规则的最前面。

1
2
[root@stu13 httpd-2.4.9] # iptables -I OUTPUT 1 --src 192.168.60.99 -p tcp -m multiport --sports 80,443,22 -m state --state ESTABLISHE -j ACCEPT
[root@stu13 ~] # iptables -D OUTPUT 2

使用状态检测功能优化后的:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 138 packets, 12760 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      760 49519 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       multiport dports 80,443,22 state NEW,ESTABLISHED
2       14  1128 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3       18   936 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:21 state NEW
4      299 13853 ACCEPT     all  --  *      *       0.0.0.0 /0             192.168.60.99       state RELATED,ESTABLISHED
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
 
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1     1194  153K ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            multiport sports 80,443,22 state ESTABLISHED
2       14  1128 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3      465 30940 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED,ESTABLISHED

分析:

   因为,只要是ESTABLISHED状态的连接的数据报文,是不会有问题的。不需要检测端口了。这样提高了iptable/netfiler检测数据报文的速度。只要是ESTABLISHED状态的连接的数据报文都允许通过。

所以,对上述的INPUT表的第一条规则进行拆分,如下

1
[root@stu13 httpd-2.4.9] # iptables -I INPUT 1 --dst 192.168.60.99 -p tcp -m state --state ESTABLISHED -j ACCEPT

并把发往指定端口的数据报文,进行NEW状态的数据报文检测组成一条规则

1
[root@stu13 httpd-2.4.9] # iptables -I INPUT 2 --dst 192.168.60.99 -p tcp -m multiport --dports 80,443,21,22 -m state --state NEW -j ACCEPT

修改第三条规则

1
[root@stu13 httpd-2.4.9] # iptables -R INPUT 3 --dst 192.168.60.99 -m state --state RELATED -j ACCEPT

删除

1
2
[root@stu13 httpd-2.4.9] # iptables -D INPUT 3
[root@stu13 httpd-2.4.9] # iptables -D INPUT 4

修改后INPUT表变成

1
2
3
4
5
6
7
8
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 129 packets, 11581 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1     4793  374K ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       state ESTABLISHED
2       35  1820 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       multiport dports 80,443,21,22 state NEW
3        7   364 ACCEPT     all  --  *      *       0.0.0.0 /0             192.168.60.99       state RELATED
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
。。。。。。

分析OUTPU表

1
2
3
4
5
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1     3466  482K ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            multiport sports 80,443,22 state ESTABLISHED
2       22  1608 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3      547 36931 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED,ESTABLISHED

分析:跟上述一样,允许处于ESTABLISHED状态的连接的数据报文通过TCP/IP协议栈。修改OUTPUT表的第1条与第3条规则

修改第一条规则

1
[root@stu13 httpd-2.4.9] # iptables -R OUTPUT 1 --src 192.168.60.99 -p tcp -m state --state ESTABLISHED -j ACCEPT
1
修改第三条规则
1
[root@stu13 httpd-2.4.9] # iptables -R OUTPUT 3 --src 192.168.60.99 -m state --state RELATED -j ACCEPT

修改后的OOUPUT表的规则如下:

1
2
3
4
5
6
7
[root@stu13 ~] # iptables --line-numbers -L -n -v
。。。。。
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      794  148K ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            state ESTABLISHED
2       22  1608 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3        0     0 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED

经过使用端口合并和iptables/netfilter的状态追踪功能优化规则表之后:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 540 packets, 53525 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      225 10816 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       state ESTABLISHED
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       multiport dports 80,443,21,22 state NEW
3        0     0 ACCEPT     all  --  *      *       0.0.0.0 /0             192.168.60.99       state RELATED
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
 
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1      194 27924 ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            state ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
3        0     0 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED

3、使用自定义链分成分成等级iptables规则:

如果,防火墙规则很多的话,这样写就显示得很乱,不明了。造成后续添加规则就在很多不便。因为,每种服务的访问量都不一样。简单的合并多个端口的做法并是不很理想。

最好为开放的每个服务都使用一条自定义链。这样,以后我们要为某服务添加或删除规则只要找到该服务对应的自定义链,就可以操作了,很方便。如下:

(1)、为http 80服务自定义一条链

1
2
[root@stu13 ~] # iptables -t filter -N http_in
[root@stu13 ~] # iptables -A http_in -d 192.168.60.99 -p tcp --dport 80  -m state --state NEW -j ACCEPT

INPUT链调用该链

1
[root@stu13 ~] # iptables -I INPUT 2 -d 192.168.60.99 -p tcp --dport 80 -j http_in

如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT

1
[root@stu13 httpd-2.4.9] # iptables -A http_in -j RETURN

(2)、为https 443 服务自定义一条链

1
2
[root@stu13 ~] # iptables -t filter -N https_in
[root@stu13 ~] # iptables -A https_in -d 192.168.60.99 -p tcp --dport 443 -m state --state NEW -j ACCEPT

调用自定义链

1
[root@stu13 httpd-2.4.9] # iptables -I INPUT 3 -d 192.168.60.99 -p tcp --dport 443 -j https_in

如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT

1
[root@stu13 httpd-2.4.9] # iptables -A https_in -j RETURN

(3)为ssh服务自定义一条链

1
2
[root@stu13 ~] # iptables -t filter -N ssh_in
[root@stu13 ~] # iptables -A ssh_in -d 192.168.60.99 -p tcp --dport 22 -m state --state NEW -j ACCEPT

调用该链

1
[root@stu13 httpd-2.4.9] # iptables -I INPUT 4 -d 192.168.60.99 -p tcp --dport 22 -j ssh_in

如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT

1
[root@stu13 httpd-2.4.9] # iptables -A ssh_in -j RETURN

(4)、为vsftp文件服务自定义一条链

1
2
[root@stu13 ~] # iptables -t filter -N vsftp_in
[root@stu13 ~] # iptables -A vsftp_in -d 192.168.60.99 -p tcp --dport 21 -m state --state NEW -j ACCEPT

调用该链

1
[root@stu13 httpd-2.4.9] # iptables -I INPUT 5 -d 192.168.60.99 -p tcp --dport 21 -j vsftp_in

如果,使用自定义规则检测数据报文没有匹配到则返回主链INPUT

1
[root@stu13 httpd-2.4.9] # iptables -A vsftp_in -j RETURN

(5)删除INPUT链的第6条规则(端口合并那条链)

1
[root@stu13 httpd-2.4.9] # iptables -D INPUT 6


使用自定义链后,规则表如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
[root@stu13 ~] # iptables --line-numbers -L -n -v
Chain INPUT (policy DROP 928 packets, 83409 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1     7351  435K ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       state ESTABLISHED
2        6   312 http_in    tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:80
3        0     0 https_in   tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:443
4        2   104 ssh_in     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:22
5        2   104 vsftp_in   tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:21
6        8   416 ACCEPT     all  --  *      *       0.0.0.0 /0             192.168.60.99       state RELATED
7        8   672 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
 
Chain OUTPUT (policy DROP 2 packets, 120 bytes)
num   pkts bytes target     prot opt  in      out      source                destination
1     5842  751K ACCEPT     tcp  --  *      *       192.168.60.99        0.0.0.0 /0            state ESTABLISHED
2        0     0 ACCEPT     all  --  *      *       192.168.60.99        0.0.0.0 /0            state RELATED
3        8   672 ACCEPT     icmp --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
 
Chain http_in (1 references)
num   pkts bytes target     prot opt  in      out      source                destination
1        6   312 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:80 state NEW
2        0     0 RETURN     all  --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
Chain https_in (1 references)
num   pkts bytes target     prot opt  in      out      source                destination
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:443 state NEW
2        0     0 RETURN     all  --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
Chain ssh_in (1 references)
num   pkts bytes target     prot opt  in      out      source                destination
1        2   104 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:22 state NEW
2        0     0 RETURN     all  --  *      *       0.0.0.0 /0             0.0.0.0 /0
 
Chain vsftp_in (1 references)
num   pkts bytes target     prot opt  in      out      source                destination
1        2   104 ACCEPT     tcp  --  *      *       0.0.0.0 /0             192.168.60.99       tcp dpt:21 state NEW
2        0     0 RETURN     all  --  *      *       0.0.0.0 /0             0.0.0.0 /0

说明:

   在INPUT链,根据实际应用情况,服务的访问繁忙程序调整,http_in、https_in、ssh_in、vsftp_in的先后顺序,来优化iptables/netfilter

的效率。

有了自定义链后,数据报文的检查流程如下图:

wKiom1P0LNWBiKtPAASuyAzTig4758.jpg

四、测试优化后的防火墙策略是否成功:

1、测试 http 80 服务

1
2
[root@nfs ~] # curl http://192.168.60.99/index.html
<h1>This Server is OK...< /h1 >

2、测试 ssh 服务

1
2
[root@nfs ~] # ssh 192.168.60.99
Last login: Mon Aug 18 20:21:25 2014 from 192.168.60.88

3、测试vsftp 服务

1
2
3
4
5
6
7
8
9
10
11
12
13
D:\> ftp  192.168.60.99
连接到 192.168.60.99。
220 (vsFTPd 2.2.2)
用户(192.168.60.99:(none)):  ftp
331 Please specify the password.
密码:
230 Login successful.
ftp > get pub /inittab
200 PORT  command  successful. Consider using PASV.
150 Opening BINARY mode data connection  for  pub /inittab  (884 bytes).
226 Transfer complete.
ftp : 收到 884 字节,用时 0.07秒 12.63千字节/秒。
ftp >

4、测试ping

(1)、ping本主机

1
2
3
4
5
6
7
8
9
10
11
D:\> ping  192.168.60.99
正在 Ping 192.168.60.99 具有 32 字节的数据:
来自 192.168.60.99 的回复: 字节=32 时间=1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.60.99 的回复: 字节=32 时间<1ms TTL=64
 
192.168.60.99 的 Ping 统计信息:
     数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
     最短 = 0ms,最长 = 1ms,平均 = 0ms

(2)、本主机ping别的主机

1
2
3
4
5
6
7
[root@stu13 ~] # ping -c 1 192.168.60.88
PING 192.168.60.88 (192.168.60.88) 56(84) bytes of data.
64 bytes from 192.168.60.88: icmp_seq=1 ttl=64  time =0.590 ms
 
--- 192.168.60.88  ping  statistics ---
1 packets transmitted, 1 received, 0% packet loss,  time  5ms
rtt min /avg/max/mdev  = 0.590 /0 .590 /0 .590 /0 .000 ms
1
(3)、回环地址
1
2
3
4
5
6
7
[root@stu13 ~] # ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64  time =0.375 ms
 
--- 127.0.0.1  ping  statistics ---
1 packets transmitted, 1 received, 0% packet loss,  time  0ms
rtt min /avg/max/mdev  = 0.375 /0 .375 /0 .375 /0 .000 ms






     本文转自成长的小虫 51CTO博客,原文链接:http://blog.51cto.com/9528du/1542464 ,如需转载请自行联系原作者


相关文章
|
监控 安全 关系型数据库
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
2021 0
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
|
10月前
|
网络协议 Linux 网络安全
Centos7 防火墙配置+端口设置
Centos7 防火墙配置+端口设置
223 0
Centos7 防火墙配置+端口设置
|
8天前
|
运维 程序员 Linux
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
运维最全Linux 基本防火墙设置和开放端口命令,2024年最新程序员如何自我学习和成长
|
13天前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
|
8月前
|
安全 Linux 网络安全
百度搜索:蓝易云【服务器安全设置Centos7 防火墙firewall与iptables】
CentOS 7使用的默认防火墙是firewall,它是一种基于Netfilter的用户空间工具,用于管理Linux内核中的iptables规则。为了加强服务器的安全性,可以通过配置CentOS 7防火墙和iptables规则来保护服务器。
111 0
|
13天前
|
网络协议 Shell Linux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
48 2
|
6月前
|
Linux 网络安全
防火墙iptable的设置总结
防火墙iptable的设置总结
37 0
|
8月前
|
监控 安全 网络安全
防火墙的设置主要是为了防范什么
防火墙的设置主要是为了防范什么
|
11月前
|
Linux 网络安全
centos下防火墙设置
centos下防火墙设置
228 0
|
11月前
|
Linux 网络安全
Linux | 防火墙设置
Linux | 防火墙设置
109 0