iptables+layer7实现访问控制+netfilter/iptables基础

本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
访问控制,不限时长
简介:

系统环境:RHEL5.4 [ 2.6.18-8.el5xen ]

软件环境:
    http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.25.19.tar.bz2
    http://www.netfilter.org/projects/iptables/files/iptables-1.4.2.tar.bz2

    http://ie.archive.ubuntu.com/sourceforge/l/l7/l7-filter/netfilter-layer7-v2.20.tar.gz
    http://ie.archive.ubuntu.com/sourceforge/l/l7/l7-filter/l7-protocols-2008-10-04.tar.gz

目标功能: 为iptables增加layer7补丁,实现应用层过滤。

一、重新编译内核

    1、合并kernellayer7补丁

shell> tar jxvf linux-2.6.25.19.tar.gz2 -C /usr/src/
shell> tar zxvf netfilter-layer7-v2.20.tar.gz -C /usr/src/

shell> cd /usr/src/linux-2.6.25.19/
shell> patch -p1 < /usr/src/netfilter-layer7-v2.20/kernel-2.6.25-layer7-2.20.patch

    2、配置新内核

shell> cp /boot/config-2.6.18-8.el5 .config    //偷个懒,沿用旧的内核配置
shell> make menuconfig  //执行后,显示下图,安图选择。

附:如//配置内核时,在“Networking ---> Networking Options ---> Network Packet filtering framework (Netfilter) ”处主要注意两个地方(与上图所示相同):
    1) ---> Code Netfilter Configuration
        //将“Netfilter connection tracking suport (NEW)”选择编译为模块(M),需选取此项才能看到layer7支持的配置。
        //layer7stringstatetimeIPseciprangeconnlimit……等编译成模块,根据需要看着办。

    2) ---> IP: Netfilter Configuration
        //将“IPv4 connection tracking support (require for NAT)”编译成模块。
        //将“Full NAT”下的“MASQUERADE target support”和“REDIRECT target support”编译成模块。

注:先查看自己配置的.config文件是否拥有的自己选择的模块, 

vim  /usr/src/linux-2.6.25.19/.config   (查找一下相应模块,避免二次编译内核)

3、编译及安装模块、新内核

shell> make && make modules_install && make install

        //编译安装成后后,重启选择使用新的内核(2.6.25.19)引导系统

修改引导项,

二、重新编译iptables

    1、卸载现有iptables

shell> rpm -e iptables iptstat --nodeps

    2、合并iptableslayer7补丁

shell> tar jxvf iptables-1.4.2.tar.bz2 -C /usr/src/
shell> cd /usr/src/netfilter-layer7-v2.20/iptables-1.4.1.1-for-kernel-2.6.20forward/
shell> cp libxt_layer7.c libxt_layer7.man /usr/src/iptables-1.4.2/extensions/

  3、编译安装

shell> cd /usr/src/iptables-1.4.2/
shell> ./configure --prefix=/ --with-ksource=/usr/src/linux-2.6.25.19
shell> make && make install
    4、安装l7-protocols模式包

[root@host ~]# tar -zxvf l7-protocols-2009-05-10.tar.gz

[root@host ~]# cd l7-protocols-2009-05-10

[root@host l7-protocols-2009-05-10]# make install

mkdir -p /etc/l7-protocols

cp -R * /etc/l7-protocols

三、模块规则示例

简单编写一个shell方便来执行规则。

输写语法要正确,就可以正常执行,测试结果不再贴出。

附录:

1. string(字符串匹配,可以用做内容过滤

# cat string/info   (使用字符模块时,注意要指明算法)

iptables -I FORWARD -m string  --algo bm --string "腾讯" -j DROP 

iptables -I FORWARD -s 192.168.3.159 -m string --algo bm --string "qq.com" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -m string --algo bm --string "宽频影院" -j DROP 

2. comment (备注匹配,可以支持最多256个字符

Supported options: 

--comment COMMENT 

翻译:这个选项增加CONFIG_IP_NF_MATCH_COMMENT,补充一个注释匹配模块.这个匹允许你增加一个备注都任何规则,这个备注最多支持256个字符,例如 

Example:(例子:) 

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online" 

iptables -I FORWARD -s 192.168.3.159 -m string --algo bm --string "qq.com" -j DROP -m comment --comment "denny go to qq.com" 

这样在iptables -L,就看到每条规则后面出现备注的内容.可以提高可读和理解该条规则的作用

这个comment 2.6.x中已经被正式收录

3. connlimit(同时连接个数限制匹配

这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数

Examples: 允许每个客户机同时两个telnet连接

iptables  -A FORWARD  -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT 

你也可以匹配其他的方法

iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT 

# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求

# network (24 bit netmask) 

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT 

模块 connlimit 作用:连接限制 

--connlimit-above n 限制为多少个 

--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip. 

这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用 

例如:只允许每个ip同时580端口转发,超过的丢弃

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP 

例如:只允许每组Cip同时1080端口转发

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP 

例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃

iptables -A INPUT -s 192.1681.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

iptables -A INPUT -s 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

4. time(时间匹配

Match only if today is one of the given days. (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday) 

(只是匹配已经给出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun ;默认每天

(开始日期 日期

Match only if it is after `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 1970) 

(只是匹配这个开始日期值之后的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是1970): 

Match only if it is before `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 2037) 

(只是匹配这个开始日期值之前的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是2037): 

Example: (例子:) 

iptables -A INPUT -m time --timestart 8:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri 

(上面将匹配从到达日期是星期一至星期五时间从8:0018:00的包

iptables -t filter -A OUTPUT -m time --timestart 8:00 --timestop 18:00 --weekdays Mon --date-stop 2012 

(上面将匹配本地产生的时间范围直到2012年为止的每个星期一8:0018:00的包

NOTE: the time match does not track changes in daylight savings time

5. iprange (ip范围匹配)   

这个补丁令匹配源/目标 IP地址可以着给出的地址范围进行匹配 

Examples:(例子) 

iptables -t filter -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT 

这个例子是允许源ip地址范围192.168.1.5-192.168.1.124的包通过 

iptables -t filter -A FORWARD -m iprange --dst-range 10.0.0.0-10.255.255.255 -j ACCEPT 

这个例子是允许目标ip地址范围10.0.0.0-10.255.255.255的包通过

 

 

netfilter/iptables基础学习

1netfilter/iptables 系统简介

Linux 2.4 内核中 netfilter 是新的用来实现防火墙的过滤器,iptables 是用来指定 netfilter

规则的用户工具。

iptables 只是一个管理内核包过滤的工具,它为用户配置防火墙规则提供了方便。

iptables 可以加入、插入或删除内核包过滤表(链)中的规则。实际上真正来执行这些规则

的是 netfilter 及其相关模块。

  

2netfilter/iptables 的用途

建立 Internet 防火墙和基于状态的包过滤

用 NAT 和伪装共享上网

用 NAT 实现透明代理

用修改 IP 包头的 ToS 字段来实现更复杂的功能

和 tc+iprouter2 配合使用可以实现 QoS 路由

3、IPTables 表与链的功能

 IPTables中一共有三张表,分别为filter表,nat表,mangle表

    1》filter表主要用于过滤的作用,在IPTables中几乎所以的过滤都在这个表内完成,它是IPTables中默认执行的表

   filter表中一共有三条链:INPUT链,FORWARD链,OUTPUT链

      INPUT链:过滤所有目标地址是本机的数据包

      FORWARD链:过滤所有路过本机的数据包,也就是目的地址和源地址都还是本机的数据包。

     OUTPUT链:过滤所有由本机产生的数据包,也就是源地址是本机的数据包。

    2》nat表主要用于网络地址转换,对于一个流的数据包只会经过这个表一次,也就是说在如果一个包被允许了转换,那么它后面而来的数据包就不会再nat,而是直接自动的随第一个被转换的数据包流过。

   nat主要有三个转换的方式:DNAT SNAT MASQUERADE

     DNAT: 改变数据包的目的地址,把外网的一个地址重定向到内网的一台主机上。

     SNAT: 改变数据包的源地址,使内网的用户可以连接到外网

     MASQUERADE:与SNAT功能相似,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE 都要查找可用的 IP 地址,而不像SNAT一样,只使用一个固定的地址。

     Nat也有三个链:PREROTING链  POSTROUTING链  OUTPUT链

       PREROUTING链:可以在数据包到达防火墙的时候改变包的目标地址

       POSTROUTING链:在数据包就要离开防火墙时改变数据包的源地址 

       OUTPUT链:可以改变产生的数据包的目标地址

   3》mangle 表不能做任何 NAT,它只是改变数据包的TTLTOS 或 MARK,而不是其源目地址防火墙内的其他的规则或程序可以使用这种标记对包进行过滤或高级路由。这个表有五个内建的链: PREROUTINGPOSTROUTING, OUTPUTINPUT FORWARD

iptables状态机制

4netfilter/iptables 系统的优点

netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains

等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收

信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新

的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。有 种有效状态,

名称分别为 NEWESTABLISHEDRELATED和 INVALID

1、NEW状态:说明这个数据包是收到的第一个数据包。比如收到一个SYN数据包,它是连接的第一个数据包,就会匹配NEW状态。为保障网络安全,可以丢弃NEW状态的数据包。

2、ESTABLISHED状态:只要发送并接到应答,一个数据连接就从NEW变为ESTABLISHED,而且该状态会继续匹配这个连接的后继数据包。ICMP的错误和重定向等信息包也被看作ESTABLISHED,只要数据包是所发出的信息的应答。

3、RELATED状态:当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为RELATED,也就是说一个连接要想是RELATED,首先要有一个ESTABLISHED的连接,这个ESTABLISHED连接再产生一个主连接之外的连接,即RELATED。比如ftp.

4、INVALID状态:说明数据包不能被识别属于哪个连接或没有任何状态。比如内存溢出,收到不知属于哪个连接的ICMP错误信息,一般应DROP这个状态的任何数据。

   5、iptables语法

iptables  语法

      iptables  -t  表格名称  指令  选项  参数

                    nat    --->POSTRPOUTING

                               PREROUTING

                               OUTPUT

                    filter --->INPUT

                               OUTPUT

                               FORWARD

                    指令:

                    -A   --append

                    -D   --delete  链的名称  规则编号

                    -I   --insert  名名  链的名称  规则编号

                    -R   --replace 链的名称  规则编号

                    -N   --new  自定义链名称(要引用后才能生效)

                    -X   --        删除空的,自定义的链

                    -F   --flush   清空链规则

                    -P   --policy   默认策略

                     -Z   --zero    将规则表计数器清零,即已经匹配的数据包清零

 

欢迎跟帖完善......


本文转自 刘园  51CTO博客,原文链接:http://blog.51cto.com/colynn/1098553


相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
Linux 网络安全 数据安全/隐私保护
CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制
CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制
472 0
CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制
|
Linux 网络安全 数据安全/隐私保护
CentOS Stream 9通过配置sshd_config中AllowUsers实现SSH访问控制
CentOS Stream 9通过配置sshd_config中AllowUsers实现SSH访问控制
1534 0
CentOS Stream 9通过配置sshd_config中AllowUsers实现SSH访问控制
|
网络协议 搜索推荐 Linux
SUSE12 SP5系统使用TCP Wrappers实现限制SSH访问控制
SUSE12 SP5系统使用TCP Wrappers实现限制SSH访问控制
352 0
SUSE12 SP5系统使用TCP Wrappers实现限制SSH访问控制
|
安全 网络安全 数据安全/隐私保护
IIS安全:配置web服务器权限更好地实现访问控制
IIS安全:配置web服务器权限更好地实现访问控制
1468 1
|
缓存 安全 测试技术
详细解析工作流Activiti框架中的LDAP组件!实现对工作流目录信息的访问控制和维护
本片文章介绍了工作流Activiti框架在企业中应用的场景,也就是集成LDAP使用,通过将Activiti框架连接企业的LDAP实现对企业用户和群组信息的管理。文章从用法,用例,配置,属性几个方面分别详细说明了Acitivi集成LDAP使用的具体方式。
249 0
详细解析工作流Activiti框架中的LDAP组件!实现对工作流目录信息的访问控制和维护
|
安全 Java 数据管理
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现
前面主要介绍了元数据管理和业务数据的处理,通常一个系统都会有多个用户,不同用户具有不同的权限,本文主要介绍基于RBAC动态权限管理在crudapi中的实现。RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。模型中有几个关键的术语: 用户:系统接口及访问的操作者 权限:能够访问某接口或者做某操作的授权资格 角色:具有一类相同操作权限的用户的总称 。 #### 用户角色权限关系 一个用户有一个或多个角色 一个角色包含多个用户 一个角色有多种权限 一个权限属于多个角色
727 0
基于角色访问控制RBAC权限模型的动态资源访问权限管理实现
|
NoSQL Redis 数据库
我的mqtt协议和emqttd开源项目个人理解(14) - 使用redis插件来实现访问控制
我的mqtt协议和emqttd开源项目个人理解(14) - 使用redis插件来实现访问控制
418 0
|
监控 网络协议 数据安全/隐私保护
|
网络协议 数据安全/隐私保护