Kerberos认证原理 一帧数据 LeetCode 人工智能 Transformer css powershell sqlite generics flash knockoutjs 如何做网络营销推广 ios7 vue绑定点击事件 ios视频教程 网络营销视频 abaqus是什么软件 idea全文搜索快捷键 html下拉框默认选中 bootstrap单选按钮 网页设计公司 python断言assert实例 python中的def python代码 java编程实例 java编程学习入门 java连接sql python教程下载 wps2011 flash相册制作 倒计时计时器 如何强行退出小米账号 渐变事件 vue上传文件 eclipse中文版下载 按键精灵脚本教程 msn格式 cad视口旋转 pycharm中文版 脚本网站
当前位置: 首页 > 学习教程  > 编程语言

Linux--防火墙基础与编写防火墙规则(超详细)(netfilter与iptables、四表与五链、数据包过滤的匹配流程、防火墙规则中常用的管理选项及匹配条件)

2020/12/28 19:26:48 文章标签:

文章目录前言一、Linux 防火墙基础1.概述2.netfilter 与 iptables2.1 netfilter2.2 iptables2.3 小结3.iptables 的表、链结构3.1 简介3.2 规则表(四表)3.3 规则链(五链)4.数据包过滤的匹配流程4.1 规则表之间的匹配顺序4.2 规则链…

文章目录

  • 前言
  • 一、Linux 防火墙基础
    • 1.概述
    • 2.netfilter 与 iptables
      • 2.1 netfilter
      • 2.2 iptables
      • 2.3 小结
    • 3.iptables 的表、链结构
      • 3.1 简介
      • 3.2 规则表(四表)
      • 3.3 规则链(五链)
    • 4.数据包过滤的匹配流程
      • 4.1 规则表之间的匹配顺序
      • 4.2 规则链之间的顺序
      • 4.3 规则链内部各条防火墙规则之间的顺序
  • 二、编写防火墙规则
    • 1.安装iptables
    • 2.基本语法
    • 3.常用的控制类型
    • 4.常用的管理选项
      • 4.1 添加新的规则
      • 4.2 查看规则表
      • 4.3 设置默认策略
      • 4.4 删除、清空规则
    • 5.规则的匹配条件
      • 5.1 通用匹配
        • 5.1.1 协议匹配
        • 5.1.2 地址匹配
        • 5.1.3 网络接口匹配
      • 5.2 隐含匹配
        • 5.2.1 端口匹配
        • 5.2.2 ICMP类型匹配
      • 5.3 显示匹配
        • 5.3.1 多端口匹配
        • 5.3.2 IP范围匹配
        • 5.3.3 MAC地址匹配
        • 5.3.4 状态匹配
  • 三、总结


前言

  • 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等
  • 那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢
  • 接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及 CentOS 7 系统中的防火墙 firewalld

一、Linux 防火墙基础

1.概述

  • Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
  • 体现在对包内的 IP 地址、端口等信息的处理上
  • Linux 系统的防火墙基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用

2.netfilter 与 iptables

  • 在许多安全资料中,netfilter 和 iptables 都用来指 Linux 防火墙,往往使读者产生疑惑
  • 两者主要区别如下:

2.1 netfilter

  • 是内核的一部分,由一些数据包过滤表组成,不以程序文或文件的形式存在
  • 这些表包含内核用来控制数据包过滤处理的规则集
  • 属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系

2.2 iptables

  • 是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录
  • 属于“用户态”(User. Space, 又称为用户空间)的防火墙管理体系

2.3 小结

  • 正确认识两者的关系有助于理解 Linux 防火墙的工作方式
  • 两者均可表示Linux防火墙

3.iptables 的表、链结构

3.1 简介

  • iptables的作用是为包过滤机制的实现提供规则(或称为策略),通过各种不同的规则,告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理
  • netfilter/iptables 后期简称为 iptables
  • 为了更方便地组织和管理防火墙规则,iptables 采用了“表”和“链”的分层结构,且表中所有规则配置后,立即生效,不需要重启服务

3.2 规则表(四表)

  • 为了从规则集的功能上有所区别,iptables 管理者四个不同的规则表,其功能分别由独立的内核模块实现
  • 这四个表的名称及包含的链如下图所示
    mark
  • raw 表
    • 确定是否对该数据包进行状态跟踪
    • 包含两个规则链:OUTPUT 和 PREROUTING
  • mangle 表
    • 修改数据包内容,或为数据包设置标记,用来做流量整形、策略路由等高级应用
    • 包含五个规则链:INPUT、 OUTPUT、 FORWARD、 PREROUTING、POSTROUTING
  • nat 表
    • 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口
    • 包含三个规则链:OUTPUT、 PREROUTING、 POSTROUTING
  • filter 表
    • 负责过滤数据包,根据具体的规则要求决定确定如何处理该数据包(过滤)
    • 包含三个规则链:INPUT、 FORWARD、OUTPUT
  • 在 iptables 的四个规则表中,mangle 表和 raw 表的应用相对较少

3.3 规则链(五链)

  • 在处理各种数据包时,根据防火墙规则的不同介入时机,iptables 默认划分为五种不同的规则链
  • INPUT 链: 处理入站数据包,匹配月标IP为本机的数据包
  • OUTPUT 链:处理出站数据包,一般不在此链上做配置
  • FORWARD 链:处理转发数据包,匹配流经本机的数据包
  • PREROUTING 链:在进行路由选择前处理数据包,用来修改目的地址,用来做 DNAT ;相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
  • POSTROUTING 链:在进行路由选择后处理数据包,用来修改源地址,用来做 SNAT ; 相当于内网通过路由器 NAT 转换功能实现内网主机通过一个公网IP地址上网

4.数据包过滤的匹配流程

  • iptables 管理着四个默认表和五种链,各种防火墙规则依次存放在链中

4.1 规则表之间的匹配顺序

  • 当数据包抵达防火墙时,优先顺序为(如果存在):
    raw >> mangle >> nat >> filter

4.2 规则链之间的顺序

  • 根据规则链的划分原则,不同链的处理时机是比较固定的,因此规则链之间的应用顺序取决于数据包的流向
  1. 入站数据流向:
    来自外界的数据包到达防火墙后,首先被 PEROUTING 链处理(是否修改数据包地址等),然后进行路由选择(判断该数据包应该发往何处);如果数据包的目标地址是防火墙本机,那么内核将其传递给 INPUT 链进行处理(决定是否允许通过),通过后再交给系统上层的应用程序进行相应
  2. 转发数据流向:
    来自外界的数据包到达防火墙后,首先被 PREOUTING 链处理,然后再进行路由选择;如果数据包的目标地址是其他外部地址,则内核将其传递给 FORWARD 链进行处理(允许转发、拦截或丢弃),最后交给 POSTROUTING 链进行处理(是否修改数据包的地址等)
  3. 出站数据流向:
    防火墙本机向外部地址发送数据包,首先被 OUTPUT 链处理,然后进行路由选择,再交给 POSTROUTING 链进行处理(是否修改数据包的地址等)

4.3 规则链内部各条防火墙规则之间的顺序

  • 当数据包经过每条规则链时,自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
  • 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

二、编写防火墙规则

1.安装iptables

  • Centos 7默认使用 firewalld 防火墙,没有安装 iptables, 若想使用 iptables 防火墙。必须先关闭 firewalld 防火墙,再安装 iptables
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld

[root@localhost ~]# yum -y install iptables iptables-services.x86_64 
...略
[root@localhost ~]# systemctl start iptables.service 

2.基本语法

使用 iptables 命令管理、编写防火墙规则时,基本的命令格式如下:

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项:

  1. 不指定表名时,默认指 filter 表
  2. 不指定链名时,默认指表内的所有链
  3. 除非设置链的默认策略,否则必须指定匹配条件
  4. 选项、链名、控制类型使用大写字母,其余均为小写

3.常用的控制类型

  1. ACCEPT:允许数据包通过
  2. DROP:直接丢弃数据包,不给出任何回应信息
  3. REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
  4. SNAT:修改数据包的源地址
  5. DNAT:修改数据包的目的地址
  6. MASQUERADE:伪装成一个非固定公网IP地址
  7. LOG: 在 /var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则;LOG只是一种辅助动作,并没有真正处理数据包

4.常用的管理选项

  • 在熟练编写各种防火墙规则之前,首先要掌握查看规则、添加规则、删除规则、清空链内规则等基本操作
  • 下面将介绍 iptables 命令中常用的几个管理选项
选项名功能及特点
-A在指定链的末尾追加(–append)一条新的规则
-I在指定链的开头插入(–insert) 一条新的规则,未指定序号时默认作为第一条规则
-R修改、替换(–replace)指定链中的某一条规则,可指定规则序号或具体内容
-P设置指定链的默认策略(–policy)
-D删除(–delete)指定链中的某一条规则,可指定规则序号或具体内容
-F清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-L列出(–list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-n使用数字形式(–numeric)显示输出结果,如显示IP地址而不是主机名
-v显示详细信息,包括每条规则的匹配包数量和匹配字节数
–line-numbers查看规则时,显示规则的序号

4.1 添加新的规则

  • 添加新的防火墙规则时,使用管理选项“-A”、“-I”,前者用来追加规则,后者用来插入规则
  • 例如,若要在 filter 表 INPUT 链的末尾添加一条防火墙规则,可以执行以下操作(“-p 协议名”作为匹配条件)
[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT 
  • 当使用管理选项“I”时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条
  • 例如,以下操作添加的两条规则将分别位于 filter 表的第一条、第二条,其中省略了“-t filter”选项,默认使用filter表
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

4.2 查看规则表

  • 查看已有的防火墙规则时,使用管理选项“-L”,结合“–line-numbers”选项还可以显示各条规则在链内的顺序号
#基本格式:
iptables [-t 表名] -n -L [链名] [--line-numbers]
  • 例如,若要查看 filter表INPUT链的所有规则,并显示序号,可以执行以下操作
[root@localhost ~]# iptables -L INPUT  --line-numbers 
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     icmp --  anywhere             anywhere            
3    ACCEPT     all  --  anywhere             anywhere            
4    ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
5    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
6    ACCEPT     tcp  --  anywhere             anywhere            
7    REJECT     icmp --  anywhere             anywhere             reject-with icmp-port-unreachable
  • 当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度
  • 例如,若要以数字地址形式查看filter表INPUT链中的所有规则,可以执行以下操作
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

4.3 设置默认策略

  • iptables的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配的数据包的规则时,则执行默认策略
  • 默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种
#基本格式
iptables [-t 表名] -p <链名> <控制类型>
  • 例如,执行以下操作可以将 filter 表中FORWARD链的默认策略设为丢弃,OUTPUT链的默认策略设为允许
iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT
  • 一般在生产环境中设置网络型防火墙、主机型防火墙都要设置默认规则为DROP,并设置白名单,以加强安全性

4.4 删除、清空规则

  • 删除一条防火墙规则时,使用管理选项“-D”
  • 例如,若要删除filter表INPUT链中的第三条规则,可以执行以下操作
    mark
  • 清空指定链或表中所有防火墙规则,使用管理选项“-F”
  • 例如,若要清空filter表INPUT链中的所有规则,可以执行以下操作
[root@localhost ~]# iptables -F INPUT
[root@localhost ~]# iptables -n -L
INPUT        ##确认删除效果 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
  • 使用管理选项“-F”时,允许省略链名,默认清空表所有链的所有规则
  • 例如,执行以下操作分别用来清空filter表、nat表、mangle表
iptables -F
iptables -t nat -F
iptables -t mangle -F
  • 需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响
  • 因此,若要修改默认策略,必须通过管理选项“-P”重新进行设置
  • -P设置了DROP后,使用-F一定要小心!防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则,则可以重启主机解决(买机票吧~)

5.规则的匹配条件

  • 在编写防火墙规则时,匹配条件的设置起着决定性的作用
  • 只有清晰、准确地设置好匹配条件,防火墙才知道对符合什么条件的数据包进行处理,避免“误杀”
  • 对于同一条防火墙规则,可以指定多个匹配条件,表示这些条件必须都满足规则才会生效
  • 根据数据包的各种特征,结合iptables的模块结构,匹配条件的设置包括以下三大类:

5.1 通用匹配

  • 通用匹配也称之为常规匹配,这种匹配方式可以单独使用,不依赖于其他条件或扩展模块
  • 常见的通用匹配包括协议匹配、地址匹配、网络接口匹配

5.1.1 协议匹配

  • 编写iptables规则时使用“-p 协议名”的形式指定,用来检查数据包所使用的网络协议,如TCP、UDP、ICMP(针对所有IP数据包)等
  • 可用的协议类型存放在Linux系统的/etc/protocols文件中
  • 例如,若要丢弃通过icmp协议访问防火墙本机的数据包,允许转发经过防火墙的除ICMP协议之外的数据包
[root@localhost ~]# iptables -I INPUT -p icmp -j DROP 
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT 

5.1.2 地址匹配

  • 编写iptables规则时使用“-s 源地址”或“-d 目标地址”的形式指定,用来检查数据包的源地址或目的地址
  • IP地址、网段地址都是可以接受的,但不建议使用主机名、域名地址,相对而言解析过程会影响效率
  • 例如,若要拒绝转发源地址为192.168.1.11的数据,允许转发源地址位于192.168.7.0/24网段的数据
[root@localhost ~]# iptables -A FORWARD -s 192.168.11.1 -j REJECT 
[root@localhost ~]# iptables -A FORWARD -s 192.168.7.0/24 -j ACCEPT 
  • 当遇到小规模的网络扫描攻击时,封锁IP地址是比较有效的方式
  • 例如,检测到某个网段(10.20.30.0/24)的频繁扫描、登录穷举等不良企图,可以立即添加防火墙以进行封锁
[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP 
[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP 

5.1.3 网络接口匹配

  • 编写iptables规则时使用“-i 接口名”和“-o 接口名”的形式,用于检查数据包从防火墙的哪一个接口接入或发出,分别对应入站网卡、出站网卡
  • 例如,若要丢弃从外网接口(eth1)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作
[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 
[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP 
[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 

5.2 隐含匹配

  • 这种匹配方式要求以指定的协议匹配作为前提条件,相当于子条件,因此无法单独使用,其对应的功能由iptables在需要时自动(隐含)载入内核
  • 常见的隐含匹配包含端口匹配、TCP标记匹配、ICMP类型匹配

5.2.1 端口匹配

  • 编写iptables时使用“–sport 源端口”或“–dport 目标端口”的形式,针对的协议为TCP或UDP,用来检查数据包的源端口或目标端口
  • 单个端口号或以冒号“:”分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式
  • 例如,若要允许为网段 192.168.4.0/24转发DNS查询数据包
[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT 
[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --sport 53 -j ACCEPT 
  • 再例如,构建vsftpd服务器时,若要开放20、21端口,以及被动模式的端口为24500~24600,可以参考以下操作设置防火墙规则
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT 
[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT 
  • 用法
--sport 1000                #匹配源端口是1000的数据包
--sport 1000: 3000          #匹配源端口是1000-3000的数据包
--sport : 3000              #匹配源端口是3000及以下的数据包
--sport 1000:               #匹配源端口是1000及以上的数据包

注意: --sport 和--dport 必须配合-p <协议类型>使用
  • TCP标记匹配
--tcp-flags TCP标记

iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
#丢弃SYN请求包,放行其他包

5.2.2 ICMP类型匹配

  • 编写iptables规则时使用“–icmp-type ICMP类型”的形式,针对的协议为ICMP,用来检查ICMP数据包的类型
  • ICMP类型使用字符串或数字代码表示
    • “Echo-Request”(代码为8)表示请求
    • "Echo-Reply” (代码为0)表示回显
    • "Destinat ion-Unreachable” (代码为3)表示目标不可达
  • 关于其它可用的ICMP 协议类型,可以执行"iptables -p icmp -h”命令,查看帮助信息
iptables -A INPUT -p icmp - icmp-type 8 -j DROP          #禁止其它主机ping本机
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT       #允许本机ping其它主机

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT       #当本机ping不通其它主机时提示目标不可达
#此时其它主机需要配置关于icmp协议的控制类型为REJECT

iptables -A INPUT -p icmp -j REJECT

5.3 显示匹配

  • 这种匹配方式要求有额外的内核模块提供支持,必须手动以“-m 模块名称”的形式调用相应的模块,然后方可设置匹配条件
  • 常见的显示匹配包括多端口匹配、IP范围匹配、MAC地址匹配、状态匹配

5.3.1 多端口匹配

  • 编写iptables规则时使用:
“-m multiport --dports 端口列表”  
“-m multiport --sports 端口列表”  
  • 以上两种形式来检查数据包的源端口、目标端口,多个端口之间以逗号进行分隔
  • 例如,若要允许本机开放80、22、21、20、53端口,以便提供电子邮件服务,可以执行以下操作
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT

5.3.2 IP范围匹配

  • 编写iptables规则时使用以下形式
-m iprang --src-rang IP范围
  • 用来检查数据包的源地址、目标地址,其中IP范围采用“起始地址-结束地址”的形式表示
  • 例如,若要禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP

5.3.3 MAC地址匹配

  • 编写iptables规则时使用以下形式
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP(MAC地址)
#禁止来自某MAC地址的数据包通过本机转发
  • 用来检查数据包的源MAC地址
  • 由于MAC地址本身的局限性,此类匹配条件一般只适用于内部网络

5.3.4 状态匹配

  • 编写iptables规则时候以下形式
-m state --state 连接状态
  • 基于iptables的状态跟踪机制来检查数据包的连接状态
  • 常见的连接状态有:
    • NEW :与任何连接无关的,还没开始连接
    • ESTABLISHED :响应请求或者已建立连接的,连接态
    • RELATED :与已有连接有相关性的(如FTP主被动模式的数据连接),衍生态,一-般与ESTABLISHED配合使用
    • INVALID:不能被识别属于哪个连接或没有任何状态
  • 例如,若要禁止转发与正常TCP连接无关的非–syn 请求数据包(如伪造的网络攻击数据包),可以执行以下操作
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
  • 再例如,若只开放本机的web服务(80端口),但发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃,则对应的入站控制规则可以参考以下操作
iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHD -j ACCEPT
iptables -P INPUT DROP

三、总结

  • netfilter是实现过滤防火墙功能的内核机制,iptables是管理防火墙规则的用户态工具
  • iptables的规则体系默认包括四个表(filter、nat、mangle、raw)和五种链(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)
  • 表的匹配顺序为 raw → mangle → nat → filter
  • 链的匹配顺序取决于具体的数据流向,且遵循“匹配即停止”的原则,但LOG操作除外
  • iptables规则的匹配条件类型包括通用匹配、隐含匹配、显示匹配,其中显示匹配必须以“-m 模块名称”加载模块

本文链接: http://www.dtmao.cc/news_show_550255.shtml

附件下载

相关教程

    暂无相关的数据...

共有条评论 网友评论

验证码: 看不清楚?