《iptables基础及模块高级应用.ppt》由会员分享,可在线阅读,更多相关《iptables基础及模块高级应用.ppt(49页珍藏版)》请在三一办公上搜索。
1、ChinaUNIX技术沙龙iptables基础及模块高级应用,marsaber2009.6.20 西安,主 题 大 纲,一、防火墙的作用及分类二、iptables概述三、iptables流程图四、iptables语法五、iptables模块应用六、实例分析,说明,参考文档:CU_platinum的2 小时玩转 iptables 讲义企业版 v1.5.4 http:/指南 1.1.19 http:/iptables-5.3(kernel-2.6.27、iptables-1.4.1.1),一、防火墙的作用,作用:过滤两个网络间流入流出的数据包,由预先制定的策略来控制访问行为。,防火墙种类(一),1
2、、简单包过滤防火墙;优点:速度快、性能高,对应用程序透明;缺点:只检查报头,不检查数据区,不建立连接状态表,安全性低,应用控制层很弱;2、状态检测包过滤防火墙;优点:安全性高,性能高,缺点:只检查报头,但建立连接状态表,不检查数据区,安全性高,应用控制层很弱;,防火墙种类(二),3、应用代理防火墙;优点:安全性高,提供应用层的安全;缺点:性能差,只支持有限的应用,不透明,不检查报头,不建立连接状态表,检查数据区,网络层保护较弱;4、核检测防火墙;优点:重组并检查会话内容,建立连接状态表;网络层保护强、应用层保护强、会话保护强;缺点:性能差,不透明。,二、iptables概述,Kernel 0.
3、01(1991.9)Kernel 2.0(1994.3.14)ipfwadmKernel 2.2(1999.1.25)ipfwadmKernel 2.4(2001.1.4)Netfilter/iptablesKernel 2.6(2003.12.17)Netfilter/iptables,三、iptables流程图,PREROUTINGRouteFORWARDPOSTROUTING INPUT OUTPUT-local-,四、iptables基本语法,iptables基本语法:iptables-t table command match target1、table,表,filter、nat、m
4、angle、raw;2、command,iptables最重要的部分;3、match,匹配数据包的特征;4、target,对匹配的数据包进行的操作;,4.1、表,filter,用于一般的数据包过滤,针对本机;iptables默认的表;链:INPUT、FORWARD、OUTPUT;nat,仅用于NAT,也就是转换数据包的源地址或目标地址;链:PREROUTING、POSTROUTING、OUT;mangle,用来修改流经防火墙的数据包内容,不能做任何NAT,它只是改变数据包的 TTL,TOS或MARK,而不是其源目地址。强烈建议你不要在这个表里做任何过滤;链:PREROUTING、POSTROU
5、TING、OUTPUT、INPUT和 FORWARD;raw,负责加快数据包穿越防火墙的速度,借此提高防火墙的性能;,4.2、命令(1),-L:查看规则;iptables-L iptables-L-niptables-t nat-L-niptables-L-n-line-numberiptables-t nat-L-n-line-number-P:修改默认规则;iptables-P INPUT DROP备注:为链设置默认的target(可用的是DROP 和ACCEPT),做为最后一条规则被执行,4.2、命令(2),-A:追加规则,做为最后一条规则;iptables-A INPUT-p tcp-
6、dport 22-j ACCEPTiptables-t nat-A PREROUTING-i eth0-p tcp-dport 2222-J DNAT-to 192.168.0.1:22-I:插入规则,不写规则数,默认第1条;iptables-I INPUT 1-p icmp-j ACCEPTiptables-I INPUT 3-p tcp-dport 22-j ACCEPTiptables-t nat-I PREROUTING-i eth0-p tcp-dport 2222-J DNAT-to 192.168.0.1:22,4.2、命令(3),-D:删除规则;iptables-D INPUT
7、 3iptables-D INPUT-s 192.168.0.1-j DROP-R:修改规则;iptables-R INPUT 3-s 192.168.0.1-j ACCEPTiptables-t nat-R POSTROUTING 1-s 192.168.0.1/24,4.2、命令(4),-F:清空规则;iptables-Fiptables-F INPUTiptables-t nat-Fiptables-t nat-F POSTROUTING-Z:把指定链的所有计数器归零;iptables-Ziptables INPUT-Ziptables-t nat-Ziptables-t nat POS
8、TROUTING-Z,4.3 匹配条件,出、入接口(-o、-i)源、目的地址(-s、-d)协议类型(-p)源、目的端口(-sport、-dport),4.3 匹配条件(1),按网络接口匹配-o 匹配数据流出的网络接口iptables-A INPUT-o eth0-j DROPiptables-A INPUT-o ppp0-j DROP备注:将接口eth0、ppp0流出的数据DROP掉;-i 匹配数据流入的网络接口iptables-A INPUT-i eth0-j DROPiptables-A INPUT-i ppp0-j DROP备注:将流入到接口eth0、ppp0的数据DROP掉;,4.3
9、匹配条件(2),按地址匹配-s 匹配源地址iptables-A INPUT-s 192.168.0.1-j DROP#将来自192.168.0.1的任何请求DROP掉;-d 匹配目的地址iptables-A INPUT-d 192.168.0.1-j DROP#将本机发往192.168.0.1的任何请求DROP掉;备注:可以是单个IP(192.168.0.1)、网段(192.168.0.1/24)、域名(),不设则表示任何地址;,4.3 匹配条件(3),按协议类型匹配-p 匹配协议类型iptables-A INPUT-s 192.168.0.1/24-p tcp-dport 22-j DROP
10、#禁止192.168.0.1/24的客户机连接本机22端口iptables-A INPUT-p icmp-j DROP#禁pingiptables-A INPUT-p 1-icmp-type 8-j DROP#可以ping通其他客户机,但是其他客户机ping不通该机;备注:第三条规则中1对应的协议类型是icmp,详情请参照/etc/protocols,4.3 匹配条件(4),按端口匹配-sport 匹配源端口iptables-A INPUT-p tcp-sport 80-j DROP#将来自80端口的请求DROP掉(比如,我向发出请求,回应后,遇到该规则后回应就被拒绝掉);-dport 匹配目
11、的端口iptables-A INPUT-s 192.168.0.1/24-p tcp-dport 80-j DROP#将来自192.168.0.1/24的针对本机80端口的请求DROP掉;备注:1、-sport、-dport必须配合参数-p使用;2、可以指定某个端口,也可以是端口范围,比如:2000(2000以下端口)、2000:3000(2000-3000端口)、3000:(3000以上端口),4.4处理方式(1),ACCEPT 这个target没有任何选项和参数,使用也很简单,指定-j ACCEPT即可。一旦数据包满足了指定的匹配条件,就会被ACCEPT,并且不会再去匹配当前链中的其他规则
12、或同一个表内的其他规则;iptables-P INPUT ACCEPT#修改INPUT的默认规则为ACCEPTiptables-A INPUT-s 192.168.0.1/24-j ACCEPT#允许来自192.168.0.1/24的所有针对本机的所有请求;,4.4处理方式(2),DROP 如果包符合条件,这个target就会把它丢掉,也就是说包的生命到此结束,不会再向前走一步,效果就是包被阻塞了。在某些情况下,这个target会引起意外的结果,因为它不会向发送者返回任何信息,也不会向路由器返回信息,这就可能会使连接的另一方因苦等回音而亡,解决这个问题的较好办法较好的办法是使用REJECT(除
13、了丢弃数据包之外,还向发送者返回错误信息);iptables-A INPUT-s 192.168.0.1-j DROP#将来自192.168.0.1的请求全部DROP掉;iptables-A INPUT-s 192.168.0.1-j REJECT#将来自192.168.0.1的请求全部DROP掉,并向请求者返回错误信息;,4.4处理方式(3),-SNAT 这个target是用来做源网络地址转换的,就是重写包的源IP地址。先在内核里打开ip转发功能,然后再写一个SNAT规则,就可以把所有从本地网络出去的包的源地址改为Internet连接的地址了。SNAT target的作用就是让所有从本地网出
14、发的包看起来都是从一台机子发出的,这台机子一般就是防火墙。iptables-t nat-A POSTROUTING-o eth0-j SNAT-to 1.2.3.4iptables-t nat-A POSTROUTING-s 192.168.0.1/24-j SNAT-to 1.2.3.4备注:eth0为外网网卡接口,192.168.0.1/24为内网网段;,4.4处理方式(4),-j DNAT-to IP-IP:port(nat表的PREROUTING链)用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正
15、确的主机或网络。iptables-t nat-A PREROUTING-d 1.2.3.4-p tcp-dport 80-j DNAT-to 192.168.1.1:80#把所有发往地址1.2.3.4(端口80)的请求都转发到一个LAN使用的私有地址中,即192.168.1.1到 192.168.1.10iptables-t nat-A PREROUTING-d 1.2.3.4-p tcp-dport 80-j DNAT-to 192.168.1.1-192.168.1.10#把所有发往地址1.2.3.4(端口80)的请求都转发到一段LAN使用的私有地址中,即192.168.1.1到 192.
16、168.1.10备注:也就是将内网的服务器映射到外网,通俗点就是端口映射;,4.4处理方式(5),-j MASQUERADE 和SNAT target的作用是一样的,区别就是它不需要指定-to-source,被专门设计用于那些动态获取IP地址的连接的,如果你有固定的IP地址,还是用SNAT target吧。当接口停用时,MASQUERADE不会记住任何连接,这在我们kill掉接口时是有很大好处的。如果我们使用SNAT target,连接跟踪的数据是被保留下来的,而且时间要好几天,这可是要占用很多连接跟踪的内存的。一般情况下,这种处理方式对于拨号上网来说是较好的。即使你有静态的IP,也可以使用M
17、ASQUERADE,而不用SNAT。不过,这不是被赞成的,因为它会带来额外的开销,而且以后还可能引起矛盾。iptables-t nat-A POSTROUTING-o eth0-j MASQUERADEiptables-t nat-A POSTROUTING-s 192.168.0.1/24-j MASQUERADE备注:eth0为外网网卡接口,192.168.0.1/24为内网网段;,4.5规则的匹配方式,规则由第1条开始依次匹配,如果第1条规则不匹配,则匹配第2条规则,如果第2条规则还不匹配则匹配第3条规则,依次论之;如果数据包被第N条规则所匹配,则数据包的存活将由该规则决定;如果规则规定
18、将数据包丢弃,那么数据包就会被丢弃,不会管后面的规则如何如何;不论链中有多少个规则,默认规则(Default Policy)永远都在每一个链的最底端,最后被执行;每个链的默认规则各自独立,且只有一种状态,要么是ACCEPT,要么是DROP;,4.6 备注,规则配置文件/etc/sysconfig/iptablesiptables-saveiptables-restoreservice iptables save#将目前iptables规则保存到/etc/sysconfig/iptables;chkconfig iptables onchkconfig-level 35 iptables on,
19、五、iptables模块应用,很 好!很 强 大!,5.1 iptables模块应用,comment模块iptables-A FORWARD-s 192.168.0.254-j DROP-m comment-comment“DataServer“iptables-A FORWARD-d 192.168.0.254-j DROP-m comment-comment“DataServer“#不允许数据库服务器192.168.0.254访问外网/被外网访问;备注:1、允许你增加一个备注给任何规则,以提高规则的可读性和理解性;2、备注最多支持256个字符。,5.2 iptables模块应用,connl
20、imit模块iptables-A INPUT-p tcp-dport 80-m connlimit-connlimit-above50-j DROP#只允许每个IP同时发起50个80端口的请求,超过的请求将被丢弃;备注:1、很有效的一个模块,确实不错;2、-connlimit-above n 限制为多少个;-connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32,即一个IP;3、可以对付synflood这样的攻击,对于DDoS无效;,5.3 iptables模块应用,iprange模块iptables-A FORWARD-m iprange-src-rang
21、e 192.168.0.3-192.168.0.61-j DROP#不允许内网客户机192.168.0.3-192.168.0.61通过网关上网;备注:1、-src-range源IP;2、-dst-range目的IP;,5.4 iptables模块应用,layer7模块iptables-A FORWARD-m layer7-l7proto qq-j DROP#禁QQiptables-A FORWARD-m layer7-l7proto xunlei-j DROP#禁迅雷iptables-A FORWARD-m layer7-l7proto bittorrent-j DROP#禁BTiptabl
22、es-A FORWARD-m layer7-l7proto edonkey-j DROP#禁电驴备注:Layer7支持的封禁,参照/etc/l7-protocols/protocols/,5.5 iptables模块应用,limit模块iptables A INPUT-m limit-limit 20/second-j DROPiptables A INPUT-m limit limit-burst 10-j DROP备注:1、-limit,为limit match设置最大平均匹配速率,也就是单位时间内limit match可以匹配几个包。它的形式是一个数值加一个时间单位,可以是/second
23、/minute/hour/day。默认值是每小时3次(用户角度),即3/hour,也就是每20分钟一次(iptables角度);2、-limit-burst,定义的是limit match的峰值,就是在单位时间(这个时间由上面的-limit指定)内最多可匹配几个包(由此可见,-limit-burst的值要比-limit的大),默认值是5;,5.6 iptables模块应用,mac模块iptables A INPUT-m mac-limit mac-source XX:XX:XX:XX:XX:XX-j DROP备注:基于包的MAC源地址匹配包,地址格式只能是XX:XX:XX:XX:XX:XX,当
24、然它也可以用英文感叹号取反;,5.7 iptables模块应用,muluiport模块iptables A INPUT-p tcp-m muluiport-dport 21,22,25,80,110-j DROPiptables A INPUT-p tcp-m muluiport-source-port 21,22,25,80,110-j DROPiptables A INPUT-p tcp-m muluiport-destination-port 21,22,25,80,110-j DROP备注:1、-source-port 源端口多端口匹配,最多可以指定15个端口,以英文逗号分隔,注意没有
25、空格;2、-destination-port 目的端口多端口匹配,使用方法和源端口多端口匹配一样,唯一的区别是它匹配的是目的端口;3、-dport 同端口多端口匹配,意思就是它匹配的是那种源端口和目的端口是同一个端口的包,比如:端口80到端口80的包、110到110的包等。使用方法和源端口多端口匹配一样。,5.8 iptables模块应用,owner模块iptables-A OUTPUT-p tcp-dport 22-m owner-uid-owner 500-j DROPiptables-A OUTPUT-p tcp-dport 22-m owner-gid-owner 500-j DROP
26、备注:1、比对来自本机的封包,是否为某特定使用者/组所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出去,可以降低系统被骇的损失,这里的-uid-owner和-gid-owner可以跟用户名、组名、用户ID、组ID;2、没有-pid-owner、-cmd-owner;,5.9 iptables模块应用,recent模块iptables-A INPUT-p tcp-dport 22-syn-m recent-rcheck seconds3600-hitcount 3-rttl-name SSH-rsource-j DROPiptables-A INPUT-p tcp-dpor
27、t 22-syn-m recent-set-name SSH-rsource-j ACCEPTiptables-A INPUT-p tcp-dport 22-j ACCEPT#同一个 IP 在一个小时内只允许建立(或尝试)三次 SSH 联机;备注:请注意 rule 顺序:先设置 recent 条件-j DROP,再设置 recent-set-j ACCEPT,5.10 iptables模块应用,state模块iptables-A INPUT-m state-state ESTABLISHED,RELATED-j ACCEPT备注:1、包状态依据IP所包含的协议不同而不同,但在内核外部,也就是用
28、户空间里,只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。2、NEW:这个包是我们看到的第一个包;3、ESTABLISHED:已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包;只要发送并接到应答,连接就是ESTABLISHED的了 4、RELATED:当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了;5、INVALID:数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个连接的ICMP 错误信息。一般地,我们DROP这个状态的任何东西;,5.11 iptab
29、les模块应用,string模块iptables-A FORWARD-m string-algo bm-string sex-j DROPiptables-A FORWARD-m string-algo bm-string qq-j DROP#过滤关键字;备注:1、String字符串匹配,可以用做内容过滤;2、通过一些模式匹配策略,用这个模块匹配给定的一个字符串。要求:内核版本不能低于2.6.14;,5.12 iptables模块应用,time模块iptables-A FORWARD-m time-timestart 8:00-timestop 18:00-weekdays Mon,Tue,W
30、ed,Thu,Fri-datestop 2010-j ACCEPT备注:1、-timestart value(开始时间):只是匹配在这个值之后的(包括格式HH:MM;默认 00:00);2、-timestop value(结束时间):只是匹配在这个值之前的(包括格式HH:MM;默认 23:59);3、-weekdays listofdays(星期):只是匹配已经给出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun,默认每天,非days;4、-datestart date(开始日期):只是匹配这个开始日期值之后的(包括,格式:YYYY:MM:DD:hh:mm:ss h,m,s s
31、tart from 0,默认是1970;5、-datestop date(结束日期):只是匹配这个开始日期值之前的(包括,格式:YYYY:MM:DD:hh:mm:ss h,m,s start from 0,默认是2037;,六、实例分析,前言:写规则前须先理清思路,明白需求,不可盲目执行规则/脚本(比如远程时,不慎将ssh的22端口DROP掉了);建议将iptables规则写成脚本(方便修正、方便管理);从点点滴滴做起,做好每一件事,养成一个好习惯;,6.1 ftp服务器,#!/bin/bashMOD=/sbin/modprobeIPT=/usr/local/sbin/iptables$MOD
32、 ip_conntrack_ftp$IPT-F$IPT-X$IPT-P INPUT DROP$IPT-A INPUT-i lo-j ACCEPT$IPT-A INPUT-m state-state RELATED,ESTABLISHED-j ACCEPT$IPT-A INPUT-p tcp-sport 21-j ACCEPT$IPT-A INPUT-p tcp-dport 22-j ACCEPT,备 注,1、FTP的主动连接模式,21为监听/响应端口,20为数据传输端口;2、FTP的被动连接模式,21为监听/响应端口,数据传输端口为随机端口;3、该脚本适合客户端(FlashFXP或IE浏览器)
33、被动模式下的连接;4、ip_conntrack_ftp该模块很重要,不加载该模块、依旧使用被动连接的话,vsftpd为例,配置文件中添加:pasv_min_port=9001pasv_max_port=9999防火墙规则中需添加:$IPT-A INPUT-p tcp-dport 9001:9999-j ACCEPT,6.2 网关服务器,#!/bin/bashMOD=/sbin/modprobeIPT=/usr/local/sbin/iptables$MOD ip_conntrack_ftp$MOD ip_nat_ftpecho 1/proc/sys/net/ipv4/ip_forward$IP
34、T-F$IPT-t nat-F$IPT-X$IPT-t nat-X$IPT-t nat-A POSTROUTING-o eth0-j MASQUERADE,备 注,1、这差不多应该是最简单的网关脚本了,这里只是举例,没有一成不变的规则,根据自己的需要写吧!2、开启数据转发功能echo“1”/proc/sys/net/ipv4/ip_forward;3、开启数据转发功能的另外一种办法【推荐】:编辑/etc/sysctl.conf,net.ipv4.ip_forward=14、eth0为外网网卡接口;5、关于MASQUERADE,参照4.4处理方式(5),或者使用man;6、如果有自己的外网固定I
35、P,可以将最后一行规则改成:$IPT-t nat-A POSTROUTING-o eth0-j SNAT-to 1.2.3.4 也可以写成:$IPT-t nat-A POSTROUTING-s 192.168.0.1/24-j SNAT to 1.2.3.4,6.3 对内网用户的控制,#!/bin/bashMOD=/sbin/modprobeIPT=/usr/local/sbin/iptables$MOD ip_conntrack_ftp$MOD ip_nat_ftpecho 1/proc/sys/net/ipv4/ip_forward$IPT-F$IPT-t nat-F$IPT-X$IPT-
36、t nat-X$IPT-t nat-A POSTROUTING-o eth0-j MASQUERADE$IPT-A FORWARD-s 192.168.1.1-j DROP$IPT-A FORWARD-d-j DROP,备 注,1、$IPT-A FORWARD-s 192.168.1.1-j DROP#不允许内网客户机192.168.1.1访问外网;2、$IPT-A FORWARD-d-j DROP#不允许内网客户机访问这个网站,会被解析成IP再去匹配的;/etc/resolv.conf中要有能使用的DNS服务器,否则报错;3、尽管FORWARD默认规则是ACCEPT,但是默认规则永远都是作为
37、最后一条规则被执行的;4、$IPT-A FORWARD-s 192.168.1.1-d-j DROP#不允许内网客户机192.168.1.1访问,访问其他网站、收发邮件等都是被允许的;,6.4 映射内网服务器,#!/bin/bashMOD=/sbin/modprobeIPT=/usr/local/sbin/iptables$MOD ip_conntrack_ftp$MOD ip_nat_ftpecho 1/proc/sys/net/ipv4/ip_forward$IPT-F$IPT-t nat-F$IPT-X$IPT-t nat-X$IPT-t nat-A POSTROUTING-o eth0
38、-j MASQUERADE$IPT-t nat-A PREROUTING-d 1.2.3.4-p tcp-dport 80-j DNAT-to 192.168.0.250:80,备 注,1、这也就是所谓的端口映射了;2、可以指定IP,-d 1.2.3.4,也可以指定网络接口比如,-i eth0;3、另外提供回流问题的解决办法:$IPT-t nat-A PREROUTING-d 1.2.3.4-p tcp-dport 80-j DNAT-to192.168.0.250:80$IPT-t nat-A POSTROUTING-s 192.168.0.1/24-d 192.168.0.250 p tcp-dport 80-j SNAT-to 192.168.0.254小注:192.168.0.254为192.168.0.1/24的网关IP;192.168.0.250为提供web服务的服务器;,谢 谢!,
