Linux 防火墙入门指南

正文索引 [隐藏]

Linux 防火墙配置入门指南

一、简介

iptables

iptables是一个配置 Linux 内核 防火墙的命令行工具,是 netfilter 项目的一部分,也经常代指该内核级防火墙。可以直接配置,也可以通过许多前端和图形界面配置。iptables 用于 ipv4,ip6tables 用于 ipv6

iptables 和 netfilter

iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构

build-home-firewall-with-ipfire-header

规则

规则(rules)其实就是“如果数据包头符合这样的条件,就这样处理”,存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

二、规则表、规则链

​ 表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。

iptabes-tutorial-input-forward-output

​ 链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一 条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据 该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定 义的默认策略来处理数据包。

  1. filter表——三个链:INPUT、FORWARD、OUTPUT

    作用:过滤数据包

    内核模块:iptables_filter

  2. Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT

    作用:用于网络地址转换(IP、端口)

    内核模块:iptable_nat

  3. Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

    作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS

    内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)

  4. Raw表——两个链:OUTPUT、PREROUTING

    作用:决定数据包是否被状态跟踪机制处理

    内核模块:iptable_raw
    (这个是REHL4没有的,不过不用怕,用的不多)

规则表优先级:Raw > mangle > nat > filter

三、常见数据流向场景

入站数据流

1566137244678

转发数据流

1566137507135

出站数据流

1566137805342

四、顺滑的 iptables 操作

iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]

表名:filter, nat, mangle, raw

链名:INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING

动作:

ACCEPT 允许数据包通过

DROP 直接丢弃数据包,不给任何回应信息

REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。

LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

1. 查看指令 --list,-L

iptables --list # 不加表名链名显示所有(默认用 filter 表)
iptables --list INPUT/OUTPUT/FORWARD

1566177762517

(忽略 docker 的那个链啊啊啊,装了 docker 才有,以后有兴趣了去啃 docker 文档去)

2. 添加指令 --append, -A

添加一条新的规则到链尾

iptables -A FORWARD -s 192.168.1.1 -j REJECT
iptables -A INPUT -s 192.168.1.1 -j DROP
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCETP

1566181190228

1566181462751

3. 插入指令 --insert,-I

插入一条新的规则,默认插到链首

iptables --insert INPUT 2 -s 127.0.0.0 -j ACCEPT

1566181611914

4. 删除指令 --delete, -D

删除指令规则

iptables --delte INPUT 2

1566182038722

5. 其他指令 --help, -H

显示帮助

1566182117406

五、防火墙策常用略

1.拒绝进入防火墙的所有ICMP协议数据包

iptables -I INPUT -p icmp -j REJECT

2.允许防火墙转发除ICMP协议以外的所有数据包

iptables -A FORWARD -p ! icmp -j ACCEPT
# 说明:使用“!”可以将条件取反

3.拒绝转发来自192.168.1.10主机的数据,允许转发来自192.168.0.0/24网段的数据

iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
# 说明:注意要把拒绝的放在前面不然就不起作用了啊

4.丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.封堵网段(192.168.1.0/24),两小时后解封。

iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -I FORWARD -s 10.20.30.0/24 -j DROP
at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

# 说明:这个策略咱们借助crond计划任务来完成,就再好不过了。
# [1] Stopped at now 2 hours

6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
# 说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时。

7.允许本机开放从TCP端口20-1024提供的应用服务。

iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

10.禁止转发来自MAC地址为00:0C:29:27:55:3F的和主机的数据包

iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
# 说明:iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。

11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
# 说明:这里用“-m multiport –dport”来指定目的端口及范围

12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包

iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
# 说明:此处用“-m –iprange –src-range”指定IP范围。

13.禁止转发与正常TCP连接无关的非—syn请求数据包

iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
# 说明:“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的,新的嘛!

14.拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包

iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# 说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。

15.只开放本机的web服务(80)、FTP(20、21、20450-20480),放行外部主机发住服务器其它端口的应答数据包,将其他入站数据包均予以丢弃

iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

参考文章传送门