iptables 学习
**本博客是学习慕课网课程 用iptables搭建一套强大的安全防护盾 整理而成 **
iptables相当于在ip层挂载一个hook point对用户进行控制
组成: 四张表+ 五条链(hook point) + 规则
四张表: filter表, nat表, mangele表, raw表
默认操作的是filter表, 其他表需要通过-t参数指定
五条链: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING
fileter表: 访问控制,规则匹配
nat 表: 地址转发
数据包在规则表,链匹配流程
数据包访问控制: ACCEPT, DROP, REJECT
数据包改写: SNAT, DNAT
信息记录: LOG
iptables 规则组成
command:
-A 增加,最后一条增加
-D 删除
-L 列出目前的 table 的规则
-F 清空
-P 设置默认的iptables规则
-I 插入规则,在第一条位置插入
-n 一般与-L同时用,让主机名等不显示出来,例如会将anywhere显示为0.0.0.0,ssh端口直接显示为22,类似的netstat这个选项也是这个意思
-v :列出更多的信息,包括通过该规则的封包总位数、相关的网络接口等
–line-number:查看规则列表时,同时显示规则在链中的顺序号
parameter:
-p 协议
-s 源地址
-i :封包所进入的那个网络接口,例如 eth0, lo 等接口。需与 INPUT 链配合
-o :封包所传出的那个网络接口,需与 OUTPUT 链配合
-d 目标地址
--sport 源端口
--dport 目标端口
--dports 目标端口,后面加一个范围
--m tcp | state | multiport 补充协议,
场景一:
规则1: 对所有地址开发本地的tcp(80,22,10-21)端口的访问
规则2: 允许对所有的地址开放本机的基于ICMP协议的数据包访问
规则3: 其他未被允许的端口则禁止访问
设计思路: 先设置白名单,然后是拒绝所有。
iptables -L #列出iptables的规则,可以加-n表示不让主机名显示出来
iptables -F #清除之前设置的规则
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT # 22是ssh端口,服务器程序最后开通该端口
iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT
位置顺序很重要,注意最后一条REJECT需要使用-A参数将拒绝的加在最后面,如果用-I加在前面直接拒绝所有
同时注意允许所有icmp并不会产生特殊的条目在iptables中,在拒绝的语句后面会备注允许icmp包进入,
如下:
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
此时就设置完毕了,可以nmap -sS -p 0-1000 10.10.163.233 来进行端口扫描,查看端口是否开放
如果此时需要更改规则,比如说拒绝80端口的访问,需要先删除再添加
iptables -D INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j REJECT
经过上面的设置目前网路的连接还有两个问题:
问题1: telnet 127.0.0.1 22 访问失败,虽然上面开发22端口,但是本机无法访问本机
问题2: curl http://www.imooc.com/ 本机往外发请求也是无法的,本地无法访问其他主机
本地访问本机,需要设置本地lo网卡允许访问
iptables -I INPUT -i lo -j ACCEPT
-i 参数后加一个设备,上面表示允许所有从lo来的访问
iptables -I INPUT -m state --sate ESTABLISHED,RELATED -j ACCEPT
表示状态为ESTABLISHED和RELATED的连接进行放行,允许其数据包进来
一般ESTABLISHED表示本机主动建立的连接,允许外部练级发送数据进来,否则本机无法主动与外部建立连接,这样就使得curl可以运行,RELATED 是ftp用到的协议
补充: 在场景一的基础上,修改只允许10.103.188.233访问本机的httpd服务:
首先去掉之前允许所有80端口的连接: iptables -D INPUT -p tcp --dport 80 -j ACCEPT
然后允许来自指定ip的连接: iptables -I INPUT -p tcp -s 10.10.188.233 --dport 80 -j ACCEPT
场景二
1.ftp主动模式下iptables的规则配置
2.ftp被动模式下iptables的规则配置
主动模式示意图, client 通过PORT指令上报自己listen的端口,然后ftp server与该端口主动建立连接,发送数据过来
ftp被动模式示意图, client通过PASV指令被动模式,然后ftp server会开一个随机端口进行listen, 并告知client这个端口,client就与该端口建立连接
主动模式
注意:
- ftp连接的默认模式为被动模式
- vsftpd服务支持主动模式需要注意配置选项: port_enable=yes和 connect_from_port_20=yes
- 主动模式下iptables需要开启21端口的访问权限: iptables -I INPUT -p tcp -dport 21 -j ACCEPT, 主动模式下20端口不需要开放,因为主动模式下是通过20端口发送数据而不是接收数据
主动模式需要设置的规则如下:
iptablse -I INPUT -p tcp -dport 21 -j ACCEPT
iptables -I INPUT -p tcp -dport 22 -j ACCEPT # ssh的端口
iptables -I INPUT -p icmp -j ACCEPT
iptables -I INPUT -m stats --state ESTABLISHED,RELATED, -j ACCEPT
iptables -A INPUT -j REJECT
iptables -nL
被动模式
为vsftp指定数据端口,并且通过iptables 开放相应需要传输的端口段
iptables -I INPUT -p tcp -dport 21 -j ACCEPT
vim /etc/vsftpd/vsftpd.conf # 设置pasv_min_port=50000, pasv_max_port=60000这个端口范围
iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT
还可以通过内核的连接追踪模块实现被动模式
场景三
模拟公司常用简单iptables规则场景
要求一: 员工在公司内部(10.10.155.0/24, 10.10.188.0/24) 能访问服务器上的任何服务
要求二: 当员工出差例如在上海,通过VPN连接到公司
外网(员工) == 拨号到==> VPN 服务器 ===> 内网FTP, SAMBA, NFS, SSH
要求三: 公司有一个门户网站需要允许公网访问
常见允许外网访问的服务
网站www: http: 80, https: 443
邮件main: smatp: 25, smtps: 465, pop3: 110, pop3s: 995, imap: 143
iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -m state --sate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -S 10.10.155.0/24 -j ACCEPT
iptables -A INPUT -S 10.10.188.0/24 -j ACCEPT
iptablse -I INPUT -p tcp -dport 80 -j ACCEPT
iptablse -I INPUT -p tcp -dport 1723 -j ACCEPT # vpn端口
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT
在redhat下可以使用/etc/init.d/iptables save 将这些配置信息存储起来,下次机器重启自动加载
默认的保存位置是在/etc/sysconfig/iptables中存储
可以设置iptabels开机启动: chkconfg iptables on
iptables 防火墙nat表规则配置
SNAT : 源地址转换, 作用出口POSTROUTING链
DNAT : 目标地址转换, 作用于进口PREROUTING链
SNAT场景模拟
上面的场景中因为10.10.177.233与10.10.188.173不是在一个网段,所以用client无法直接访问web server
在Nat servers上有两张网卡,与两个子网都能通信,所以需要在nat server上进行设置iptables
如果使用redhat要进行转发需要将/etc/sysctl.conf下的net.ipv4.ip_forward打开,设置为1即可
然后sysctl -p 让配置生效,然后sysctl -a | grep ip_forward进行查看是否生效
iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232
对于本机ip经常变动,指定SNAT IP不太方便,可以用MASQUERADE动态获取,将上面那句改为
iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j MASQUERADE
使用iptables -t nat -nL 进行查看
这样就对来自177网段的数据包源地址进行改写,改写成从188网段出去,
同时需要在10.10.177.233上设置默认网关,进行路由,将数据包都从nat server进行转发
route add 0.0.0.0 gw 10.10.177.232
netstat -rn 可以查看路由表
也可以用 cat /etc/sysconfig/network进行查看
设置好之后就可以正常访问web server了
DNAT场景模拟
SNAT的反向场景的模拟, client 直接访问的是nat Server的ip地址,然后由nat server通过Iptables转换dnat请求http server
这样直接curl nat server的ip地址就可以了
iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.233:80
对于设置一个反向代理来说这上面的还不够,只是设置了反向代理的进入的流量,还需要设置当返回数据的时候再将源地址转换为proxy的地址
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j MASQUERADE
利用iptables 防CC攻击
关于SYN和DDOS攻击,请查看《linux系统扫描技术与安全防范》课程的第六章: http://www.imooc.com/learn/344
connlimit模块
参数: -connlimit-above n #限制并发个数
例:
用于限制不同ip的并发连接数:
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
对于来自10.10.163.232的目标端口为80的连接进行限制,只允许10个连接,可以有效控制并发量:
iptables -I INPUT -p tcp --dport 80 -s 10.10.163.232 -m connlimit --connlimit-above 10 -j REJECT
limit 模块
作用: 限速, 控制流量
例: iptables -A INPUT -m limit --limit 3/hour # 同一个小时允许三个包过来
--limit-burst 默认值为5,表示初始允许多少个包
iptables -A INPUT -p icmp -m limit --limit 1/m --limit-burst 10 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
表示在初始时刻允许10个包过来,随后每分钟允许1个, 不满足这个规则的包直接DROP掉
iptables实例脚本
/bin/sh
modeprobe ipt_MASQUERADE
modeprobe ip_conntrack_ftp
modeprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
####################
iptables -P INPUT DROP # 默认的规则的设置,如果没有满足下面的规则则DROP
iptables -A INPUT -m stat --stat ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 10.10.0.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp -m stat --stat ESTABLISHED.RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP # 限速,限制同一个ip发起的连接个数
iptables -A INPUT -p icmp -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -s 10.10.0.0/24 -j MASQUERADE # MASQUERADE即表示SNAT转发,10.10.0.0/24出去的包更改源地址用ppp0转发出去
iptables -N syn-flood # 自定义一个新链
iptables -A INPUT -p tcp --syn -j syn-flood #将syn包都转发到该链
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 10.10.0.0/24 -m multiport --dport 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 10.10.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 10.10.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 10.10.0.0/24 -j ACCEPT
iptables -A FORWARD -m stat --stat ESTABLISHED,RELATED, -j ACCEPT
iptables -I FORWARD -p udp --dport 53 -m string "tencent" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -p udp --dport 53 -m string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -p udp --dport 53 -m string "tencent" -m time --timestart 13:30 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -p udp --dport 53 -m string "TENCENT" -m time --timestart 13:15 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -s 10.10.0.0/24 -m string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -s 10.10.0.0/24 -m string "qq.com" -m time --timestart 13:15 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -I FORWARD -s 10.10.0.0/24 -m string "ay200.net" -j DROP
iptables -I FORWARD -s 10.10.0.0/24 -m string "eratucism" -j DROP
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
sysctl -w net.ipv4.ip_forward=1 &>/dev/null
sysctl -w net.ipv4.tcp_syncookies=1 &>/dev/null
iptables -I INPUT -s 10.10.0.50 -j ACCEPT # 本机始终可以联系
iptables -I FORWARD -s 10.10.0.50 -j ACCEPT
