linux iptables配置

防火墙
硬件防火墙
软件防火墙：
应用层防火墙
网络层防火墙：linux包过滤防火墙
linux包过滤防火墙
netfilter：位于linux内核中的包过滤功能体系，称为linux防火墙的“内核态”
iptables：位于/sbin/iptables，管理规则的工具，称为linux防火墙“用户态”

规则链解析：
链的用途：存放一条一条防火墙规则
链的分类依据：处理数据包的不同时机
默认包括五种规则链
INPUT：处理入站数据包
OUTPUT：处理出站数据包
FORWARD：处理转发数据包
POSTROUTING：路由选择之后处理
PREROUTING：路由选择之前处理

包过滤匹配流程
规则表之间的顺序
raw——》——mangle——》nat——》filter
规则链之间的顺序
入站：PREROUTING——》INPUT
出站：OUTPUT——》POSTROUTING
转发：PREROUTING——》FORWARD——》POSTROUTING
规则链内的匹配顺序
顺序比对，匹配即停止（LOG除外）
若无任何匹配，则按该链的默认策略处理
——————————————————————————————————————————
iptables基本用法
管理程序位置：/sbin/iptables
注意事项/整体规律
可以不指定表，默认为filter表
可以不指定链，默认为对应表的所有链
除非设置默认策略，否则必须指定匹配条件
选项/链名/目标操作，用大写字母，其余都小写
指令组成
iptables[-t 表名] 选项 [链名] [条件] [-j 目标操作]
-p：协议号或协议名
[root@stu ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT（在末尾添加一条规则，使tcp可以通过）
[root@stu ~]# iptables -t filter -I INPUT -p udp -j ACCEPT
[root@stu ~]# iptables -t filter -I INPUT 2 -p icmp -j ACCEPT
[root@stu ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere

基本的目标操作
ACCEPT：允许通过/放行
DROP：直接丢弃，不给出任何回应
REJECT：拒绝通过，必要时会给出提示
LOG：记录日志，然后传给下一条规则（匹配即停止，规律的唯一例外）

设置默认规则
所有链的初始默认规则为ACCEPT，通过-P选项可重置默认规则
-ACCEPT或者DROP
[root@stu ~]# iptables -t filter -P INPUT DROP

网络型防火墙
转发数据——》防火墙

基本的匹配条件
通用匹配：
可直接使用，不依赖于其他条件或扩展，
包括网络协议，ip地址，网络接口等条件
隐含匹配：
要求一特定的协议匹配作为前提
包括端口，tcp标记，icmp类型

———————————————————————————————————
类别选项用法 |
通用匹配协议匹配 -p 协议名 |
地址匹配 -s 源地址，-d 目标地址 |
接口匹配 -i 收数据的网卡，-o 发数据的网卡 |
|
隐含匹配端口匹配 --sport 源端口，--dport 目标端口 |
ICMP类型匹配 --icmp-type ICMP类型 |
TCP标记匹配 --tcp-flags 检查哪些位哪些位被设置 |
———————————————————————————————————
(需要取反条件时，用叹号!)
实列：
禁止从客户机174.16.16.120远程访问登陆到本机
iptable -t filter -A INPUT -s 174.16.16.120 -p tcp --dport 22 -j DROP
禁止从客户机174.16.16.120访问svr5上的任何服务
iptable -t filter -A FORWARD -s 174.16.16.120 -d 192.168.4.30 -j DROP

保护特定网络服务
限制对指定服务端口的访问
iptable -t filter -A FORWARD -s 174.16.16.120 -p tcp --dport 20:50 -j DROP
(连续的端口范围可以用冒号分隔)

实列
允许访问wbe服务
[root@svr5 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
允许访问ftp服务
[root@svr5 ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
允许174.16.16.0网段远程登陆192.168.4.30访问ssh
[root@svr5 ~]# iptables -A INPUT -s 174.16.16.0/24 -p tcp --dport 22 -j ACCEPT
拒绝其他任何入站访问
[root@svr5 ~]# iptables -P INPUT DROP

禁ping相关策略处理
临时：
echo 1 > /prot/sys/net/ipv4/icmp_echo_ignore_all
或者
sysctl -w net.ipv4.icmp_echo_ignore_all=1
永久：
vim /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all=1

允许本机ping其他主机，禁止其他主机ping本机
[root@svr5 ~]# iptables -A INPUT -p icmp --icmp-type echO-request -j DROP
[root@svr5 ~]# iptables -A INPUT -p icmp ! --icmp-type echO-request -j ACCEPT

扩展匹配
前提条件：有对应的防火墙模块支持
基本用法：
-m 扩展模块 --扩展条件条件值
实列 -m mac --mac-source 00:0C:29:74:BE:21
常见的扩展条件类型
—————————————————————————————————
类别选项用法 |
扩展匹配状态匹配 -m state --state 状态值 |
mac地址匹配 -m mac --mac-source mac地址 |
|
多端口匹配 -m multiport --sport 源端口列表 |
-m multiport --dport 目标端口列表 |
|
ip范围匹配 -m iprange --src-range ip1-ip2 |
-m iprange --dst-range ip1-ip2 |
—————————————————————————————————

数据包状态跟踪
网络连接的五种状态
NEW：请求建立连接的包，完全陌生的包
ESTABLISHED：将要或者已经建立连接的包
RELATED：与已知某个连接相关联的包
INVALID：无对应连接，以及连接无效的包
UNTRACKED：为跟踪状态的包

丢弃陌生的TCP响应包
防止反弹式攻击
iptables -A INPUT -m state --state NEW -p tcp ! --syn -j DROP
iptables -A FORWARD -m state --state NEW -p tcp ！--syn -j DROP

iptables转发ftp连接的时候
放行被动模式的数据包
启用状态跟踪模块 nf_conntrack_ftp
modprobe -a nf_conntrack_ftp

保护内部网络的通信
允许从内网访问外网的服务
iptable -A FORWARD -s 192.168.4.0/24 -o eth0 -j ACCEPT
iptable -A FORWARD -s 192.168.4.0/24 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
禁止从外网访问内网
iptables -A FORWARD -d 192.168.4.0/24 -i eth0 -m state --state NEW -j DROP

——————————————————————————————————————————————————————

posted @ 2017-07-05 20:20 Hydraxx 阅读(302) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

XxSec

linux iptables配置

公告