EqLlyHJ5w6,694hQRgLWm

linux防火墙简介

来源:济南磐龙笔记本交换机维修作者:济南磐龙防火墙维修网址:http://www.pldtwx.com

linux防火墙简介



隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略;

国内有很多防火墙厂家如:华为、深信服、天融信、网康、启明星辰等等;

市场主流的防火墙叫做下一代防火墙,即能够识别应用层信息并设置安全策略,当然,很多厂家的防火墙设备其软件核心都是linux内核,如天融信、深信服;

iptables

linux中的防火墙功能是由集成在内核中的netfilter组件提供,即内核空间,而iptables只是用户空间的一个工具,用它来调用内核空间的netfilter组件。在centos7上,

firewalld是类似于iptables的一个用户工具;


iptables由四表五链组成:

四表:

filter:



过滤规则表,根据预定义的规则过滤符合条件的数据包nat:




network address translation
地址转换规则表mangle:
修改数据标记位规则表Raw:







关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度

五链:

INPUTOUTPUTFORWARDPREROUTINGPOSTROUTING


结合四表五链,数据流经过防火墙时一般有三种流向:

1、流入本机:PREROUTING流入本机:PREROUTING --> INPUT-->用户空间进程2、流出本机:用户空间进程-->OUTPUT--> POSTROUTING3、转发:PREROUTING --> FORWARD --> POSTROUTING

数据流经过防火墙的具体过程如下:

a、当流量进入防火墙时先检查PREROUTING链,如果此链未设置拒绝策略,则进入下一步;

b、检查路由表,判断此流量是否是发给自己的,如果是发给本防火墙自身的则执行‘c’步骤,如果不是发给本机则执行步骤‘e’

c、先匹配INPUT链,如果此链允许通过,则交由本机进程处理流量数据;

d、本机进程处理结束,封装数据包,并检查OUTPUT链,执行相应策略并转发出去,进入步骤‘f’

e、本机只是转发此数据,交由FORWARD链处理;

f、再次查看路由表,找到去往目标的路径;

g、匹配POSTROUTING链,并执行策略


配置iptablles时需要明确是对哪个表哪个链做什么匹配并执行何种操作

下面我们举个例子说明


iptables -A INPUT -s 192.168.1.101 -j DROP
#未指定具体表,默认是filter表,本例中是对filter表中的INPUT链做操作
#-A是添加链,-s指定源地址,-j是对匹配的数据包执行的操作
#即在filterINPUT链中,匹配来自192.168.1.101访问本机的所有流量,操作是统统丢弃



下面结合例子说明iptables常用的参数:

例子1


iptables -t nat -vnL
#-t指明使用的表的类型,此处使用的是nat
#-v详细信息,-n以数字显示ip地址和端口而不是域名和服务名称,-L列出表上所有链的信息


例子2


iptables -A INPUT ! -s 192.168.1.101 -p icmp --icmp-type 8 -j REJECT
#叹号!表示非,即源地址为非192.168.1.101的所有地址
#-p协议,此处是icmp协议
#--icmp-type 8ping的请求包,一次完整的ping操作由本端的request请求和对端replay回应组成,数字8表示request报文,数字0表示回应replay报文
#-j执行的动作是拒绝,REJECTDROP都是拒绝的意思,但前者会明确回应不可到达,后者则一直不返回任何消息
#此命令含义是源地址非192.168.1.101ping请求报文全部拒绝,也就是说只允许192.168.1.101ping


例子3


iptables -A INPUT -m iprange --src-range 192.168.1.101-192.168.1.102 -p tcp -m multiport --dports 80,22 -j REJECT
#-m显式扩展,iptables必须使用指定模块即iprangemultiport,实现特定功能,从字面意思就能理解模块的意思
#--src-range源地址范围
#--dports多个目标端口,以逗号隔开,如果是连续的端口可以以冒号‘ : ’表示


例子4


iptables -A INPUT -m time --timestart 00:00 --timestop 12:00 -p tcp --dport 80 -j REJECT
#在每天凌晨到中午十二点访问http的服务全部拒绝,此命令中用到了time的扩展模块
iptables -A OUTPUT -m time --timestart 00:00 --timestop 12:00 -m string --algo bm --string 'google' -j REJECT
#在每天凌晨到中午十二点访问包含‘google’字符串的流量全部拒绝
#此命令用到了timestrin的扩展模块,--algo
bm
是字符串匹配算法


例子5


iptables -A INPUT -m connlimit --connlimit-above 1 -p tcp --dport 22 -j REJECT
#ipssh连接超过1个就会拒绝,即每ip只允许一个ssh连接
#ssh使用tcp22端口
#用到了扩展模块connlimit--connlimit-above连接超过多少,--connlimit-upto连接达到多少
iptables -I INPUT -m limit --limit 6/minute --limit-burst 10 -p icmp --icmp-type 8 -j ACCEPT
#扩展模块limit--limit-burst 10表示前10icmp的请求包不做限制
#--limit 6/minute
超过10icmp请求包后,就限制每分钟允许6icmp请求包通过
#此命令实现了对流量的限制


例子6

ftp是文件传输协议,使用tcp连接,但是其控制连接和数据连接使用的tcp端口不同,那么针对这种情况iptables怎么限制呢?

比如,我们只想要192.168.1.101主机能够访问ftp服务器,其他全部拒绝,应该怎么做?

首先我们要明白,ftp的工作原理:

1)、客户端开启随机端口与服务器的21端口建立tcp连接;

2)、双方协商使用何种模式传输数据,在linux上是被动模式,在windows上是主动模式;

3)、所谓被动、主动都是针对服务器端而言的,即服务器是被动接收客户端请求还是主动向客户端发出请求;

4)、此处我们只讨论linux上的被动模式,被动模式服务器与客户端之间建立数据连接使用的都是任意端口

所以在iptables上才不好根据端口限制,不过linux提供状态模块state,可以跟踪多端口的状态,具体请看下面例子


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#扩展模块stateESTABLISHED已经建立的连接,RELATED关联的连接iptables -A INPUT -s 192.168.1.101 -p tcp --dport 21 -m state --state NEW -j ACCEPT
#NEW新建立的连接
#上述两条命令意思就是与tcp21端口建立的连接及其关联的连接(数据连接),和已经建立的连接都执行ACCEPT允许操作
#state模块能够识别ftp的后续数据连接并放行,还是比较智能的iptables -A INPUT -j REJECT
#本例中ftp服务器与防火墙是同一台设备
#默认策略是拒绝所有ip和协议连接到本机
#本例就是只允许ftp连接(控制连接和数据连接),其他任何协议、ip、端口全部拒绝
#注意要达到state记录状态的效果还得安装一个模块,命令为'modprobe nf_conntrack_ftp'



注意:

上述例子全部未指定表类型,所以默认都是在filter表中操作


NAT和端口转发

防火墙还有一个常用的表:nat

NAT就是网络地址转换的意思,根据应用场景分为源NAT(source)、目的NAT(destination),下面我们来分析二者的用途:

SNAT

将数据包的源ip地址转换为特定ip。一般企业内部都会使用私网地址如10.0.0.0/8或者172.16.0.0/16-172.31.0.0/16或者192.168.0.0/24

但是私网地址在公网上是无法得到回应包的,即源地址是私网地址的数据包虽然能够到达目的地,但是目标没有回去的路由信息,即私网地址无法在公网传输。SNAT就是将数据包ip头中的源地址转换为能在公网路由的公网地址,一般用于内网用户访问外网资源,其优点就是节省了公网地址;

SNAT用到nat表中的链有:POSTROUTING

DNAT

SNAT是转换请求方的源ip地址,而DNAT则是转换请求方的目标地址。即防火墙收到请求,读取数据包中的目的ip,并将目的ip转换为内网某台服务器的私网地址然后将数据包转发给那台服务器,一般用于外网用户访问企业内部服务器,其优点是可以隐藏内网服务器ip避免收到***

DNAT用到nat表的链有:PREROUTING

PNAT

端口和ip都可以进行转换,更加灵活


下面三个例子分别说明NAT的三种应用场景:

SNAT


iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j SNAT --to-source 172.32.253.237
#不能再使用默认表,此处使用的是nat表,-j的动作是进行SNAT的转换
#源地址是192.168.1.0/24网段的,访问外网资源时都会转换为172.32.253.237,对于目的而言,其认为数据包是由172.32.253.237发来的,
#而不是192.168.1.0/24中的某一主机发来的
#目标主机回包时的目的地址就是172.32.253.237,由于防火墙本身会有一份表,专门记录私网地址、端口转换为公网地址、端口的对应关系
#所以防火墙会根据这张表找到私网主机,完成整个通信



DNAT


iptables -t nat -A PREROUTING -s 172.18.0.0/16
-d 172.32.253.237 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.101:8080
#172.32.253.237:80转换为192.168.1.101:8080
#完成公网到私网的转换



PAT


iptables -t nat -A PREROUTING -d 192.168.1.101 -p tcp --dport 80 -j REDIRECT --to-ports 8080
#通过改变目标IP和端口,将接收的包转发至不同地址、端口




EqLlyHJ5w6