目录
一.防火墙的概述
二.iptables基本原理
1.iptables防火墙具有4表5链
2.iptables命令的基本使用方法
三.filter过滤和转发控制
2.网络型防火墙案例
四.防火墙扩展规则
1.根据MAC地址过滤
2.基于多端口设置过滤规则
3.根据IP地址范围设置规则
五.配置SNAT实现共享上网
1.配置SNAT策略的概述
2.搭建内外网案例
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用。相同点: firewalld 和 iptables 防火墙都属于典型的包过滤防火墙或称之为网络层防火墙, firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能, 内部结构都指向 netfilter 这一强大的网络过滤子系统(属于内核态)以实现包过滤放火墙功能
不同点:**iptables:**是一种为包过滤机制的实现提供规则(或称为策略),通过各种不同的规则,告诉 netfilter 对来自某些源、前往某些目的地的或具有某些协议特征的数据包应该如何处理,iptables 采用了“表” 和 “链” 的分层结构。配置文件位于/etc/sysconfig/iptables ;它一种静态防火墙 ;需要全部刷新策略否则丢失连接。
firewalld: firewalld 防火墙是CentOS 7 版本系统默认的防火墙管理工具,取代了之前的 iptables 防 火墙, firewalld 防火墙最大的优点在于支持动态更新以及加入了防火墙 “zone”(区)的概念,firewalld防火墙同时支持IPv4地址和IPv6地址。可以通过字符管理工具 firewall-config 和 图形化管理工具firewall-config 进行管理。优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用默认配置文件 /usr/lib/firewalld 中的数据。它有两种配置方法:运行时配置(不需要刷新);永久配置(需要刷新)。
4表分别是filter表、nat表、raw表、mangle表,
5链分别是INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链。防火墙规则要求写在特定表的特定链中
熟悉iptables框架 1)iptables的4个表(区分大小写): iptables默认有4个表, nat表(地址转换表) filter表(数据过滤表) raw表(状态跟踪表) mangle表(包标记表)。 2)iptables的5个链(区分大小写): INPUT链(入站规则) OUTPUT链(出站规则) FORWARD链(转发规则) PREROUTING链(路由前规则) POSTROUTING链(路由后规则)
1)iptabels语法格式
iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作][root@proxy ~]# iptables -t filter -I INPUT -p icmp -j REJECT [root@proxy ~]# iptables -F #清空所有规则 [root@proxy ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT [root@proxy ~]# iptables -I INPUT -p icmp -j REJECT注意事项与规律:
//icmp协议(ping)
可以不指定表,默认为filter表
可以不指定链,默认为对应表的所有链
按顺序匹配,匹配即停止,如果没有找到匹配条件,则执行防火墙默认规则
选项/链名/目标操作用大写字母,其余都小写
目标操作:
ACCEPT:允许通过/放行
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志,然后传给下一条规则
iptables防火墙规则的条件 iptables防火墙可以根据很多规则进行过滤行为,具体常用的过滤条件
2)iptables命令的使用案例
[root@proxy ~]# iptables -F #清空所有规则(不指定表默认filter) #-t 依次删除4个表的规则,如:iptables -t nat -F [root@proxy ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT #追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机 [root@proxy ~]# iptables -I INPUT -p udp -j ACCEPT(不写t默认filter) -I与-A的区别:排序-I在前加,-A在后加 #插入规则至filter表中的INPUT链的开头,允许任何人使用UDP协议访问本机 [root@proxy ~]# iptables -I INPUT 2 -p icmp -j ACCEPT #插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机 查看iptables防火墙规则 [root@proxy ~]# iptables -nL INPUT #仅查看INPUT链的规则(指定链,不指定链默认所有)前面加- t指定哪一个表的链接,如:iptables -t nat -nL OUTPUT target prot opt source destination ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 防火墙自上而下匹配即停止 [root@proxy ~]# iptables -L INPUT --line-numbers #查看规则,显示行号 num target prot opt source destination 1 ACCEPT udp -- anywhere anywhere 2 ACCEPT icmp -- anywhere anywhere 3 ACCEPT tcp -- anywhere anywhere 删除规则,清空所有规则 [root@proxy ~]# iptables -D INPUT 3 #删除filter表中INPUT链的第3条规则 [root@proxy ~]# iptables -nL INPUT #查看规则,确认是否删除 [root@proxy ~]# iptables -F #清空filter表中所有链的防火墙规则 [root@proxy ~]# iptables -t nat -F #清空nat表中所有链的防火墙规则 [root@proxy ~]# iptables -t mangle -F #清空mangle表中所有链的防火墙规则 [root@proxy ~]# iptables -t raw -F #清空raw表中所有链的防火墙规则 设置防火墙默认规则 [root@proxy ~]# iptables -t filter -P INPUT DROP #设置INPUT链默认规则为DROP [root@proxy ~]# iptables -nL Chain INPUT (policy DROP) … … [root@proxy ~]# iptables -t filter -P INPUT ACCEPT #设置INPUT链默认规则为ACCEPT
根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙
主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。
网络防火墙,主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等。
1.主机型防火墙案例
[root@proxy ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT [root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT [root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT [root@proxy ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT [root@proxy ~]# iptables -A INPUT -s 192.168.2.0/24 -j DROP #丢弃192.168.2.0/24网络中所有主机发送给本机的所有数据包 [root@proxy ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22 -j REJECT #拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)
1)网络型防火墙案例准备
2)client主机配置IP、添加网关(网卡名称仅供参考,不能照抄)
[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf #修改/etc/sysctl.conf配置文件,可以实现永久有效规则,开启路由转发3)在web1主机上启动http服务
[root@proxy ~]# iptables -A INPUT -p icmp \ --icmp-type echo-request -j DROP #仅禁止入站的ping请求,不拒绝入站的ping回应包注意:关于ICMP的类型,可以参考help帮助,参考命令如下:
[root@proxy ~]# iptables -p icmp --help
iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下: iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
1)根据IP过滤的规则,当对方修改IP后,防火墙会失效
[root@proxy ~]# iptables -F [root@proxy ~]# iptables -I INPUT -s 192.168.4.10 -p tcp --dport 22 -j DROP #设置规则禁止192.168.4.10使用ssh远程本机但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开。 根据MAC地址过滤,可以防止这种情况的发生。
[root@client ~]# ip link show eth0 #查看client的MAC地址 eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000 link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff [root@proxy ~]# iptables -A INPUT -p tcp --dport 22\ -m mac --mac-source 52:54:00:00:00:0b -j DROP #拒绝52:54:00:00:00:0b这台主机远程本机
1)一次需要过滤或放行很多端口时会比较方便
[root@proxy ~]# iptables -A INPUT -p tcp \ -m multiport --dports 20,25,80,110,143,16501:16800 -j ACCEPT #一次性开启20,25,80,110,143,16501到16800所有的端口提示,多端口还可以限制多个源端口,但因为源端口不固定,一般不会使用,限制多个源端口的参数是--sports.
1)允许从 192.168.4.10-192.168.4.20 主机ssh远程登录本机
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \ -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT注意,这里也可以限制多个目标IP的范围,参数是--dst-range,用法与--src-range一致。
2)禁止从 192.168.4.0/24 网段其他的主机ssh远程登录本机
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP 查看模块帮助:man iptables-extensions
1)当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
2)如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
3)如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出
1)环境
这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。 现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.10在访问网页。 我们需要实现的效果是,client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。
2) 设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)
1)确保proxy主机开启了路由转发功能 [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward #开启路由转发 2)设置防火墙规则,实现SNAT地址转换 [root@proxy ~]# iptables -t nat -A POSTROUTING \ -s 192.168.4.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.5 3)登陆web主机查看日志 [root@web1 ~]# tail /var/log/httpd/access_log .. .. 192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器
4)动态伪装IP
[root@proxy ~]# iptables -t nat -A POSTROUTING \ -s 192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE最后,所有iptables规则都是临时规则,如果需要永久保留规则需要执行如下命令:
安装iptables-services并启动服务,保存防火墙规则。
[root@proxy ~]# yum -y install iptables-services [root@proxy ~]# systemctl start iptables.service [root@proxy ~]# systemctl enable iptables.service [root@proxy ~]# iptables -F [root@proxy ~]# service iptables save #保存防火墙规则 ADSL: 家庭带宽
部分图片来自:https://www.cnblogs.com/fengdejiyixx/p/12506945.html