1、iptables 详解 redhat5Iptables 原理现在防火墙主要分以下三种类型:包过滤、应用代理、状态检测包过滤防火墙:现在静态包过滤防火墙市面上已经看不到了,取而代之的是动态包过滤技术的防火墙 代理防火墙:因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护,比如大家知道的 SYN攻击、ICMP 洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了 其使用了一种应用协议分析的新技术。状态检测防火墙:其基于动态包过滤技术发展而来,加入了一种状态检测的模块,进一点发展了会话过滤功能,会话状态的保留是有时间限制的,此防火墙还可以对包的内容进行分析
2、,从而避免开放过多的端口。netfilter/iptables IP 数据包过滤系统实际上由 netfilter 和 iptables 两个组件构成。netfilter 是集成在内核中的一部分,其作用是定义、保存相应的规则,而 iptables 是一种工具,用来修改信息的过滤规则及其他配置,我们可以通过 iptables 来设置一些适合我们企业需求环境的规则 ,而这些规则会保存在内核空间之中。netfilter 是 Linux 核心中的一个通用架构,其提供了一系列的表(tables),每个表由若干个链(chains)组成,而每条链可以由一条或若干条规则(rules)组成。实际上 netfilt
3、er 是表的容器,表是链的容器,而链又是规则的容器。filter 表nat 表mangle 表iptables 内置链PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后,目的地不为本机OUTPUT:由本机产生,向外转发POSTROUTIONG:发送到网卡接口之前netfilter 五条链相互关系,即 iptables 数据包转发流程图Iptables 工作流程图iptables 拥有三个表和五条链组成NAT 工作原理Iptables 详细参数表Iptables 基本语法iptables -t 表名 -命令 -匹配 -j 动作/目标i
4、ptables 内置了 filter、nat 和 mangle 三张表,我们可以使用-t 参数来设置对哪张表生效 也可以省略-t 参数,则默认对 filter 表进行操作。具体命令参数可以通过 man iptables 查询 配置 SNAT 命令基本语法iptables -t nat -A POSTROUTING -o 网络接口 -j SNAT -to-source IP 地址配置 DNAT 命令基本语法iptables -t nat -A PREROUTING -i 网络接口 -p 协议 -dport 端口 -j DNAT -to-destination IP 地址企业环境及需求1、企业环境
5、230 台客户机,IP 地址范围为 192.168.0.1192.168.0.254,子网掩码为 255.255.255.0Mail 服务器:IP 地址为 192.168.0.1 子网掩码为 255.255.255.0FTP 服务器:IP 地址为 192.168.0.2 子网掩码为 255.255.255.0WEB 服务器:IP 地址为 192.168.0.3 子网掩码为 255.255.255.0公司网络拓扑图如下:2、配置默认策略所有内网计算机需要经常访问互联网,并且员工会使用即时通信工具与客户进行沟通,企业网络 DMZ 隔离区搭建有 Mail、FTP 和 Web 服务器,其中 Mail
6、和 FTP 服务器对内部员工开放,仅需要对外发布 Web 站点,并且管理员会通过外网进行远程管理,为了保证整个网络的安全性,需要添加 iptables 防火墙并配置相应的策略需求分析企业的内部网络为了保证安全性,需要首先删除所有规则设置,并将默认规则设置为 DROP,然后开启防火墙对于客户端的访问限制,打开 WEB、MSN、QQ 及 MAIL 的相应端口,并允许外部客户端登录 WEB 服务器的 80、22 端口。解决方案1、配置默认策略默认 iptables 已经被安装好了(1 )删除策略iptables -F:清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则iptables -X
7、:清除预设表 filter 中使用者自定链中的规则iptables -Z:清除预设表 filter 中使用者自定链中的规则(2 )设置默认策略设置默认策略为关闭 filter 表的 INPPUT 及 FORWARD 链开启 OUTPUT 链,nat 表的三个链PREROUTING、OUTPUT、POSTROUTING 全部开启 默认全部链都是开启的,所以有些命令可以不操作,另外 mangle 表本文没用到,所以不做处理,mangle 主要用在数据包的特殊变更处理上,比如修改 TOS 等特性。 2、设置回环地址有些服务的测试需要使用回环地址,为了保证各个服务的正常工作,需要允许回环地址的通信,
8、RHCE 课程-RH253Linux 服务器架设笔记二-NFS 服务器配置 己有涉及,如果不设置回环地址,有些服务不能启动 。iptables -A INPUT -i lo -j ACCEPT3、连接状态设置为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT连接跟踪存在四种数据包状态NEW:想要新建连接的数据包INVALID:无效的数据包,例如损坏或者不完整的数据包ESTABLISHED:已经建立连接的数据包RELATED:与已经发送的数据包有关的数据包4
9、、设置 80 端口转发公司网站需要对外开放,所以我们需要开放 80 端口iptables -A FORWARD -p tcp -dport 80 -j ACCEPT5、 DNS 相关设置为了客户端能够正常使用域名访问互联网,我们还需要允许内网计算机与外部 DNS 服务器的数据转发。开启 DNS 使用 UDP、TCP 的 53 端口iptables -A FORWARD -p tcp -dport 53 -j ACCEPTiptables -A FORWARD -p udp -dport 53 -j ACCEPT6、允许访问服务器的 SSH管理员会通过外网进行远程管理,所以我们要开启 SSH 使
10、用的 TCP 协议 22 端口iptables -A INPUT -p tcp -dport 22 -j ACCEPT 7、允许内网主机登录 MSN 和 QQ 相关设置QQ 能够使用 TCP80、8000 、443 及 UDP8000、4000 登录,而 MSN 通过 TCP1863、443 验证。因此只需要允许这些端口的 FORWARD 转发即可以正常登录。iptables -A FORWARD -p tcp -dport 1863 -j ACCEPTiptables -A FORWARD -p tcp -dport 443 -j ACCEPTiptables -A FORWARD -p t
11、cp -dport 8000 -j ACCEPTiptables -A FORWARD -p udp -dport 8000 -j ACCEPTiptables -A FORWARD -p udp -dport 4000 -j ACCEPT注意:当然,如果公司要限制这样即时通信工具的使用,只要禁止这些端口的转发就可以了 特别注意,马化腾这家伙忒坏嘿嘿,端口不固定,QQVIP 会员专用通道什么的,代理登录等等 ,所以我们如果需要封杀就要收集全登录端口及 QQ 服务器地址,根据本人总结,最好在企业实际配置中技术与行政管理相结合,这样达到的效果最好0(_)08、允许内网主机收发邮件客户端发送邮件时访
12、问邮件服务器的 TCP25 端口。接收邮件时访问,可能使用的端口则较多,UDP 协议以及 TCP 协议的端口: 110、143 、993 及 995smtp: rootrhel5 # iptables -A FORWARD -p tcp -dport 25 -j ACCEPTpop3: rootrhel5 # iptables -A FORWARD -p tcp -dport 110 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 110 -j ACCEPTimap: rootrhel5 # iptables -A FORWARD
13、 -p tcp -dport 143 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 143 -j ACCEPTimaps: rootrhel5 # iptables -A FORWARD -p tcp -dport 993 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 993 -j ACCEPTpop3s: rootrhel5 # iptables -A FORWARD -p tcp -dport 995 -j ACCEPT rootrhel5 # iptable
14、s -A FORWARD -p udp -dport 995 -j ACCEPT9、 NAT 端口映射设置由于局域网的地址为私网地址,在公网上不合法 所以必须将私网地址转为服务器的外部地址进行地址映射 连接外网接口为 ppp0 iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADEMASQUERADE 和 SNAT 作用一样 相样是提供源地址转换的操作,但是 MASQUERADE 是针对外部接口为动态 IP 地址来设置滴,不需要使用-to-source 指定转换的 IP 地址。如果网络采用的是拨号方式接入互联
15、网,而没有对外的静态 IP 地址(主要用在动态获取 IP地址的连接,比如 ADSL 拨号、DHCP 连接等等),那么建议使用 MASQUERADE 注意:MASQUERADE 是特殊的过滤规则,其只可以映射从一个接口到另一个接口的数据 10、内网机器对外发布 WEB 网站内网 WEB 服务器 IP 地址为 192.168.0.3,我们需要进行如下配置 ,当公网客户端访问服务器时,防火墙将请求映射到内网的 192.168.0.3 的 80 端口iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to-destinatio
16、n 192.168.0.3:8011、保存与恢复 iptables 配置保存:iptables-saveiptables-save -c -t 表名-c:保存包和字节计数器的值。可以使在重启防火墙后不丢失对包和字节的统计-t:用来保存哪张表的规则,如果不跟-t 参数则保存所有的表可以使用重定向命令来保存这些规则集iptables-save /etc/iptables-save恢复:iptables-restoreiptables-restore -c -n-c:如果加上-c 参数则表示要求装入包和字节计数器-n:表示不覆盖己有的表或表内的规则,默认情况下是清除所有己存在的规则使用重定向来恢复由 iptables-save 保存的规则集iptables-restore /etc/iptables-save如果要在服务或系统重启后依然生效service iptables save12、最终 iptables 配置如下rootrhel5 # iptables -L
