1 | iptables
|
2 | ===
|
3 |
|
4 | Linux上常用的防火墙软件
|
5 |
|
6 | ## 补充说明
|
7 |
|
8 | **iptables命令** 是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。
|
9 |
|
10 |
|
11 |
|
12 | - [补充说明](#补充说明)
|
13 | - [语法](#语法)
|
14 | - [选项](#选项)
|
15 | - [基本参数](#基本参数)
|
16 | - [命令选项输入顺序](#命令选项输入顺序)
|
17 | - [工作机制](#工作机制)
|
18 | - [防火墙的策略](#防火墙的策略)
|
19 | - [防火墙的策略](#防火墙的策略-1)
|
20 | - [实例](#实例)
|
21 | - [清空当前的所有规则和计数](#清空当前的所有规则和计数)
|
22 | - [配置允许ssh端口连接](#配置允许ssh端口连接)
|
23 | - [允许本地回环地址可以正常使用](#允许本地回环地址可以正常使用)
|
24 | - [设置默认的规则](#设置默认的规则)
|
25 | - [配置白名单](#配置白名单)
|
26 | - [开启相应的服务端口](#开启相应的服务端口)
|
27 | - [保存规则到配置文件中](#保存规则到配置文件中)
|
28 | - [列出已设置的规则](#列出已设置的规则)
|
29 | - [清除已有规则](#清除已有规则)
|
30 | - [删除已添加的规则](#删除已添加的规则)
|
31 | - [开放指定的端口](#开放指定的端口)
|
32 | - [屏蔽IP](#屏蔽ip)
|
33 | - [指定数据包出去的网络接口](#指定数据包出去的网络接口)
|
34 | - [查看已添加的规则](#查看已添加的规则)
|
35 | - [启动网络转发规则](#启动网络转发规则)
|
36 | - [端口映射](#端口映射)
|
37 | - [字符串匹配](#字符串匹配)
|
38 | - [阻止Windows蠕虫的攻击](#阻止windows蠕虫的攻击)
|
39 | - [防止SYN洪水攻击](#防止syn洪水攻击)
|
40 |
|
41 |
|
42 |
|
43 | ### 语法
|
44 |
|
45 | ```shell
|
46 | iptables(选项)(参数)
|
47 | ```
|
48 |
|
49 | ### 选项
|
50 |
|
51 | ```shell
|
52 | -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。
|
53 |
|
54 | # 通用匹配:源地址目标地址的匹配
|
55 | -p:指定要匹配的数据包协议类型;
|
56 | -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0。
|
57 | -d, --destination [!] address[/mask] :地址格式同上,但这里是指定地址为目的地址,按此进行过滤。
|
58 | -i, --in-interface [!] <网络接口name> :指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反。
|
59 | -o, --out-interface [!] <网络接口name> :指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
|
60 |
|
61 | # 查看管理命令
|
62 | -L, --list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则。
|
63 |
|
64 | # 规则管理命令
|
65 | -A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定。
|
66 | -I, --insert chain [rulenum] rule-specification 在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号。
|
67 | -D, --delete chain rule-specification -D, --delete chain rulenum 在指定的链 chain 中删除一个或多个指定规则。
|
68 | -R num:Replays替换/修改第几条规则
|
69 |
|
70 | # 链管理命令(这都是立即生效的)
|
71 | -P, --policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。
|
72 | -F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
|
73 | -N, --new-chain chain 用指定的名字创建一个新的链。
|
74 | -X, --delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。
|
75 | -E, --rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响。
|
76 | -Z, --zero [chain] :把指定链,或者表中的所有链上的所有计数器清零。
|
77 |
|
78 | -j, --jump target <指定目标> :即满足某条件时该执行什么样的动作。target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链。
|
79 | -h:显示帮助信息;
|
80 | ```
|
81 |
|
82 | ## 基本参数
|
83 |
|
84 | | 参数 | 作用 |
|
85 | | ---- | ---- |
|
86 | | -P | 设置默认策略:iptables -P INPUT (DROP|ACCEPT) |
|
87 | | -F | 清空规则链 |
|
88 | | -L | 查看规则链 |
|
89 | | -A | 在规则链的末尾加入新规则 |
|
90 | | -I | num 在规则链的头部加入新规则 |
|
91 | | -D | num 删除某一条规则 |
|
92 | | -s | 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 |
|
93 | | -d | 匹配目标地址 |
|
94 | | -i | 网卡名称 匹配从这块网卡流入的数据 |
|
95 | | -o | 网卡名称 匹配从这块网卡流出的数据 |
|
96 | | -p | 匹配协议,如tcp,udp,icmp |
|
97 | | --dport num | 匹配目标端口号 |
|
98 | | --sport num | 匹配来源端口号 |
|
99 |
|
100 | #### 命令选项输入顺序
|
101 |
|
102 | ```shell
|
103 | iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
|
104 | ```
|
105 |
|
106 | #### 工作机制
|
107 |
|
108 | 规则链名包括(也被称为五个钩子函数(hook functions)):
|
109 |
|
110 | - **INPUT链** :处理输入数据包。
|
111 | - **OUTPUT链** :处理输出数据包。
|
112 | - **FORWARD链** :处理转发数据包。
|
113 | - **PREROUTING链** :用于目标地址转换(DNAT)。
|
114 | - **POSTOUTING链** :用于源地址转换(SNAT)。
|
115 |
|
116 | #### 防火墙的策略
|
117 |
|
118 | 防火墙策略一般分为两种,一种叫`通`策略,一种叫`堵`策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,`所以通,是要全通,而堵,则是要选择`。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。
|
119 |
|
120 | 我们现在用的比较多个功能有3个:
|
121 |
|
122 | 1. filter 定义允许或者不允许的,只能做在3个链上:INPUT ,FORWARD ,OUTPUT
|
123 | 2. nat 定义地址转换的,也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
|
124 | 3. mangle功能:修改报文原数据,是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
|
125 |
|
126 | 我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。
|
127 |
|
128 | 小扩展:
|
129 |
|
130 | - 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT
|
131 | - 对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
|
132 | - 而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
|
133 |
|
134 | iptables/netfilter(这款软件)是工作在用户空间的,它可以让规则进行生效的,本身不是一种服务,而且规则是立即生效的。而我们iptables现在被做成了一个服务,可以进行启动,停止的。启动,则将规则直接生效,停止,则将规则撤销。
|
135 |
|
136 | iptables还支持自己定义链。但是自己定义的链,必须是跟某种特定的链关联起来的。在一个关卡设定,指定当有数据的时候专门去找某个特定的链来处理,当那个链处理完之后,再返回。接着在特定的链中继续检查。
|
137 |
|
138 | 注意:规则的次序非常关键,`谁的规则越严格,应该放的越靠前`,而检查规则的时候,是按照从上往下的方式进行检查的。
|
139 |
|
140 |
|
141 | 表名包括:
|
142 |
|
143 | - **raw** :高级功能,如:网址过滤。
|
144 | - **mangle** :数据包修改(QOS),用于实现服务质量。
|
145 | - **nat** :地址转换,用于网关路由器。
|
146 | - **filter** :包过滤,用于防火墙规则。
|
147 |
|
148 | 动作包括:
|
149 |
|
150 | - **ACCEPT** :接收数据包。
|
151 | - **DROP** :丢弃数据包。
|
152 | - **REDIRECT** :重定向、映射、透明代理。
|
153 | - **SNAT** :源地址转换。
|
154 | - **DNAT** :目标地址转换。
|
155 | - **MASQUERADE** :IP伪装(NAT),用于ADSL。
|
156 | - **LOG** :日志记录。
|
157 | - **SEMARK** : 添加SEMARK标记以供网域内强制访问控制(MAC)
|
158 |
|
159 | ```shell
|
160 | ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
|
161 | ┌───────────────┐ ┃ Network ┃
|
162 | │ table: filter │ ┗━━━━━━━┳━━━━━━━┛
|
163 | │ chain: INPUT │◀────┐ │
|
164 | └───────┬───────┘ │ ▼
|
165 | │ │ ┌───────────────────┐
|
166 | ┌ ▼ ┐ │ │ table: nat │
|
167 | │local process│ │ │ chain: PREROUTING │
|
168 | └ ┘ │ └─────────┬─────────┘
|
169 | │ │ │
|
170 | ▼ │ ▼ ┌─────────────────┐
|
171 | ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅ │ ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅ │table: nat │
|
172 | Routing decision └───── outing decision ─────▶│chain: PREROUTING│
|
173 | ┅┅┅┅┅┅┅┅┅┳┅┅┅┅┅┅┅┅┅ ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅ └────────┬────────┘
|
174 | │ │
|
175 | ▼ │
|
176 | ┌───────────────┐ │
|
177 | │ table: nat │ ┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅ │
|
178 | │ chain: OUTPUT │ ┌─────▶ outing decision ◀──────────────┘
|
179 | └───────┬───────┘ │ ┅┅┅┅┅┅┅┅┳┅┅┅┅┅┅┅┅
|
180 | │ │ │
|
181 | ▼ │ ▼
|
182 | ┌───────────────┐ │ ┌────────────────────┐
|
183 | │ table: filter │ │ │ chain: POSTROUTING │
|
184 | │ chain: OUTPUT ├────┘ └──────────┬─────────┘
|
185 | └───────────────┘ │
|
186 | ▼
|
187 | ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
|
188 | ┃ Network ┃
|
189 | ┗━━━━━━━━━━━━━━━┛
|
190 | ```
|
191 |
|
192 |
|
193 | ### 实例
|
194 |
|
195 | #### 清空当前的所有规则和计数
|
196 |
|
197 | ```shell
|
198 | iptables -F # 清空所有的防火墙规则
|
199 | iptables -X # 删除用户自定义的空链
|
200 | iptables -Z # 清空计数
|
201 | ```
|
202 |
|
203 | #### 配置允许ssh端口连接
|
204 |
|
205 | ```shell
|
206 | iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
|
207 | # 22为你的ssh端口, -s 192.168.1.0/24表示允许这个网段的机器来连接,其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求
|
208 | ```
|
209 |
|
210 | #### 允许本地回环地址可以正常使用
|
211 |
|
212 | ```shell
|
213 | iptables -A INPUT -i lo -j ACCEPT
|
214 | #本地圆环地址就是那个127.0.0.1,是本机上使用的,它进与出都设置为允许
|
215 | iptables -A OUTPUT -o lo -j ACCEPT
|
216 | ```
|
217 |
|
218 | #### 设置默认的规则
|
219 |
|
220 | ```shell
|
221 | iptables -P INPUT DROP # 配置默认的不让进
|
222 | iptables -P FORWARD DROP # 默认的不允许转发
|
223 | iptables -P OUTPUT ACCEPT # 默认的可以出去
|
224 | ```
|
225 |
|
226 | #### 配置白名单
|
227 |
|
228 | ```shell
|
229 | iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT # 允许机房内网机器可以访问
|
230 | iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT # 允许机房内网机器可以访问
|
231 | iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口
|
232 | ```
|
233 |
|
234 | #### 开启相应的服务端口
|
235 |
|
236 | ```shell
|
237 | iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口,因为web对外都是这个端口
|
238 | iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping
|
239 | iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来
|
240 | ```
|
241 |
|
242 | #### 保存规则到配置文件中
|
243 |
|
244 | ```shell
|
245 | cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份,请保持这一优秀的习惯
|
246 | iptables-save > /etc/sysconfig/iptables
|
247 | cat /etc/sysconfig/iptables
|
248 | ```
|
249 |
|
250 | #### 列出已设置的规则
|
251 |
|
252 | > iptables -L [-t 表名] [链名]
|
253 |
|
254 | - 四个表名 `raw`,`nat`,`filter`,`mangle`
|
255 | - 五个规则链名 `INPUT`、`OUTPUT`、`FORWARD`、`PREROUTING`、`POSTROUTING`
|
256 | - filter表包含`INPUT`、`OUTPUT`、`FORWARD`三个规则链
|
257 |
|
258 | ```shell
|
259 | iptables -L -t nat # 列出 nat 上面的所有规则
|
260 | # ^ -t 参数指定,必须是 raw, nat,filter,mangle 中的一个
|
261 | iptables -L -t nat --line-numbers # 规则带编号
|
262 | iptables -L INPUT
|
263 |
|
264 | iptables -L -nv # 查看,这个列表看起来更详细
|
265 | ```
|
266 |
|
267 | #### 清除已有规则
|
268 |
|
269 | ```shell
|
270 | iptables -F INPUT # 清空指定链 INPUT 上面的所有规则
|
271 | iptables -X INPUT # 删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。
|
272 | # 如果没有指定链名,则会删除该表中所有非内置的链。
|
273 | iptables -Z INPUT # 把指定链,或者表中的所有链上的所有计数器清零。
|
274 | ```
|
275 |
|
276 | #### 删除已添加的规则
|
277 |
|
278 | ```shell
|
279 | # 添加一条规则
|
280 | iptables -A INPUT -s 192.168.1.5 -j DROP
|
281 | ```
|
282 |
|
283 | 将所有iptables以序号标记显示,执行:
|
284 |
|
285 | ```shell
|
286 | iptables -L -n --line-numbers
|
287 | ```
|
288 |
|
289 | 比如要删除INPUT里序号为8的规则,执行:
|
290 |
|
291 | ```shell
|
292 | iptables -D INPUT 8
|
293 | ```
|
294 |
|
295 | #### 开放指定的端口
|
296 |
|
297 | ```shell
|
298 | iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
|
299 | iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
|
300 | iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
|
301 | iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
|
302 | iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
|
303 | iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
|
304 | iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
|
305 | iptables -A INPUT -j reject #禁止其他未允许的规则访问
|
306 | iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
|
307 | ```
|
308 |
|
309 | #### 屏蔽IP
|
310 |
|
311 | ```shell
|
312 | iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP # 屏蔽恶意主机(比如,192.168.0.8
|
313 | iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
|
314 | iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
|
315 | iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
|
316 | iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是
|
317 | ```
|
318 |
|
319 | #### 指定数据包出去的网络接口
|
320 |
|
321 | 只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
|
322 |
|
323 | ```shell
|
324 | iptables -A FORWARD -o eth0
|
325 | ```
|
326 |
|
327 | #### 查看已添加的规则
|
328 |
|
329 | ```shell
|
330 | iptables -L -n -v
|
331 | Chain INPUT (policy DROP 48106 packets, 2690K bytes)
|
332 | pkts bytes target prot opt in out source destination
|
333 | 5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
|
334 | 191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
|
335 | 1499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
|
336 | 4364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
|
337 | 6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
|
338 |
|
339 | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
|
340 | pkts bytes target prot opt in out source destination
|
341 |
|
342 | Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
|
343 | pkts bytes target prot opt in out source destination
|
344 | 5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
|
345 | ```
|
346 |
|
347 | #### 启动网络转发规则
|
348 |
|
349 | 公网`210.14.67.7`让内网`192.168.188.0/24`上网
|
350 |
|
351 | ```shell
|
352 | iptables -t nat -A POSTROUTING -s 192.168.188.0/24 -j SNAT --to-source 210.14.67.127
|
353 | ```
|
354 |
|
355 | #### 端口映射
|
356 |
|
357 | 本机的 2222 端口映射到内网 虚拟机的22 端口
|
358 |
|
359 | ```shell
|
360 | iptables -t nat -A PREROUTING -d 210.14.67.127 -p tcp --dport 2222 -j DNAT --to-dest 192.168.188.115:22
|
361 | ```
|
362 |
|
363 | #### 字符串匹配
|
364 |
|
365 | 比如,我们要过滤所有TCP连接中的字符串`test`,一旦出现它我们就终止这个连接,我们可以这么做:
|
366 |
|
367 | ```shell
|
368 | iptables -A INPUT -p tcp -m string --algo kmp --string "test" -j REJECT --reject-with tcp-reset
|
369 | iptables -L
|
370 |
|
371 | # Chain INPUT (policy ACCEPT)
|
372 | # target prot opt source destination
|
373 | # REJECT tcp -- anywhere anywhere STRING match "test" ALGO name kmp TO 65535 reject-with tcp-reset
|
374 | #
|
375 | # Chain FORWARD (policy ACCEPT)
|
376 | # target prot opt source destination
|
377 | #
|
378 | # Chain OUTPUT (policy ACCEPT)
|
379 | # target prot opt source destination
|
380 | ```
|
381 |
|
382 | #### 阻止Windows蠕虫的攻击
|
383 |
|
384 | ```shell
|
385 | iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"
|
386 | ```
|
387 |
|
388 | #### 防止SYN洪水攻击
|
389 |
|
390 | ```shell
|
391 | iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
|
392 | ```
|
393 |
|
394 | #### 添加SECMARK记录
|
395 | ```shell
|
396 | iptables -t mangle -A INPUT -p tcp --src 192.168.1.2 --dport 443 -j SECMARK --selctx system_u:object_r:myauth_packet_t
|
397 | # 向从 192.168.1.2:443 以TCP方式发出到本机的包添加MAC安全上下文 system_u:object_r:myauth_packet_t
|
398 | ```
|
399 |
|
400 | ## 更多实例
|
401 | > 用iptables搭建一套强大的安全防护盾 http://www.imooc.com/learn/389
|
402 |
|
403 | iptables: linux 下应用层防火墙工具
|
404 |
|
405 | iptables 5链: 对应 Hook point
|
406 | netfilter: linux 操作系统核心层内部的一个数据包处理模块
|
407 | Hook point: 数据包在 netfilter 中的挂载点; `PRE_ROUTING / INPUT / OUTPUT / FORWARD / POST_ROUTING`
|
408 |
|
409 | iptables & netfilter
|
410 | ![](http://7xq89b.com1.z0.glb.clouddn.com/netfilter&iptables.jpg)
|
411 |
|
412 | iptables 4表5链
|
413 | ![](http://7xq89b.com1.z0.glb.clouddn.com/iptables-data-stream.jpg)
|
414 |
|
415 | iptables rules
|
416 | ![](http://7xq89b.com1.z0.glb.clouddn.com/iptables-rules.jpg)
|
417 |
|
418 | - 4表
|
419 |
|
420 | **filter**: 访问控制 / 规则匹配
|
421 | **nat**: 地址转发
|
422 | mangle / raw
|
423 |
|
424 | - 规则
|
425 |
|
426 | 数据访问控制: ACCEPT / DROP / REJECT
|
427 | 数据包改写(nat -> 地址转换): snat / dnat
|
428 | 信息记录: log
|
429 |
|
430 | ## 使用场景实例
|
431 | - 场景一
|
432 |
|
433 | 开放 tcp 10-22/80 端口
|
434 | 开放 icmp
|
435 | 其他未被允许的端口禁止访问
|
436 |
|
437 | 存在的问题: 本机无法访问本机; 本机无法访问其他主机
|
438 |
|
439 | - 场景二
|
440 |
|
441 | ftp: 默认被动模式(服务器产生随机端口告诉客户端, 客户端主动连接这个端口拉取数据)
|
442 | vsftpd: 使 ftp 支持主动模式(客户端产生随机端口通知服务器, 服务器主动连接这个端口发送数据)
|
443 |
|
444 | - 场景三
|
445 |
|
446 | 允许外网访问:
|
447 | web
|
448 | http -> 80/tcp; https -> 443/tcp
|
449 | mail
|
450 | smtp -> 25/tcp; smtps -> 465/tcp
|
451 | pop3 -> 110/tcp; pop3s -> 995/tcp
|
452 | imap -> 143/tcp
|
453 |
|
454 | 内部使用:
|
455 | file
|
456 | nfs -> 123/udp
|
457 | samba -> 137/138/139/445/tcp
|
458 | ftp -> 20/21/tcp
|
459 | remote
|
460 | ssh -> 22/tcp
|
461 | sql
|
462 | mysql -> 3306/tcp
|
463 | oracle -> 1521/tcp
|
464 |
|
465 | - 场景四
|
466 |
|
467 | nat 转发
|
468 |
|
469 | - 场景五
|
470 |
|
471 | 防CC攻击
|
472 |
|
473 | ```shell
|
474 | iptables -L -F -A -D # list flush append delete
|
475 | # 场景一
|
476 | iptables -I INPUT -p tcp --dport 80 -j ACCEPT # 允许 tcp 80 端口
|
477 | iptables -I INPUT -p tcp --dport 10:22 -j ACCEPT # 允许 tcp 10-22 端口
|
478 | iptables -I INPUT -p icmp -j ACCEPT # 允许 icmp
|
479 | iptables -A INPUT -j REJECT # 添加一条规则, 不允许所有
|
480 |
|
481 | # 优化场景一
|
482 | iptables -I INPUT -i lo -j ACCEPT # 允许本机访问
|
483 | iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许访问外网
|
484 | iptables -I INPUT -p tcp --dport 80 -s 10.10.188.233 -j ACCEPT # 只允许固定ip访问80
|
485 |
|
486 | # 场景二
|
487 | vi /etc/vsftpd/vsftpd.conf # 使用 vsftpd 开启 ftp 主动模式
|
488 | port_enable=yes
|
489 | connect_from_port_20=YES
|
490 | iptables -I INPUT -p tcp --dport 21 -j ACCEPT
|
491 |
|
492 | vi /etc/vsftpd/vsftpd.conf # 建议使用 ftp 被动模式
|
493 | pasv_min_port=50000
|
494 | pasv_max_port=60000
|
495 | iptables -I INPUT -p tcp --dport 21 -j ACCEPT
|
496 | iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT
|
497 |
|
498 | # 还可以使用 iptables 模块追踪来自动开发对应的端口
|
499 |
|
500 | # 场景三
|
501 | iptables -I INPUT -i lo -j ACCEPT # 允许本机访问
|
502 | iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许访问外网
|
503 | iptables -I INPUT -s 10.10.155.0/24 -j ACCEPT # 允许内网访问
|
504 | iptables -I INPUT -p tcp -m multiport --dports 80,1723 -j ACCEPT # 允许端口, 80 -> http, 1723 -> vpn
|
505 | iptables -A INPUT -j REJECT # 添加一条规则, 不允许所有
|
506 |
|
507 | iptables-save # 保存设置到配置文件
|
508 |
|
509 | # 场景四
|
510 | iptables -t nat -L # 查看 nat 配置
|
511 |
|
512 | iptables -t nat -A POST_ROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232 # SNAT
|
513 | vi /etc/sysconfig/network # 配置网关
|
514 |
|
515 | iptables -t nat -A POST_ROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.232:80 # DNAT
|
516 |
|
517 | #场景五
|
518 | iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT # 限制并发连接访问数
|
519 | iptables -I INPUT -m limit --limit 3/hour --limit-burst 10 -j ACCEPT # limit模块; --limit-burst 默认为5
|
520 | ```
|
521 |
|
522 |
|