Iptables原理.docx

资源描述

Iptables原理.docx

《Iptables原理.docx》由会员分享，可在线阅读，更多相关《Iptables原理.docx（15页珍藏版）》请在冰豆网上搜索。

Iptables原理.docx

Iptables原理

现在防火墙主要分以下三种类型：

包过滤、应用代理、状态检测

包过滤防火墙：

现在静态包过滤防火墙市面上已经看不到了，取而代之的是动态包过滤技术的防火墙哈~

代理防火墙：

因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护，比如大家知道的SYN攻击、ICMP洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈~其使用了一种应用协议分析的新技术。

状态检测防火墙：

其基于动态包过滤技术发展而来，加入了一种状态检测的模块，进一点发展了会话过滤功能，会话状态的保留是有时间限制的，此防火墙还可以对包的内容进行分析，从而避免开放过多的端口。

netfilter/iptablesIP数据包过滤系统实际上由netfilter和iptables两个组件构成。

netfilter是集成在内核中的一部分，其作用是定义、保存相应的规则，而iptables是一种工具，用来修改信息的过滤规则及其他配置，我们可以通过iptables来设置一些适合我们企业需求环境的规则哈~，而这些规则会保存在内核空间之中。

netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。

实际上netfilter是表的容器，表是链的容器，而链又是规则的容器。

filter表

650）this.width=650;"height=132>

nat表

650）this.width=650;"height=130>

mangle表

650）this.width=650;"height=206>

iptables内置链

PREROUTING:

数据包进入路由表之前

INPUT:

通过路由表后目的地为本机

FORWARDING:

通过路由表后，目的地不为本机

OUTPUT:

由本机产生，向外转发

POSTROUTIONG:

发送到网卡接口之前

netfilter五条链相互关系，即iptables数据包转发流程图

650）this.width=650;"height=218>

Iptables工作流程图

iptables拥有三个表和五条链组成

650）this.width=650;"height=204>

NAT工作原理

650）this.width=650;"height=214>

Iptables详细参数表

650）this.width=650;"height=421>

Iptables基本语法

iptables[-t表名]-命令-匹配-j动作/目标

iptables内置了filter、nat和mangle三张表，我们可以使用-t参数来设置对哪张表生效哈~也可以省略-t参数，则默认对filter表进行操作。

具体命令参数可以通过maniptables查询哈~

650）this.width=650;"height=341>

配置SNAT命令基本语法

iptables-tnat-APOSTROUTING-o网络接口-jSNAT--to-sourceIP地址

配置DNAT命令基本语法

iptables-tnat-APREROUTING-i网络接口-p协议--dport端口-jDNAT--to-destinationIP地址

企业环境及需求

1、企业环境

230台客户机，IP地址范围为192.168.0.1~192.168.0.254，子网掩码为255.255.255.0

Mail服务器：

IP地址为192.168.0.1子网掩码为255.255.255.0

FTP服务器：

IP地址为192.168.0.2子网掩码为255.255.255.0

WEB服务器：

IP地址为192.168.0.3子网掩码为255.255.255.0

公司网络拓扑图如下：

650）this.width=650;"height=320>

2、配置默认策略

所有内网计算机需要经常访问互联网，并且员工会使用即时通信工具与客户进行沟通，企业网络DMZ隔离区搭建有Mail、FTP和Web服务器，其中Mail和FTP服务器对内部员工开放，仅需要对外发布Web站点，并且管理员会通过外网进行远程管理，为了保证整个网络的安全性，需要添加iptables防火墙并配置相应的策略

需求分析

企业的内部网络为了保证安全性，需要首先删除所有规则设置，并将默认规则设置为DROP，然后开启防火墙对于客户端的访问限制，打开WEB、MSN、QQ及MAIL的相应端口，并允许外部客户端登录WEB服务器的80、22端口。

解决方案

1、配置默认策略

默认iptables已经被安装好了

650）this.width=650;"height=72>

（1）删除策略

iptables-F：

清空所选链中的规则，如果没有指定链则清空指定表中所有链的规则

iptables-X：

清除预设表filter中使用者自定链中的规则

iptables-Z：

清除预设表filter中使用者自定链中的规则

650）this.width=650;"height=143>

（2）设置默认策略

设置默认策略为关闭filter表的INPPUT及FORWARD链开启OUTPUT链，nat表的三个链PREROUTING、OUTPUT、POSTROUTING全部开启哈~默认全部链都是开启的，所以有些命令可以不操作，另外mangle表本文没用到，所以不做处理，mangle主要用在数据包的特殊变更处理上，比如修改TOS等特性。

650）this.width=650;"height=210>

650）this.width=650;"height=244>

2、设置回环地址

有些服务的测试需要使用回环地址，为了保证各个服务的正常工作，需要允许回环地址的通信，RHCE课程-RH253Linux服务器架设笔记二-NFS服务器配置己有涉及,如果不设置回环地址，有些服务不能启动哈~。

iptables-AINPUT-ilo-jACCEPT

650）this.width=650;"height=157>

3、连接状态设置

为了简化防火墙的配置操作，并提高检查的效率，需要添加连接状态设置

iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT

连接跟踪存在四种数据包状态

NEW:

想要新建连接的数据包

INVALID:

无效的数据包，例如损坏或者不完整的数据包

ESTABLISHED:

已经建立连接的数据包

与已经发送的数据包有关的数据包

650）this.width=650;"height=146>

4、设置80端口转发

公司网站需要对外开放，所以我们需要开放80端口

iptables-AFORWARD-ptcp--dport80-jACCEPT

650）this.width=650;"height=155>

5、DNS相关设置

为了客户端能够正常使用域名访问互联网，我们还需要允许内网计算机与外部DNS服务器的数据转发。

开启DNS使用UDP、TCP的53端口

iptables-AFORWARD-ptcp--dport53-jACCEPT

iptables-AFORWARD-pudp--dport53-jACCEPT

650）this.width=650;"height=187>

6、允许访问服务器的SSH

管理员会通过外网进行远程管理，所以我们要开启SSH使用的TCP协议22端口

iptables-AINPUT-ptcp--dport22-jACCEPT

650）this.width=650;"height=187>

7、允许内网主机登录MSN和QQ相关设置

QQ能够使用TCP80、8000、443及UDP8000、4000登录，而MSN通过TCP1863、443验证。

因此只需要允许这些端口的FORWARD转发即可以正常登录。

iptables-AFORWARD-ptcp--dport1863-jACCEPT

iptables-AFORWARD-ptcp--dport443-jACCEPT

iptables-AFORWARD-ptcp--dport8000-jACCEPT

iptables-AFORWARD-pudp--dport8000-jACCEPT

iptables-AFORWARD-pudp--dport4000-jACCEPT

注意：

当然，如果公司要限制这样即时通信工具的使用，只要禁止这些端口的转发就可以了哈~特别注意，马化腾这家伙忒坏~嘿嘿~，端口不固定，QQVIP会员专用通道什么的，代理登录等等哈~，所以我们如果需要封杀就要收集全登录端口及QQ服务器地址，根据本人总结，最好在企业实际配置中技术与行政管理相结合，这样达到的效果最好~0（^_^）0

650）this.width=650;"height=315>

8、允许内网主机收发邮件

客户端发送邮件时访问邮件服务器的TCP25端口。

接收邮件时访问，可能使用的端口则较多，UDP协议以及TCP协议的端口：

110、143、993及995

smtp:

[root@rhel5~]#iptables-AFORWARD-ptcp--dport25-jACCEPT

pop3:

[root@rhel5~]#iptables-AFORWARD-ptcp--dport110-jACCEPT

[root@rhel5~]#iptables-AFORWARD-pudp--dport110-jACCEPT

imap:

[root@rhel5~]#iptables-AFORWARD-ptcp--dport143-jACCEPT

[root@rhel5~]#iptables-AFORWARD-pudp--dport143-jACCEPT

imaps:

[root@rhel5~]#iptables-AFORWARD-ptcp--dport993-jACCEPT

[root@rhel5~]#iptables-AFORWARD-pudp--dport993-jACCEPT

pop3s:

[root@rhel5~]#iptables-AFORWARD-ptcp--dport995-jACCEPT

[root@rhel5~]#iptables-AFORWARD-pudp--dport995-jACCEPT

650）this.width=650;"height=456>

9、NAT端口映射设置

由于局域网的地址为私网地址，在公网上不合法哈~所以必须将私网地址转为服务器的外部地址进行地址映射哈~连接外网接口为ppp0

iptables-tnat-APOSTROUTING-oppp0-s192.168.0.0/24-jMASQUERADE

MASQUERADE和SNAT作用一样哈~相样是提供源地址转换的操作，但是MASQUERADE是针对外部接口为动态IP地址来设置滴，不需要使用--to-source指定转换的IP地址。

如果网络采用的是拨号方式接入互联网，而没有对外的静态IP地址（主要用在动态获取IP地址的连接，比如ADSL拨号、DHCP连接等等），那么建议使用MASQUERADE哈~

注意：

MASQUERADE是特殊的过滤规则，其只可以映射从一个接口到另一个接口的数据哈~

650）this.width=650;"height=135>

10、内网机器对外发布WEB网站

内网WEB服务器IP地址为192.168.0.3，我们需要进行如下配置哈~，当公网客户端访问服务器时，防火墙将请求映射到内网的192.168.0.3的80端口

iptables-tnat-APREROUTING-ippp0-ptcp--dport80-jDNAT--to-destination192.168.0.3:

650）this.width=650;"height=172>

11、保存与恢复iptables配置

保存：

iptables-save

iptables-save[-c][-t表名]

-c：

保存包和字节计数器的值。

可以使在重启防火墙后不丢失对包和字节的统计

-t：

用来保存哪张表的规则，如果不跟-t参数则保存所有的表

可以使用重定向命令来保存这些规则集

iptables-save >/etc/iptables-save

恢复：

iptables-restore

iptables-restore[-c][-n]

-c：

如果加上-c参数则表示要求装入包和字节计数器

-n：

表示不覆盖己有的表或表内的规则，默认情况下是清除所有己存在的规则

使用重定向来恢复由iptables-save保存的规则集

iptables-restore >/etc/iptables-save

如果要在服务或系统重启后依然生效

serviceiptablessave

650）this.width=650;"height=118?

454?

12、最终iptables配置如下

[root@rhel5~]#iptables-L

ChainINPUT（policyDROP）

target protoptsource destination

ACCEPT all -- anywhere anywhere

ACCEPT all -- anywhere anywhere stateRELATED,ESTABLISHED