IPTables-Linux Firewall

前言

在玩 IPTables 以前我們必須先了解一下，您所下的 iptables 防火牆規則對封包進行過濾、封包處理、封包狀態變更、NAT、封包 Qos...等，這些工作其實是核心 (kernel) 層級 Netfilter 在處理的，而 iptables 只是一個使用者端的工具讓您方便對 Netfilter 操作而以，以下是對於玩 iptables 時必須先了解的名詞及相關常用指令。

Netfilter 五種封包處理規則

必須注意的是 INPUT 及 Forward 處理封包的路徑是不同的，也就是說 Forward 處理的封包會略過 INPUT 及 OUTPUT 規則

• INPUT：經網卡進入的封包

• OUTPUT：經網卡出去的封包

• FORWARD：經網卡進入 / 出去轉送的封包

• PREROUTING：改變經網卡進入的封包狀態 ( DNAT / REDIRECT )

• POSTROUTING：改變經網卡出去的封包狀態 ( SNAT / MASQUERADE )

Netfilter 三種過瀘規則鏈(chain)

• filter：可以處理 INPUT、OUTPUT、FORWARD 封包狀態 (Default)

• nat：可以處理 OUTPUT、PREROUTING、POSTROUTING 封包狀態

• mangle：可以處理 INPUT、OUTPUT、FORWRD、PREROUTING、POSTROUTING 封包狀態

Netfilter 四種封包狀態(NEW、INVALID、RELATED、ESTABLISHED)

• NEW：一個新的連線封包 (建立新連線後的第一個封包)

• ESTABLISHED：成功建立的連線，即建立追蹤連線後所有封包狀態 (跟在 NEW 封包後面的所有封包)

• RELATED：新建連線，由 ESTABLISHED session 所建立的新獨立連線 (ex. ftp-data 連線)

• INVALID：非法連線狀態的封包 (DROP 封包)

• UNKOWN：不明連線狀態的封包

IPTables 封包處理政策 (Policy) 及 目標 (Target)

• ACCEPT：允許封包移動至目的地或另一個 chain

• DROP：丟棄封包、不回應要求、不傳送失敗訊息

• REJECT：拒絕封包、回應要求、傳送失敗訊息

• SNAT：修改 Source Socket

• DNAT：修改 Destination Socket

• MASQUERADE：動態修改 Source Socket (無法指定 IP，取當時網卡的 IP)，較方便但效率較差

• REDIRECT：將連線導至本機行程 (Local Process)

• RETURN：結束自行定義的 Chain 然後返回原來的 Chain 繼續跑規則 (rules)

• QUEUE：封包排隊等待處理

• LOG：記錄指定的規則封包 (/etc/syslog.conf , default /var/log/messges)

IPTables 指令參數

處理 iptables 規則時常用到如下參數

• -h：help information

• -V：顯示 iptables 版本

• -I：將規則插入至最前面 or 加上號碼插入指定處

• -A：將規則插入至最後面

• -R：取代指定的規則 (加上規則號碼)

• -D：刪除指定的規則 (加上規則號碼)

• -F：刪除所有的規則

處理 iptables 規則鏈(chain)時常用到如下參數

• -N：建立新的規則鏈(chain)

• -X：刪除指定的規則鏈(chain)

• -E：更改指定的規則鏈(chain)名稱

• -P：變更指定規則鏈(chain)的政策 (ex. policy for DROP、REJECT、ACCEPT)

• -Z：將 iptables 計數器歸零

查看目前 iptables 規則時常用到如下參數

• -L：列出目前 iptables 規則 (會執行 DNS 位址解析)

  • -n：不使用 DNS 解析直接以 IP 位址顯示

  • -v：顯示目前 iptables 規則處理的封包數

  • -x：顯示完整封包數 (ex.顯示 1151519，而不是 12M)

  
  

實作環境

• CentOS 5.1 (Linux 2.6.18-53.1.4.el5)

• iptables v1.3.5

安裝及設定

步驟1.修改 iptables 設定檔

iptables 主要設定檔位於 /etc/sysconfig/iptables 當系統重開機且設定開機自動啟動時，系統便會讀取此檔案並套用設定的防火牆規則，你可以把預設的防火牆規則拿來該改即可，你可以手動下 iptables 規則然後在 save 我個人的習慣是直接把規則寫在 /etc/sysconfig/iptables 內。

規則語法如下

 [-io 網路介面] [-p 協定] [-m 模組] [-s 來源] [-d 目的地] [-j 政策]

• -i 網路介面：-i 為 in 網路介面就填 eth0... (用於 PREROUTING、INPUT、FORWARD)

• -o 網路介面：-o 為 out 網路介面就填 eth0... (用於 POSTROUTING、OUTPUT、FORWARD)

• -m 模組：state、mac、limit、owner、multiport...

• -p 協定：tcp、upd、icmp...

• -s 來源：可為 IP Address、IP 網段、網域名稱

  • --sport：指定封包來源 Port、Port Range (配合 -p tcp、-p udp)

  
  

• -d 目的地：可為 IP、IP 網段、網域名稱

  • --dport：指定封包目的地 Port、Port Range (配合 -p tcp、-p udp)

  
  

• -j 政策 / 目標：ACCEPT、DROP、REJECT、SNAT、DNAT、MASQUERADE、REDIRECT、RETURN...

以下為一個很簡單的防火牆規則範例，只允許 SSH Service 可連接該主機

 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT                                     //pass Loopback -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT      //keep state -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT           //pass icmp protocol -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT                 //pass ssh COMMIT

步驟2.設定開機自動啟動 iptables 服務

確定 iptables 服務是否開機會自動啟動 (ntsysv or setup)

 #chkconfig --list |grep iptables iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off

常用的 iptables 服務參數

 /etc/rc.d/init.d/iptables start           //啟動 iptables 服務                           stop            //停止 iptables 服務                           restart         //重新啟動 iptables 服務                           status          //查看目前 iptables 規則                           save            //將目前規則存入 iptables 設定檔

重新啟動 iptables 服務

 #/etc/rc.d/init.d/iptables restart Flushing firewall rules:                                   [  OK  ] Setting chains to policy ACCEPT: filter                    [  OK  ] Unloading iptables modules:                                [  OK  ] Applying iptables firewall rules:                          [  OK  ] Loading additional iptables modules: ip_conntrack_netbios_n[  OK  ]

查看我們剛才設定的規則

 #/etc/rc.d/init.d/iptables status Table: filter Chain INPUT (policy DROP) num  target     prot opt source               destination 1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0 2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255 4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 Chain FORWARD (policy DROP) num  target     prot opt source               destination Chain OUTPUT (policy ACCEPT) num  target     prot opt source               destination

補充：Web Server 防火牆規則設定

一個 Web Server 的基本 iptables 設定內容如下 (Service SSH、HTTP)，我將 INPUT Policy 定義為 DROP 也就是說 eth0 網卡預設行為是丟棄封包、不回應要求、不傳送失敗訊息除新定義的 -j ACCEPT 之外。

 #cat /etc/sysconfig/iptables *filter                                                      //定義使用的 chain :INPUT DROP [0:0]                                            //定義 INPUT Policy :FORWARD DROP [0:0]                                          //定義 FORWARD Policy :OUTPUT ACCEPT [0:0]                                         //定義 OUTPUT Policy -A INPUT -i lo -j ACCEPT                                     //pass Loopback -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT      //keep state -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT           //pass icmp protocol -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT                 //pass ssh -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT                 //pass http COMMIT

參考

[鳥哥的 Linux 私房菜 -- Linux 防火牆與 NAT 主機]

[對幾次輸入ssh密碼錯誤的IP進行iptables drop - 操作系統研究 - 信息安全專業論壇 - 4v1.org]

[網中人 - SSH 的一些安全小技巧]

[Jamyy's Weblog: 以 Fail2ban 封鎖嘗試侵入的 IP]

[iptables 入門]

[Linux iptables - iptables 封包過瀘規則]

[上奇科技出版-LINUX FIREWALL技術手札]

[學貫行銷-RED HAT LINUX 網路及系統管理指南]