iptables基礎概念及寫法詳解
防火牆控制理論概念的剖析
防火牆在計算機語言中的理解:
工作於主機或者網絡邊緣,對於進出的報文根據定義的規則做出檢查,進而對被規則匹配到的報文作出相應處理的套件。
防火牆和殺毒軟件的概念區別:防火牆是在病毒沒有進入前做出了規則判斷和處理,殺毒軟件是對本機內部的病毒進行掃描和處理。這個可以形象的理解爲:防火牆是拒人於千里之外,殺毒軟件就是甕中捉鱉。
防火牆的分類:
按照實施的方式分爲:
軟件防火牆
硬件防火牆
按照應用範圍的大小可以分爲:
主機防火牆:工作在內核的TCP/IP協議棧的。這是應用於一個單獨的主機。
網絡防火牆:作用於一個區域的防火牆,對其內部的各主機實現保護作用。
按照TCP/IP七層模型防火牆分爲:
網絡層防火牆:作用網絡層只是通過源地址和目標地址來檢查,效率高安全性不夠。
應用層網關防火牆:這是對於真實的傳輸內容,以及源地址目標地址的全部檢查。 效果好,效率低。又由於我們網絡地址的訪問都是通過防火牆控制的接口來訪問的,如果效率不高會導致我們的服務器出現堵塞,因此一個防火牆應用的不好,將是訪問流量的一個瓶頸。實際上這兩種,一般是結合起來一起使用的:網絡層防火牆---->應用層網關防火牆----->目標主機
iptables/netfilter
在防火牆的使用中需要注意的是,我們經常使用的工具iptables,不是防火牆。它只是一個用於防火牆寫規則的工具,iptables寫好規則之後發給netfilter,之後在內核中立即生效。 那麼既然iptables只是一個寫規則的工具,那怎麼不直接把規則寫在netfilter?試想netfilter是在內核中的,如果直接對內核寫操作,內核的穩定性就堪憂了。
幾個相關名詞:IDS、IPC
IDS(Intrusion Detect System) ***檢測系統
IPS(Intrusion Protect System ) ***保護系統
iptables 的發展及工作機制
1.iptables的發展:
iptables的前身叫ipfirewall,起初它的工作功能極其有限(它需要將所有的規則都放進內核當中,這樣規則才能夠運行起來,而放進內核,這個做法一般是極其困難的)。當內核發展到2.x系列的時候,軟件更名爲ipchains,它可以定義多條規則。通過將他們組合起來共同實現結果。之後就是現在的iptables它可以將規則組成一個列表,實現詳細的訪問控制功能。
iptables發展以來都是工作在用戶空間中,用於定義規則的工具,本身並不算是防火牆。它們定義的規則,可以讓在內核空間當中的netfilter來讀取,並且實現讓防火牆工作。而放入內核的地方必須要是特定的位置,必須是tcp/ip的協議棧經過的地方。而這個tcp/ip協議棧必須經過的地方,可以實現讀取規則的地方就叫做 netfilter.(網絡過濾器)
2.iptables的工作機制
iptables的作者在網絡必然經過的地方,選取了5個位置,來作爲控制的地方。這五個位置也被稱爲五個鉤子函數(hook functions),也叫五個規則鏈。這五個位置分別是:1.PREROUTING (路由前)2.INPUT (流入) 3.FORWARD (轉發關卡) 4.OUTPUT(流出) 5.POSTROUTING(路由後)。很明顯在路由前和路由後由於沒有經過路由決策不會發生過濾作用的,而且我們的(INPUT\FORWORD\OUTPUT)已經可以基本是實現路徑的全部封鎖控制了。那我們爲什麼還要放置他們呢?這個主要是因爲我們在做NAT和DNAT的時候,目標地址轉換必須在路由之前轉換,這即是他們存在的意義。
3.防火牆的策略
防火牆策略一般分爲兩種:
一種叫“通”策略,一種叫“堵”策略,通策略其實就是白名單,默認端口是關着的,必須要自己指定用戶的才能進來。堵策略可以理解是黑名單,規定範圍的人不可以進來。那裏但是你必須有身份認證,否則不能進。爲了讓這些功能交替工作,我們制定出了“表”這個定義,來定義、區分各種不同的工作功能和處理方式。
4.iptables的表常用功能和鏈
我們現在用的比較多個功能有3個
1.filter 定義過濾條件的
2.nat 定義地址轉換的
3.mangle 修改報文原數據
我們修改報文原數據就是來修改TTL(time to live)的。能夠實現將數據包的元數據拆開,在裏面做標記/修改內容的。而防火牆標記,其實就是靠mangle來實現的。
對於filter來講一般只能做在3個鏈上:INPUT ,FORWARD ,OUTPUT
對於nat來講一般也只能做在3個鏈上:PREROUTING ,OUTPUT ,POSTROUTING
而mangle則是5個鏈都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
iptables/netfilter 是工作在用戶空間的,它可以讓規則進行生效的,本身不是一種服務,而且規則是立即生效的。而我們iptables現在被做成了一個服務,可以進行啓動,停止的。啓動,表示規則直接生效。停止,將規則撤銷。
iptables還支持自己定義鏈。但是自己定義的鏈,需要經過主鏈的跳轉。當有數據處理的時候,會到我們定義的鏈來處理,當那個鏈處理完之後,再返回主鏈。接着在特定的鏈中繼續檢查。
iptables的規則和寫法
規則的寫法:
iptables定義規則的方式:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t 指定表,這裏表可以省略,如果省略默認是filter。
COMMAND:定義如何對規則進行管理:比如增加,插入,刪除等
chain:指定你接下來的規則到底是在哪個鏈上操作的{INPUT|OUPUT...}
CRETIRIA:指定匹配標準(對什麼服務?什麼端口?)
-j ACTION :指定如何進行處理{ACCEPT|DROP|REJECT}
比如:不允許172.16.0.0/16的進行訪問。
iptables -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
iptables -L -n -v #查看定義規則的詳細信息
注意:規則的次序非常關鍵,誰的規則越嚴格,應該放的越靠前,而檢查規則的時候,是按照從上往下的方式進行檢查的。
iptables規則的具體內容
1.鏈管理命令
-P :設置默認策略的(設定默認門是關着的還是開着的)
默認策略一般只有兩種
iptables -P INPUT (DROP|ACCEPT) 默認是關的/默認是開的
比如:
iptables -P INPUT DROP 這就把默認規則給拒絕了。並且沒有定義哪個動作,所以關於外界連接的所有規則包括Xshell連接之類的,遠程連接都被拒絕了。
-F: FLASH,清空規則鏈的(注意每個鏈的管理權限)
iptables -t nat -F PREROUTING 清空路有前鏈
iptables -t nat -F 清空nat表的所有鏈
-N:NEW 支持用戶新建一個鏈
iptables -N inbound_tcp_web 表示附在tcp表上用於檢查web的。
-X: 用於刪除用戶自定義的空鏈
使用方法跟-N相同,但是在刪除之前必須要將裏面的鏈給清空了
-E:用來Rename chain主要是用來給用戶自定義的鏈重命名
-E oldname newname
-Z:清空鏈,及鏈中默認規則的計數器的(有兩個計數器,被匹配到多少個數據包,多少個字節)
2.規則管理命令
-A:追加,在當前鏈的最後新增一個規則
-I num : 插入,把當前規則插入爲第幾條。例如:-I 3 :插入爲第三條
-R num:Replays替換/修改第幾條規則 格式:iptables -R 3 …………
-D num:刪除,明確指定刪除第幾條規則
-L 後面可以有很多子命令:
-n:以數字的方式顯示,如果不加-n,則會將ip反向解析成主機名。
-v:顯示詳細信息
-vvv :v 越多越詳細
-x:在計數器上顯示精確值,不做單位換算。
--line-numbers : 顯示規則的行號
-t nat:顯示所有的關卡的信息
3通用匹配標準
-s:指定作爲源地址匹配,後面跟的必須是IP,加一個“!”地址可以取反,表示此IP之外。
-d:表示匹配目標地址
-p:用於匹配協議的(這裏的協議通常有3種,TCP/UDP/ICMP)
-i eth#:從這那塊網卡流入的數據,流入一般用在INPUT和PREROUTING上
-o eth#:從這塊網卡流出的數據, 流出一般在OUTPUT和POSTROUTING上
4.擴展匹配
4.1隱含擴展:對協議的擴展
-p tcp :TCP協議的擴展。一般有三種擴展
--dport:指定目標端口 , --dport 21
--sport:指定源端口
--tcp-fiags:TCP的標誌位(SYN,ACK,FIN,PSH,RST,URG)
--tcpflags syn,ack,fin,rst syn (syn,ack,fin,rst)表示檢查這4個位,這4個位中syn必須爲1,其他的必須爲0
或者等價於syn,ack,fin,rst syn = --syn
-p udp:UDP協議的擴展
--dport
--sport
-p icmp:icmp數據報文的擴展
--icmp-type:
echo-request(請求回顯),一般用8 來表示
所以 --icmp-type 8 匹配請求回顯數據包
echo-reply (響應的數據包)一般用0來表示
4.2顯式擴展(-m)
擴展各種模塊
multiport:多端口匹配
-m multiport:表示啓用多端口擴展
--dports 21,23,80 表示啓用這多個端口。
--ports :表示不分辨目標端口和源端口啓用。
port如果是多個,逗號分隔,表示端口是離散的,22,80。如果是冒號分隔,表示連續的 22:23
另外如果 在選項前面加! 還可以取反。這種情況可是使用在多個模塊中
iprange:匹配指定範圍內的地址
--src-range ip1-ip2表示這兩個源IP之間的範圍。
--dst-range ip1-ip2表示這裏倆個目標IP之間的範圍。
例如:iptables -A INPUT -d 172.16.100.10 -p tcp --dport 23 -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
iptables -A OUTPUT -s 172.16.100.10 -p tcp --sport 23 -m iprange --drc-range 172.16.100.1-172.16.100.100 -j ACCEPT
String:字符串匹配
能夠檢測報文應用層中的字符串。能夠起到指定字符無法訪問的方式。
字符匹配檢查使用的高效算法:
kmp ,bm
專用選項:
--algo {kmp|bm} 這裏的兩個算法隨機選擇一個,爲了字符查找時候,能實現高效查找的。
--string “STRING” 指定要匹配的字符,但是這種匹配效率比較低,建議使用16進制的轉換,也就是下面的這種寫法:兩種指定方式任選其一。
--hex-string “HEX_STRING”:HEX_STRING
限制固定字眼的訪問,比如我們要限制對於網頁的特殊字眼的訪問。規則要寫在web規則的前面,不然因爲優先級無法生效。
Time :基於時間做訪問控制
專用選項 -m time
--timestart hh:mm[:ss]指定限制的起始時間
--timestop hh:mm[:ss]指定限制的末尾時間
--weekdays Mon .Tue....限制的周幾
例如:iptables -I INPUT -d 172.16.100.7 -p tcp --dport 80 -m time --timestart 08:20 --timestop 17:30 --weekdays Mon,Tue,Wen,Thu,Fri -j REJECT
Limit:用於速率限制,防止一個某個單獨的佔用寬帶。
按照指定的速率發放通行證。有同通行證,就可以發放報文。但是對於長期沒有發放報文的,允許將通行證放置於令牌桶中積累閒置個數。
專用選項-m limit
--limit n [/second|/minute/|/hour|/day] 限制多久傳送一次報文
--limit-burst 允許的空閒令牌個數
例如:iptables -A INPUT -d 172.16.100.7 -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 5 -j ACCEPT
State:狀態檢查
啓用了鏈接追蹤功能,就是當一個客戶端在連接時,會被記錄在自己的連接會話表中。下次一旦連接會識別這個客戶端來過。就會給予放行。
這種鏈接追中有四種狀態:
NEW:第一次過來,還未建立鏈接 在三次握手的第一個階段。
ESTABLISHED:已建立的鏈接 在三次握手的第二三階段。
RELATED:有關聯關係的鏈接 這個體現在FTP 20和21端口,比如:鏈接我們21端口的鏈接,可以使用我們的20這個端口發送數據。
INVALID:無法鏈接 例如:鏈接狀態是syn=1 ,ack=1 ,rst=1 ,這種狀態是無法識別的。就是INVALID狀態。
例如:iptables -A INPUT -d 172.16.100.7 -p tcp -m multiport --dports 22,80 -m start --state NEW -j ACCEPT
iptables -I INPUT -d 172.16.100.7 -m start --state ESTABLISHED -j ACCEPT
iptables -I OUTPUT -s 172.16.100.7 -m state --state ESTABLISHED -j ACCEPT
iptables -P OUTPUT DROP
狀態檢測的意義:爲了防止反彈***,在自己的服務器建立反彈控制。因此我們設置狀態控制,只對進來的那個客戶端,做出響應。使用上,ESTABLED 建立在NEW之前。
-j ACTION
常用的ACTION:
DROP:委婉的拒絕,一般我們多用DROP來隱藏我們的身份,以及隱藏我們的鏈表。
REJECT:明示拒絕
ACCEPT:接受
custom_chain:轉向一個自定義的鏈
DNAT
SNAT
MASQUERADE:源地址僞裝
REDIRECT:重定向:主要用於實現端口重定向
MARK:打防火牆標記的
RETURN:返回。在自定義鏈執行完畢後使用返回,來返回原規則鏈。
目標地址轉換和源地址轉換
SNAT基於源地址轉換
這種模型就是將自己一方作爲客戶端而且是認爲是私網地址,需要通過一個公網接口去訪問外部網站。這是就需要一個源地址轉換了。
源地址轉換定義的樣式:
比如我們現在要將所有192.168.10.0網段的IP在經過的時候全都轉換成172.16.100.7這個假設出來的外網地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.7
這樣,只要是來自本地網絡的試圖通過網卡訪問網絡的,都會被統統轉換成172.16.100.1這個IP.但是有時候我們的上網往往是撥號上網,IP地址是不固定的。這時我們就要將外網地址換成 MASQUERADE(動態僞裝):它可以實現自動尋找到外網地址,而自動將其改爲正確的外網地址。所以,我們就需要這樣設置:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
這裏要注意:此處沒有省略-t
DNAT基於源地址轉換
對於目標地址轉換,外面的是客戶端,我們自己的一方是服務器端,外面的ip通過我們對外的外網ip來訪問我們服務器不同的服務器,而我們的服務卻放在內網服務器的不同的服務器上。這樣也就是僞裝了我們的服務器。
目標地址轉換的格式:
iptables -t nat -A PREROUTING -d 192.168.10.2 -p tcp --dport 80 -j DNAT --todestination 172.16.100.7
控制規則的保存和開啓
因爲定義的所有內容是立即生效而且是臨時的,當重啓的時候都會失效,要想我們能夠下次開機生效,需要使用一個命令將它保存起來
service iptables save
它會保存在/etc/sysconfig/iptables這個文件中
iptables-save
iptables-save > /etc/sysconfig/iptables
iptables-restore
開機的時候,它會自動加載/etc/sysconfig/iptabels
如果開機不能加載或者沒有加載,而你想讓一個自己寫的配置文件手動生效的話:
iptables-restore < /etc/sysconfig/iptables.test
則完成了將iptables中定義的規則手動生效