linux基礎(chǔ)_防火墻_參考人家的_2小時(shí)玩轉(zhuǎn)_iptables_企業(yè)版_v1.6.0

1、ChinaUnix 講座,2 小時(shí)玩轉(zhuǎn) iptables 企業(yè)版cu.platinum@gmail.com文檔維護(hù)者：白金(platinum)、陳緒(bjchenxu)最后修改：Hongqt on 2014-05-20,v1.6.1,主題大綱,1. 概述2. 框架圖3. 語(yǔ)法4. 實(shí)例分析5. 網(wǎng)管策略6. 使用總則、FAQ7. 實(shí)戰(zhàn),1. 概述,2.4.x 內(nèi)核--。。。netfilter/iptablesIp

2、tables:外部設(shè)置工具Netfilter:內(nèi)核起作用的決定因素,2.1 框架圖(Kernel 3.14.3),-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle nat | filter | nat

3、 | | | | v | INPUT OUTPUT | mangle,nat ^ mang

4、le | filter |filter,nat v ------>local------->|,2.2 鏈和表,鏈 INPUT： 匹配目的IP是本機(jī)的數(shù)據(jù)包 OUTPUT： 匹配源IP是本機(jī)的數(shù)據(jù)包 FORWARD： 匹配穿過本機(jī)的數(shù)據(jù)包 PREROUTING： 用于修

5、改目的地址（DNAT） POSTROUTING：用于修改源地址 （SNAT）表 filter： 顧名思義，用于過濾的時(shí)候 nat： 顧名思義，用于做 NAT 的時(shí)候 NAT：Network Address Translator mangle: 主要作用是可以修改封包內(nèi)容,3.1 iptables 語(yǔ)法概述,iptables [-t

6、要操作的表] [要操作的鏈] [規(guī)則號(hào)碼] [匹配條件] [-j 匹配的動(dòng)作],3.2 命令概述,操作命令（-A、-I、-D、-R、-P、-F）查看命令（-[vnx]L）,3.2.1 -A,-A APPEND，追加一條規(guī)則（放到最后）例如： iptables -t filter -A INPUT -j DROP

7、 在 filter表的INPUT鏈里追加一條規(guī)則（作為最后一條規(guī)則） 匹配所有訪問本機(jī)IP的數(shù)據(jù)包，匹配到的丟棄,3.2.2 -I,-I [規(guī)則號(hào)碼] INSERT，插入一條規(guī)則例如： iptables -I INPUT -j DROP 在 filter表的INPUT鏈里插入一條規(guī)則（插入成第 1 條） iptables -I INPUT 3 -j DROP 在filter

8、表的INPUT鏈里插入一條規(guī)則（插入成第 3 條）注意： 1、-t filter 可不寫，不寫則自動(dòng)默認(rèn)是 filter 表 2、-I 鏈名 [規(guī)則號(hào)碼]，如果不寫規(guī)則號(hào)碼，則默認(rèn)是 1 3、確保規(guī)則號(hào)碼 ≤ （已有規(guī)則數(shù) + 1），否則報(bào)錯(cuò),3.2.3 -D,-D DELETE，刪除一條規(guī)則例如： iptables -D INPUT 3（按號(hào)碼匹配） 刪除filter表的

9、INPUT鏈里的第三條規(guī)則（不管它的內(nèi)容是什么） iptables -D INPUT -s 192.168.0.1 -j DROP（按內(nèi)容匹配） 刪除filter表的INPUT鏈里內(nèi)容為“-s 192.168.0.1 -j DROP”的規(guī)則 （不管其位置在哪里）注意： 1、若規(guī)則列表中有多條相同的規(guī)則時(shí)，按內(nèi)容匹配只刪除序號(hào)最小的一條 2、按號(hào)碼匹配刪除時(shí)，確保規(guī)則號(hào)碼 ≤ 已有規(guī)則數(shù)，否則報(bào)

10、錯(cuò) 3、按內(nèi)容匹配刪除時(shí)，確保規(guī)則存在，否則報(bào)錯(cuò),3.2.3 -R,-R REPLACE，替換一條規(guī)則例如： iptables -R INPUT 3 -j ACCEPT 將原來(lái)編號(hào)為 3 的規(guī)則內(nèi)容替換為“-j ACCEPT”注意： 確保規(guī)則號(hào)碼 ≤ 已有規(guī)則數(shù)，否則報(bào)錯(cuò),3.2.4 -P,-P POLICY，設(shè)置某個(gè)鏈的默認(rèn)規(guī)則例如： iptables -P

11、 INPUT DROP 設(shè)置filter表的INPUT鏈的默認(rèn)規(guī)則是 DROP注意： 當(dāng)數(shù)據(jù)包沒有被規(guī)則列表里的任何規(guī)則匹配到時(shí)，按此默認(rèn)規(guī)則處理。動(dòng)作前面不能加 –j，這也是唯一一種匹配動(dòng)作前面不加 –j 的情況。,3.2.5 -F,-F [鏈名] FLUSH，清空規(guī)則例如： iptables -F INPUT 清空f(shuō)ilter表的INPUT鏈中的所有規(guī)則 iptables -t

12、nat -F PREROUTING 清空nat表PREROUTING鏈中的所有規(guī)則注意： 1、-F 僅僅是清空鏈中規(guī)則，并不影響 -P 設(shè)置的默認(rèn)規(guī)則 2、-P 設(shè)置了 DROP 后，使用 -F 一定要小心?。?！ 3、如果不寫鏈名，默認(rèn)清空某表里所有鏈里的所有規(guī)則,3.2.6 -[vxn]L,-L [鏈名] LIST，列出規(guī)則 v：顯示詳細(xì)信息，包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)

13、 x：在 v 的基礎(chǔ)上，禁止自動(dòng)單位換算（K、M） n：只顯示 IP 地址和端口號(hào)碼，不顯示域名和服務(wù)名稱例如： iptables -L 粗略列出 filter 表所有規(guī)則 iptables -t nat -vnL 用詳細(xì)方式列出 nat 表的所有規(guī)則，只顯示 IP 地址和端口號(hào) iptables -t nat -vxnL PREROUTING 用詳細(xì)方式列出 nat

14、 表 PREROUTING 鏈的所有規(guī)則以及詳細(xì)數(shù)字，不反解,3.3 匹配條件,流入、流出接口（-i、-o）來(lái)源、目的地址（-s、-d）協(xié)議類型 （-p）來(lái)源、目的端口（--sport、--dport）,3.3.1 按網(wǎng)絡(luò)接口匹配,-i 例如： -i eth0 匹配是否從網(wǎng)絡(luò)接口 eth0 進(jìn)來(lái) -i ppp0 匹配是否從網(wǎng)絡(luò)接口 ppp0 進(jìn)來(lái)-o 匹配數(shù)據(jù)流出的網(wǎng)絡(luò)接口例如：

15、 -o eth0 -o ppp0,3.3.2 按來(lái)源目的地址匹配,-s 可以是 IP、NET、DOMAIN，也可空（任何地址）例如： -s 192.168.0.1 匹配來(lái)自 192.168.0.1 的數(shù)據(jù)包 -s 192.168.1.0/24 匹配來(lái)自 192.168.1.0/24 網(wǎng)絡(luò)的數(shù)據(jù)包 -s 192.168.0.0/16 匹配來(lái)自 192.168.0.0/16 網(wǎng)

16、絡(luò)的數(shù)據(jù)包-d 可以是 IP、NET、DOMAIN，也可以空例如： -d 202.106.0.20 匹配去往 202.106.0.20 的數(shù)據(jù)包 -d 202.106.0.0/16 匹配去往 202.106.0.0/16 網(wǎng)絡(luò)的數(shù)據(jù)包 -d www.abc.com 匹配去往域名 www.abc.com 的數(shù)據(jù)包,3.3.3 按協(xié)議類型匹配,-p 可以是 TCP、UDP、I

17、CMP 等，也可為空例如： -p tcp -p udp -p icmp --icmp-type 類型 ping: type 8 pong: type 0,3.3.4 按來(lái)源目的端口匹配,--sport 可以是個(gè)別端口，可以是端口范圍例如： --sport 1000 匹配源端口是 1000 的數(shù)據(jù)包 --sport 1000:3000 匹配源端口是 1000

18、-3000 的數(shù)據(jù)包（含1000、3000） --sport :3000 匹配源端口是 3000 以下的數(shù)據(jù)包（含 3000） --sport 1000: 匹配源端口是 1000 以上的數(shù)據(jù)包（含 1000）--dport 可以是個(gè)別端口，可以是端口范圍例如： --dport 80 匹配目的端口是 80 的數(shù)據(jù)包 --dport 6000:8000 匹配目的端

19、口是 6000-8000 的數(shù)據(jù)包（含6000、8000） --dport :3000 匹配目的端口是 3000 以下的數(shù)據(jù)包（含 3000） --dport 1000: 匹配目的端口是 1000 以上的數(shù)據(jù)包（含 1000）注意：--sport 和 --dport 必須配合 -p 參數(shù)使用,3.3.5 匹配應(yīng)用舉例,1、端口匹配-p udp --dport 53匹配網(wǎng)絡(luò)中目的端口是 53 的 UD

20、P 協(xié)議數(shù)據(jù)包2、地址匹配-s 10.1.0.0/24 -d 172.17.0.0/16匹配來(lái)自 10.1.0.0/24 去往 172.17.0.0/16 的所有數(shù)據(jù)包3、端口和地址聯(lián)合匹配-s 192.168.0.1 -d www.abc.com -p tcp --dport 80匹配來(lái)自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 協(xié)議數(shù)據(jù)包注意：1、--sport、--d

21、port 必須聯(lián)合 -p 使用，必須指明協(xié)議類型是什么2、條件寫的越多，匹配越細(xì)致，匹配范圍越小,3.4 動(dòng)作（處理方式）,ACCEPTDROPSNATDNATMASQUERADE,3.4.1 -j ACCEPT,-j ACCEPT 通過，允許數(shù)據(jù)包通過本鏈而不攔截它 類似 Cisco 中 ACL 里面的 permit例如： iptables -A INPUT -j ACCEPT 允許所有訪

22、問本機(jī) IP 的數(shù)據(jù)包通過,3.4.2 -j DROP,-j DROP 丟棄，阻止數(shù)據(jù)包通過本鏈而丟棄它 類似 Cisco 中 ACL 里的 deny例如： iptables -A FORWARD -s 192.168.80.39 -j DROP 阻止來(lái)源地址為 192.168.80.39 的數(shù)據(jù)包通過本機(jī),3.4.4 -j DNAT,-j DNAT --to IP[-IP][:端口-端口]（nat

23、 表的 PREROUTING 鏈） 目的地址轉(zhuǎn)換，DNAT 支持轉(zhuǎn)換為單 IP，也支持轉(zhuǎn)換到 IP 地址池 （一組連續(xù)的 IP 地址）例如：iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ -j DNAT --to 192.168.0.1把從 eth0 進(jìn)來(lái)的要訪問 TCP/80 的數(shù)據(jù)包目的地址改為 192.168.0.1iptables

24、 -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ -j DNAT --to 192.168.0.1-192.168.0.10,3.4.3 -j SNAT,-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 鏈） 源地址轉(zhuǎn)換，SNAT 支持轉(zhuǎn)換為單 IP，也支持轉(zhuǎn)換到 IP 地址池 （一組連續(xù)的 IP 地址）例如：ipt

25、ables -t nat -A POSTROUTING -s 192.168.0.0/24 \ -j SNAT --to 210.41.170.83將內(nèi)網(wǎng) 192.168.0.0/24 的原地址修改為 210.41.170.83，用于 NATiptables -t nat -A POSTROUTING -s 192.168.0.0/24 \ -j SNAT --to 1.1.1.1-1.1.1.10同上，只不過修

26、改成一個(gè)地址池里的 IP,3.4.5 -j MASQUERADE,-j MASQUERADE動(dòng)態(tài)源地址轉(zhuǎn)換（動(dòng)態(tài) IP 的情況下使用）例如： iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 將源地址是 192.168.0.0/24 的數(shù)據(jù)包進(jìn)行地址偽裝,3.5 附加模塊,按包狀態(tài)匹配 （state）按來(lái)源 MAC 匹配（mac）

27、按包速率匹配 （limit）多端口匹配 （multiport）iprange模塊的應(yīng)用string模塊的應(yīng)用comment模塊的應(yīng)用,3.5.1 state,-m state --state 狀態(tài)狀態(tài)：NEW、RELATED、ESTABLISHED、INVALID NEW：有別于 tcp 的 syn ESTABLISHED：連接態(tài) RELATED：衍生態(tài)，與 conntrack

28、關(guān)聯(lián)（FTP） INVALID：不能被識(shí)別屬于哪個(gè)連接或沒有任何狀態(tài)例如： iptables -A INPUT -m state --state RELATED,ESTABLISHED \ -j ACCEPT這一語(yǔ)句的作用是允許所有已經(jīng)建立連接或者與之相關(guān)的數(shù)據(jù)通過,3.5.2 mac,-m mac --mac-source MAC匹配某個(gè) MAC 地址例如： iptables -A

29、 FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx \ -j DROP 阻斷來(lái)自某 MAC 地址的數(shù)據(jù)包，通過本機(jī)注意：報(bào)文經(jīng)過路由后，數(shù)據(jù)包中原有的 mac 信息會(huì)被替換，所以在路由后的 iptables 中使用 mac 模塊是沒有意義的,3.5.3 limit,-m limit --limit 匹配速率 [--burst 緩沖數(shù)量] 用一定速率去匹配數(shù)據(jù)

30、包例如： iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \ -j ACCEPT iptables -A FORWARD -d 192.168.0.1 -j DROP注意： limit 英語(yǔ)上看是限制的意思，但實(shí)際上只是按一定速率去匹配而已，要想限制的話后面要再跟一條 DROP,3.5.4 multiport,-m multiport

31、 端口1[,端口2,..,端口n]一次性匹配多個(gè)端口，可以區(qū)分源端口，目的端口或不指定端口例如： iptables -A INPUT -p tcp -m multiport --dports \ 21,22,25,80,110 -j ACCEPT注意： 必須與 -p 參數(shù)一起使用,3.5.5 iprange,-m iprange IP地址范圍例如：iptables -t nat -I PRE

32、ROUTING -i eth0 -m iprange --src-range 192.168.1.102-192.168.1.102 -j ACCEPTiptables -t nat -A PREROUTING -m iprange --src-range 192.168.0.20-192.168.0.255 -i eth1 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 8

33、0,3.5.6 string模塊,-m string “指定需要過濾的字符串”—algo [bm|kmp]例如：iptables -I FORWARD -s 192.168.1.189 -m string --string "qq.com" --algo bm -j DROPiptables -I FORWARD -p tcp --sport 80 -m string --string "廣告&q

34、uot; --algo kmp -j DROP,3.5.7 comment,-m comment --comment“注釋說(shuō)明”例如：iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" --algo bm -j DROP -m comment --comment "denny go to qq.com",4. 實(shí)例

35、分析,單服務(wù)器的防護(hù)如何做網(wǎng)關(guān)如何限制內(nèi)網(wǎng)用戶內(nèi)網(wǎng)如何做對(duì)外服務(wù)器連接追蹤模塊,4.1 單服務(wù)器的防護(hù),弄清對(duì)外服務(wù)對(duì)象書寫規(guī)則 網(wǎng)絡(luò)接口 lo 的處理 狀態(tài)監(jiān)測(cè)的處理 協(xié)議 + 端口的處理實(shí)例：一個(gè)普通的 web 服務(wù)器iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport --dports 22,80 -j

36、ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP注意：確保規(guī)則順序正確，弄清邏輯關(guān)系，學(xué)會(huì)時(shí)刻使用 -vnL,4.2 如何做網(wǎng)關(guān),弄清網(wǎng)絡(luò)拓?fù)浔緳C(jī)上網(wǎng)設(shè)置 nat 啟用路由轉(zhuǎn)發(fā) 地址偽裝 SNAT/MASQUERADE實(shí)例：ADSL 撥號(hào)上網(wǎng)的拓?fù)鋏cho "1

37、" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \ -j MASQUERADE,4.3 如何限制內(nèi)網(wǎng)用戶,過濾位置 filer 表 FORWARD 鏈匹配條件 -s -d -p --s/dport處理動(dòng)作 ACCEPT DROP實(shí)例：iptables -A FORWARD

38、 -s 192.168.0.3 -j DROPiptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \ -j DROPiptables -A FORWARD -d bbs.chinaunix.net -j DROP,4.4 內(nèi)網(wǎng)如何做對(duì)外服務(wù)器,服務(wù)協(xié)議（TCP/UDP）對(duì)外服務(wù)端口內(nèi)部服務(wù)器私網(wǎng) IP內(nèi)部真正服務(wù)端口實(shí)例：iptables -t nat

39、 -A PREROUTING -i eth0 -p tcp --dport 80 \ -j DNAT --to 192.168.1.1iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 \ -j DNAT --to 192.168.1.2:80,5. 網(wǎng)管策略,怕什么能做什么讓什么 vs 不讓什么三大“紀(jì)律”五項(xiàng)“注意”其他注意事項(xiàng),5.1 必加項(xiàng),e

40、cho "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/tcp_syncookiesecho "1" > \ /proc/sys/net/ipv4/icmp_ignore_bogus_error_responsesmodprobe ip_nat_ftp,5.2 可

41、選方案,堵：iptables -A FORWARD -p tcp --dport xxx -j DROPiptables -A FORWARD -p tcp --dport yyy:zzz -j DROP通：iptables -A FORWARD -p tcp --dport xxx -j ACCEPTiptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPTiptables

42、-A FORWARD -m state --state RELATED,ESTABLISHED \ -j ACCEPTiptables -P FORWARD DROP,5.3 三大“紀(jì)律”五項(xiàng)“注意”,三大“紀(jì)律”——專表專用 filter nat mangle五項(xiàng)“注意”——注意數(shù)據(jù)包的走向 PREROUTING INPUT FORWARD OUTPUT P

43、OSTROUTING,5.4 其他注意事項(xiàng),養(yǎng)成好的習(xí)慣 iptables -vnL iptables -t nat -vnL iptables-save注意邏輯順序 iptables -A INPUT -p tcp --dport xxx -j ACCEPT iptables -I INPUT -p tcp --dport yyy -j ACCEPT學(xué)會(huì)寫簡(jiǎn)單的腳本,6. 使用總則,所有

44、鏈名必須大寫INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING所有表名必須小寫filter/nat/mangle所有動(dòng)作必須大寫ACCEPT/DROP/SNAT/DNAT/MASQUERADE所有匹配必須小寫-s/-d/-m /-p,6. FAQ.1,Q：我設(shè)置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP 為何內(nèi)網(wǎng)用戶還是可

45、以訪問那個(gè)地址？ A：filter 表的 OUTPUT 鏈?zhǔn)潜緳C(jī)訪問外面的必經(jīng)之路，內(nèi)網(wǎng)數(shù)據(jù)不經(jīng)過該鏈Q(jìng)：我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP 為何內(nèi)網(wǎng)用戶還是可以訪問那個(gè)地址？A：檢查整個(gè)規(guī)則是否存在邏輯錯(cuò)誤，看是否在 DROP 前有 ACCEPTQ：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQ

46、UERADE 這條語(yǔ)句為何報(bào)錯(cuò)？A：POSTROUTING 鏈不支持“流入接口” -i 參數(shù) 同理，PREROUTING 鏈不支持“流出接口” -o 參數(shù),6. FAQ.2,Q：我應(yīng)該怎么查看某個(gè)模塊具體該如何使用？A：iptables -m 模塊名 -hQ：執(zhí)行 iptables -A FORWARD -m xxx -j yyy 提示 iptables: No chain/target/match by th

47、at nameA：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中， 缺少與 xxx 模塊有關(guān)的文件，或缺少與 yyy 動(dòng)作有關(guān)的文件 名字為 ipt_xxx.o（2.4內(nèi)核） 或 ipt_yyy.ko（2.6內(nèi)核）Q：腳本寫好了，內(nèi)網(wǎng)上網(wǎng)沒問題，F(xiàn)TP 訪問不正常，無(wú)法列出目錄，為什么？A：缺少 ip_nat_ftp 這個(gè)模塊，modprobe ip_nat

48、_ftp,6. FAQ.3,更多 FAQ 內(nèi)容http://www.netfilter.org/documentation/FAQ/netfilter-faq.html,7. 實(shí)戰(zhàn).1,,,,CU: 202.106.0.20,202.106.0.254(eth0),192.168.0.254(eth1),client: 192.168.0.1,7. 實(shí)戰(zhàn).1－參考答案,CU:ifconfig eth0 202.106.0.20

49、netmask 255.255.255.0Client:ifconfig eth0 192.168.0.1 netmask 255.255.255.0route add default gw 192.168.0.254Firewall:ifconfig eth0 202.106.0.254 netmask 255.255.255.0ifconfig eth1 192.168.0.254 netmask 255.2

50、55.255.0service iptables stopmodprobe ip_nat_ftpecho 1 > /proc/sys/net/ipv4/ip_forwardiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -m state --stat

51、e RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROPiptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --to 202.106.0.254(iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE),,7. 實(shí)

52、戰(zhàn).2,,,,CU: 202.106.0.20,202.106.0.254(eth0),192.168.0.254(eth1),client: 192.168.0.1,web server: 172.17.0.1,172.17.0.254 (eth2),7. 實(shí)戰(zhàn).2－參考答案,CU:ifconfig eth0 202.106.0.20 netmask 255.255.255.0Server:ifconfig eth0 1

53、72.17.0.1 netmask 255.255.255.0route add default gw 172.17.0.254Client:ifconfig eth0 192.168.0.1 netmask 255.255.255.0route add default gw 192.168.0.254Firewall:ifconfig eth0 202.106.0.254 netmask 255.255.255

54、.0ifconfig eth1 192.168.0.254 netmask 255.255.255.0ifconfig eth2 172.17.0.254 netmask 255.255.255.0service iptables stopmodprobe ip_nat_ftpecho 1 > /proc/sys/net/ipv4/ip_forwardiptables -A INPUT -i lo -j A

55、CCEPTiptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROPiptables -t nat -A POSTROUTING -s 192.168.0.0/24 –o eth0 -j SNAT --t