做这个东西太麻烦了,一不小心,就被自己关门外了。

----------------------------------------------

一、前言

二、环境

三、语法解析

四、配置及测试

1.SNAT案例

2.DNAT案例

3.SSH案例

4.SSH深入案例(自定义规则)

5.web和ftp(自定义规则)

6.web和ftp(系统默认规则)

五、保存

----------------------------------------------



一、前言

    iptables即Linux 内核集成的 IP 信息包过滤系统,如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

    netfilter/iptables即包过滤,仅能应用在网络层 【来源地址、目标地址、协议(ip icmp arp rarp等)】和传输层【协议(tcp/udp)、端口号(来源端口,目标端口)、tcp标志位(syn ack fin rst)、状态(ESTABLISHED,NEW,INVALID,RELATED)】,如果想在应用层过滤可以使用L7项目,现已停止维护。


二、环境

CentOS6.4 32位

三、语法解析

初窥netfilter/iptables_SNAT

netfilter框架:

1.filter:防火墙策略过滤

     INPUT         针对防火墙自身的访问(比如内网或外网访问web,mysql)

     OUTPUT        源自于防火墙的访问  (比如自身访问内网或外网的资源)

     FORWARD       穿越防火墙的访问

2.nat:NAT转换

     POSTROUTING   SNAT 源地址转换  (内部访问外部)

     PREROUTING    DNAT 目标地址转换(外部访问内部)

     OUTPUT

3.mangle:数据包的QOS(服务质量),不常用

     INPUT

     OUTPUT

     FORWARD

     POSTROUTING

     PREROUTING


基本语法:

iptables -t 表格名称  指令 chain  选项 参数 -j 动作


表格名称:

-t  

   filter  【INPUT OUTPUT FORWARD】

   nat     【POSTROUTING PREROUTING OUTPUT】

   mangle  【INPUT OUTPUT FORWARD POSTROUTING PREROUTING 】


指令:

-L   --list                     查看规则列表

-A   --append                   在规则列表的最后增加1条规则

-D   --delete    chain 编号     从规则列表中删除指定的规则

-I   --insert    chain 编号     在指定的位置插入1条规则

-R   --replace   chain 编号     替换规则列表中的某条规则

-P   --policy    chain          定义默认策略

-N   --new-chain                用户自定义的链名

-X   --delete-chain             删除filter表中所有用户自定义链(系统内置的链无法清除)

-F   --flush     chain          清除filter表中(或某一链中)的所有规则(包括系统内置的链上的所有规则,以及用户自定义的链上的所有规则)

-n   --numeric                  以易读的数字方式显示

-v   --verbose                  详细信息

--line-numbers                  显示规则的编号

选项  参数:

来源   -s  --source      地址/子网/网络

      -i  指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等(注意:该参数只能用于INPUT,  FORWARD  and PREROUTING这三个链)

目标   -d  --destination 地址/子网/网络

      -o  指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等(注意:该参数只能用于OUTPUT,  POSTROUTING这两个链)

协议   -p  tcp/udp       --sport 源端口号  --dport  目标端口号

          icmp          --icmp-type  

模块:

-m   模块名称  参数


动作:

    ACCEPT      接受数据包  

    REJECT/DROP 丢弃数据包,REJECT与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息

    SNAT        源地址转换

    DNAT        目标地址转换

    REDIRECT    重定向


规则的应用顺序:从上到下的,最后才是默认规则


四、配置及测试

1.SNAT案例

初窥netfilter/iptables_iptables_02


# vim /etc/sysctl.conf
 7 net.ipv4.ip_forward = 1    //开启路由转发功能
# sysctl -p
# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j SNAT --to 192.168.1.105
# iptables -t nat -L -n -v --line-number
Chain PREROUTING (policy ACCEPT 68 packets, 5606 bytes)
num   pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 1 packets, 70 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 SNAT       all  --  *      eth1    192.168.2.0/24       0.0.0.0/0           to:192.168.1.105
Chain OUTPUT (policy ACCEPT 1 packets, 70 bytes)
num   pkts bytes target     prot opt in     out     source               destination


此时,PC1 ping 192.168.1.1(外网网关),可能会不同,显示Destination Host Prohibited

查找原因,是因为filter中的FORWARD链(穿越防火墙的访问)有一条默认规则,关掉即可。

# iptables -t filter -L
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
# iptables -t filter -F FORWARD

此时,PC1就可以连接外网了。

如果外网上有一个ftp服务器,通过浏览器访问是没问题的,但是命令行访问是没有数据的,需要加载一个模块即可。

# modprobe  ip_nat_ftp

如果,eth2的地址是动态的怎么办,需要地址伪装。

# iptables -t nat -R POSTROUTING 1 -s 192.168.2.0/24 -o eth2 -j MASQUERADE   //地址伪装

snat总结

# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j SNAT --to 192.168.1.105   (wan口地址,静态)
# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE                 (wan口动态地址)


2.DNAT案例(多用于服务器的发布)

# iptables -t nat -A PREROUTING -d 192.168.1.105 -p tcp --dport 3389 -j DNAT --to 192.168.2.100
# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 39 packets, 3231 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   204 DNAT       tcp  --  any    any     anywhere             192.168.1.105       tcp dpt:ms-wbt-server to:192.168.2.100

在外网就可以远程连接内网中的PC1,连接地址是192.168.1.105。

初窥netfilter/iptables_chain_03

初窥netfilter/iptables_SNAT_04


3.防火墙对SSH服务设置

针对INPUT:

--dport和-d都是指自己的端口和地址

--sport和-s是指发起连接者的端口和地址


针对OUTPUT:

--sport和-s都是指自己的端口和地址

--dport和-d是指发起连接者的端口和地址

(1)作为ssh服务器时的设置

# iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

(2)作为客户机连接ssh服务

# iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT  -p tcp --sport 22 -j ACCEPT

注意:ssh连接本机ip是服务器作为客户机连接ssh服务的一特例。

上面对ssh服务设置的规则有漏洞,如果黑客利用网络包欺骗,便可入侵服务;只有当服务器iptables对发出包的进行验证,如果是已经建立的连接的数据包(ESTABLISHED),则允许通过,否则DROP。

4.(1)作为ssh服务器时(drop全部默认规则)

# iptables -t filter -A INPUT -s 192.168.2.0/24 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -t filter -A OUTPUT -d 192.168.2.0/24 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination      
ACCEPT     tcp  --  192.168.2.0/24       0.0.0.0/0           tcp dpt:22 state NEW,ESTABLISHED
Chain FORWARD (policy DROP)
target     prot opt source               destination      
Chain OUTPUT (policy DROP)
target     prot opt source               destination      
ACCEPT     tcp  --  0.0.0.0/0            192.168.2.0/24      tcp spt:22 state ESTABLISHED

(2)作为客户机对ssh设置

# iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

5.web和ftp(自定义规则)

# setup   //把防火墙系统默认规则关掉

初窥netfilter/iptables_DNAT_05

# iptables -L      //系统默认规则全部关闭
Chain INPUT (policy ACCEPT)
target     prot opt source               destination      
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination      
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

(1)针对web服务器(80端口)

初窥netfilter/iptables_chain_06

# iptables -t filter -A INPUT  -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -t filter -A OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

(2)针对ftp服务器

# iptables -t filter -A INPUT  -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -t filter -A OUTPUT  -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
# iptables -t filter -A INPUT  -p tcp --dport 20 -m state --state  ESTABLISHED -j ACCEPT
# iptables -t filter -A OUTPUT  -p tcp --sport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
#modprobe ip_nat_ftp

6.web和ftp(系统默认规则)

# setup   //开启防火墙系统默认规则

初窥netfilter/iptables_iptables_07

# iptables -L    //系统默认的所有规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination      
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere         
ACCEPT     all  --  anywhere             anywhere         
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination      
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

打开ftp的规则

初窥netfilter/iptables_chain_08

打开web的规则

初窥netfilter/iptables_chain_09

# iptables -L -n --line-number   //打开ftp及web的整体默认规则
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination      
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0        
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0        
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
7    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination      
1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination


五、保存

# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

所有规则都保存在/etc/sysconfig/iptables中。