前几天有些网友在群中提到搞不清SELINUX和iptalbes,那么本文就先来讲讲iptables的一些简单概念和命令语法哈~其实在以前的文章中多多少少已经涉及到相关的应用,本文就专门来谈谈iptalbes的一些具体应用,写得不好请多多包涵哈~相关服务有高级的配置也发给我研究研究哈~
Iptables原理
现在防火墙主要分以下三种类型:包过滤、应用代理、状态检测
包过滤防火墙:现在静态包过滤防火墙市面上已经看不到了,取而代之的是动态包过滤技术的防火墙哈~
代理防火墙:因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护,比如大家知道的SYN攻击、ICMP洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈~其使用了一种应用协议分析的新技术。
状态检测防火墙:其基于动态包过滤技术发展而来,加入了一种状态检测的模块,进一点发展了会话过滤功能,会话状态的保留是有时间限制的,此防火墙还可以对包的内容进行分析,从而避免开放过多的端口。
netfilter/iptables IP数据包过滤系统实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分,其作用是定义、保存相应的规则,而iptables是一种工具,用来修改信息的过滤规则及其他配置,我们可以通过iptables来设置一些适合我们企业需求环境的规则哈~,而这些规则会保存在内核空间之中。
netfilter是Linux核心中的一个通用架构,其提供了一系列的表(tables),每个表由若干个链(chains)组成,而每条链可以由一条或若干条规则(rules)组成。实际上netfilter是表的容器,表是链的容器,而链又是规则的容器。
filter表
nat表
mangle表
iptables内置链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前
netfilter五条链相互关系,即iptables数据包转发流程图
Iptables工作流程图
iptables拥有三个表和五条链组成
NAT工作原理
Iptables详细参数表
Iptables基本语法
iptables [-t 表名] -命令 -匹配 -j 动作/目标
iptables内置了filter、nat和mangle三张表,我们可以使用-t参数来设置对哪张表生效哈~也可以省略-t参数,则默认对filter表进行操作。
具体命令参数可以通过man iptables查询哈~
配置SNAT命令基本语法
iptables -t nat -A POSTROUTING -o 网络接口 -j SNAT --to-source IP地址
配置DNAT命令基本语法
iptables -t nat -A PREROUTING -i 网络接口 -p 协议 --dport 端口 -j DNAT --to-destination IP地址
企业环境及需求
1、企业环境
230台客户机,IP地址范围为192.168.0.1~192.168.0.254,子网掩码为255.255.255.0
Mail服务器:IP地址为192.168.0.1 子网掩码为255.255.255.0
FTP服务器:IP地址为192.168.0.2 子网掩码为255.255.255.0
WEB服务器:IP地址为192.168.0.3 子网掩码为255.255.255.0
公司网络拓扑图如下:
2、配置默认策略
所有内网计算机需要经常访问互联网,并且员工会使用即时通信工具与客户进行沟通,企业网络DMZ隔离区搭建有Mail、FTP和Web服务器,其中Mail和FTP服务器对内部员工开放,仅需要对外发布Web站点,并且管理员会通过外网进行远程管理,为了保证整个网络的安全性,需要添加iptables防火墙并配置相应的策略
需求分析
企业的内部网络为了保证安全性,需要首先删除所有规则设置,并将默认规则设置为DROP,然后开启防火墙对于客户端的访问限制,打开WEB、MSN、QQ及MAIL的相应端口,并允许外部客户端登录WEB服务器的80、22端口。
解决方案
1、配置默认策略
默认iptables已经被安装好了
(1)删除策略
iptables -F:清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则
iptables -X:清除预设表filter中使用者自定链中的规则
iptables -Z:清除预设表filter中使用者自定链中的规则
(2)设置默认策略
设置默认策略为关闭filter表的INPPUT及FORWARD链开启OUTPUT链,nat表的三个链PREROUTING、OUTPUT、POSTROUTING全部开启哈~默认全部链都是开启的,所以有些命令可以不操作,另外mangle表本文没用到,所以不做处理,mangle主要用在数据包的特殊变更处理上,比如修改TOS等特性。
2、设置回环地址
iptables -A INPUT -i lo -j ACCEPT
3、连接状态设置
为了简化防火墙的配置操作,并提高检查的效率,需要添加连接状态设置
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
连接跟踪存在四种数据包状态
NEW:想要新建连接的数据包
INVALID:无效的数据包,例如损坏或者不完整的数据包
ESTABLISHED:已经建立连接的数据包
RELATED:与已经发送的数据包有关的数据包
4、设置80端口转发
公司网站需要对外开放,所以我们需要开放80端口
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
5、DNS相关设置
为了客户端能够正常使用域名访问互联网,我们还需要允许内网计算机与外部DNS服务器的数据转发。
开启DNS使用UDP、TCP的53端口
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
6、允许访问服务器的SSH
管理员会通过外网进行远程管理,所以我们要开启SSH使用的TCP协议22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
7、允许内网主机登录MSN和QQ相关设置
QQ能够使用TCP80、8000、443及UDP8000、4000登录,而MSN通过TCP1863、443验证。因此只需要允许这些端口的FORWARD转发即可以正常登录。
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 8000 -j ACCEPT
iptables -A FORWARD -p udp --dport 4000 -j ACCEPT
注意:当然,如果公司要限制这样即时通信工具的使用,只要禁止这些端口的转发就可以了哈~特别注意,马化腾这家伙忒坏~嘿嘿~,端口不固定,QQVIP会员专用通道什么的,代理登录等等哈~,所以我们如果需要封杀就要收集全登录端口及QQ服务器地址,根据本人总结,最好在企业实际配置中技术与行政管理相结合,这样达到的效果最好~0(^_^)0
8、允许内网主机收发邮件
客户端发送邮件时访问邮件服务器的TCP25端口。接收邮件时访问,可能使用的端口则较多,UDP协议以及TCP协议的端口:110、143、993及995
smtp:
[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
pop3:
[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 110 -j ACCEPT
imap:
[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 143 -j ACCEPT
[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 143 -j ACCEPT
imaps:
[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 993 -j ACCEPT
[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 993 -j ACCEPT
pop3s:
[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 995 -j ACCEPT
9、NAT端口映射设置
由于局域网的地址为私网地址,在公网上不合法哈~所以必须将私网地址转为服务器的外部地址进行地址映射哈~连接外网接口为ppp0
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
MASQUERADE和SNAT作用一样哈~相样是提供源地址转换的操作,但是MASQUERADE是针对外部接口为动态IP地址来设置滴,不需要使用--to-source指定转换的IP地址。如果网络采用的是拨号方式接入互联网,而没有对外的静态IP地址(主要用在动态获取IP地址的连接,比如ADSL拨号、DHCP连接等等),那么建议使用MASQUERADE哈~
注意:MASQUERADE是特殊的过滤规则,其只可以映射从一个接口到另一个接口的数据哈~
10、内网机器对外发布WEB网站
内网WEB服务器IP地址为192.168.0.3,我们需要进行如下配置哈~,当公网客户端访问服务器时,防火墙将请求映射到内网的192.168.0.3的80端口
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80
11、保存与恢复iptables配置
保存:iptables-save
iptables-save [-c] [-t 表名]
-c:保存包和字节计数器的值。可以使在重启防火墙后不丢失对包和字节的统计
-t:用来保存哪张表的规则,如果不跟-t参数则保存所有的表
可以使用重定向命令来保存这些规则集
iptables-save > /etc/iptables-save
恢复:iptables-restore
iptables-restore [-c] [-n]
-c:如果加上-c参数则表示要求装入包和字节计数器
-n:表示不覆盖己有的表或表内的规则,默认情况下是清除所有己存在的规则
使用重定向来恢复由iptables-save保存的规则集
iptables-restore > /etc/iptables-save
如果要在服务或系统重启后依然生效
service iptables save
12、最终iptables配置如下
[root@rhel5 ~]# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy DROP) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:msnp ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:irdmi ACCEPT udp -- anywhere anywhere udp dpt:irdmi ACCEPT udp -- anywhere anywhere udp dpt:terabase ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT udp -- anywhere anywhere udp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:imap ACCEPT udp -- anywhere anywhere udp dpt:imap ACCEPT tcp -- anywhere anywhere tcp dpt:imaps ACCEPT udp -- anywhere anywhere udp dpt:imaps ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s ACCEPT udp -- anywhere anywhere udp dpt:pop3s
Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@rhel5 ~]# iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:http to:192.168.0.3:80
Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@rhel5 ~]# |
注意:
SNAT将源网络地址进行转换,只能用在nat表的POSTROUTING链中,只要连接的第一个符合条件的包被SNAT了哈~,那么这个连接的其他所有的数据包都会自动地被SNAT。与SNAT对应,DNAT将目的地址进行转换,只能用在nat表的PREROUTIONG和OUTPUT链中,或者是被这两条链调用的链里面。包含DNAT的链不能被除此之外的其他链调用,比如POSTROUTING链。
附:
我们可以通过设置禁止访问具体域名和IP地址哈~
禁止访问QQ主页:
禁止访问指定IP地址:
[root@rhel5 ~]# iptables -A FORWARD -d 119.147.15.17 -j DROP
我们可以通过查找QQ的安装目录来获取QQ服务器的地址和端口号哈~
虽然有乱码,但是还是可以看出来滴~利用域名过滤就可以了哈~
##################Michael分割线########################
下季我们来学习一下代理服务器Squid的配置哈~
##################Michael分割线########################