; 防火墙原理以及iptables重要实践 | Linux运维部落

防火墙原理以及iptables重要实践

防火墙

  • 主机间通信大致过程:

    1. 请求报文由客户端IP+PORT和服务器端IP+PORT构成。当客户端网络地址和服务端地址在同一网段时,不需要经由路由转发,可以直接到目标服务器,再经由服务器端口请求道所需资源;
    2. 当服务器端和客户端不在同一网段时。目标IP和源IP是不会改变的,会经由互联网中的路由器,按照其的路由表,指向该路由器的下一跳主机,知道找到服务器端所在网段。

      • 当Linux主机充当路由器时,接收到报文请求之后,判断目标IP是不是本地的IP地址,如果是,则发往内核空间拆开IP封装,再拆开端口地址封装,交由目标端口,有监听该端口的进程进行处理。
      • 当不是本地的IP,并且打开了核心转发功能(ip_forward),那么,就会交给其他网卡,并且根据相应的路由表进行转发
  • 防火墙的工作原理:

    • 由于主机之间的通信,需要IP和端口两个数据,那么我们可以在端口之外,将端口封起来,不允许随意访问,这样就可以实现防火墙功能呢个
    • 但是,作为服务器而言,需要向外提供服务;作为客户端而言,需要向外请求服务。所以,纯粹的封闭主机的端口,来达到防火墙功能,并不现实。需要在防火墙上添加规则,并且给出相应的处理动作,与规则条件不匹配的,做出什么样的处理动作,符合的又该做出什么动作。
    • 根据主机间的通信过程,我们可以了解到,一个请求进入一台Linux主机,有两个方向可以通过,一个是进入内核空间,另外一个是通过核心转发功能转发出去:


1. 请求报文进入主机内部,先经由prerouting,input链进入内核空间,到目标端口,进行处理
2. 处理完之后,用过output,postrouting,由本机发出 2. 请求报文进入主机内部,从prerouting,到forward,再到postrouting,由本机转发
3. 请求报文进入内核空间,经由ouput,postrouting,再到网卡,由本机发出 4. 对Linux而言,这五个能实现包进行处理的位置,是在内核中安置的一个框架,任何一个报文只要达到这个位置,都会被审核(根据检查规则作出相应处理动作。如何添加规则就是由管理员所定义的) 5. 通过iptables这个工具,将编写的规则通过这个工具发送给上述的框架 

  • iptables:

    1. 功能:(4表)

    filter:过滤,防火墙;
    nat:network address translation nat会话的连接追踪表;用于修改源IP或目标IP,也可以改端口;(功能是地址转换,保护服务器一侧,就将它放置在服务器里,向外提供服务;保护客户端一侧,放置在客户端,代表客户端访问互联网。保护客户端的时候做源地址转换;保护服务端做目标地址转换)
    mangle:拆解报文,做出修改,并重新封装起来;(修改地址(源IP,目标IP)之外的其他属性,比如报文中的其他信息 ttl 协议版本等。)
    raw:关闭nat表上启用的连接追踪机制

    1. 5链

    PREROUTING
    INPUT
    FORWARD
    OUTPUT
    POSTROUTING

  • state

    它是coontrack模块(连接追踪)的子集;可以基于连接追踪功能去查看某一报文的当前所处的状态
    连接追踪:在内核内存中打开一段空间,这段空间可以记录下来,此前哪些客户端访问过。(给内核内存中添加了记录某个IP基于什么协议通过什么端口访问了哪些东西等信息)
    连接追踪功能需要激活后才能使用,需要装载(-m state –state
    对于一个非常繁忙的主机而言,要么调大这个空间,要么不开启追踪

    • [!] –state state

      INVALID,ESTABLSHED,NEW,RELATED or UNTRACKED.
      NEW:新连接请求;
      ESTABLISHED:已经建立的连接;
      RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;  UNTRACKED:未追踪的连接;
      INVALID:无法识别的连接;

    • state扩展:

      内核模块装载:
      nf_conntrack
      nf_conntrack_ipv4

    • 手动装载:

      nf_conntarck_ft

  • SNAT:源地址转换。用于将IP数据包的源地址转换成另外一个地址,实现隐藏客户端源IP,顺带着解决了IPv4地址不够使用的问题

  • DNAT:目标地址转换。实现了隐藏服务器地址,和解决IPv4地址不够使用的问题

    #环境:
    A:eth0:inet 192.168.2.128/24 
    B:eth0: inet 192.168.3.129/24;
       eth1: inet 192.168.2.129/24
    C:eth0:inet 192.168.3.128/24
    #B机器eth1为A机器的网关
    ip route add default via 192.168.2.129
    #B机器eth0为C机器网关
    ip route add default via 192.168.3.129
    #B机器添加规则:
    iptables -t nat -A PREROUTING -d 192.168.2.129 -j DNAT --to-destination 192.168.3.128       #构建DNAT
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.0.6                #构建SNAT

万能规则示例:

#在B机器(开启了核心转发功能的Linux主机)添加一下规则
iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
    #对所有已经建立的报文,都放行
iptables -I FOWARD 2 -s 192.168.2.0/24 -m state --state NEW -j ACCEPT
    #开放内网主机(A),访问服务端(外网主机C),放行NEW请求;表示放行内网去访问外网。
#注意,无法放行ftp这种半连接状态的协议,需要额外添加RELATED的规则
modprobe nf_conntrack_ftp
vim /etc/sysconfig/iptables-config
    IPTBLES_MODULES="nf_conntrack_ftp"      #firewalld文件,自动加载这个模块,CentOS6中自动启动可以使用脚本
iptables -I FORWARD 5 -d 192.168.2.128 -p tcp -m state --state RELATED -j ACCEPT

原创文章,作者:半斤八两,如若转载,请注明出处:http://www.178linux.com/78172

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

400-080-6560

在线咨询:点击这里给我发消息

邮件:1660809109@qq.com

工作时间:周一至周五,9:30-18:30,节假日同时也值班