防护墙服务

iptables的基本认识
       Netfilter组件:
内核空间,集成在linux内核中
扩展各种网络服务的结构化底层框架
内核中选取五个位置放了五个Hook(勾子)function(INPUT、OUTPUT、FORWARD、PREROUTING、POST ROUTING),而这五个hoot function 向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。

由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。

三种报文流向:

流入本机:PREROUTING —> INPUT —>用户空间进程
流出本机:用户空间进程 —>OUTPUT —>POSTROUTING
转发:PREROUTING —> FORWARD –> POSTROUTING

防火墙工具

       iptables:

命令行工具,工作在用户空间
用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信
息包 .
      firewalld:
CentOS 7引入了新的前端管理工具
管理工具:
firewall-cmd 命令行
firewall-config 图形
iptables的组成
iptables由四个表和五个链以及一些规则组成
四个表table:filter, nat, mangle, raw
filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包 ;
nat表:network address translation 地址转换规则表
mangle:修改数据标记位规则表
Raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度
优先级由高到低的顺序为:raw–>mangle—>nat–>filter
五个内置链chain:

             INPUT OUTPUT FORWARD PREROUTI


Netfilter表和链对应关系:
防护墙服务



数据包过滤匹配流程:

防护墙服务



内核中数据包的传输过程
内核中数据包的传输过程 :

当一个数据包进入网卡时,数据包首先进入PREROUTING链, 内核根据

数据包目的IP判断是否需要转送出去;

如果数据包就是进入本机的,数据包就会沿着图向下移动,到达 INPUT

链。数据包到达INPUT链后,任何进程都会收到它。本 机上运行的程序

可以发送数据包,这些数据包经过OUTPUT链 ,然后到达POSTROTING

链输出 ;

如果数据包是要转发出去的,且内核允许转发,数据包就会向右 移动,

经过FORWARD链,然后到达POSTROUTING链输出。



iptables规则

规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规
则定义的处理动作作出处理
匹配条件:默认为与条件,同时满足
基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
扩展匹配:通过复杂高级功能匹配
处理动作:称为target,跳转目标。
内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNAT
,MASQUERADE,MARK,LOG…
自定义处理动作:自定义chain,利用分类管理复杂情形
规则要添加在链上,才生效;添加在自定义上不会自动生效
链chain:
内置链:每个内置链对应于一个钩子函数
自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织
管理机制;只有Hook钩子调用自定义链时,才生效.
iptables添加要点
iptables规则添加时考量点:

要实现哪种功能:判断添加在哪张表上

报文流经的路径:判断添加在哪个链上

报文的流向:判断源和目的

匹配规则:业务需要

链上规则的次序,即为检查的次序,因此隐含一定的法则 :

同类规则(访问同一应用),匹配范围小的放上面

不同类规则(访问不同应用),匹配到报文频率较大的放上面

将那些可由一条规则描述的多个规则合并为一个

设置默认策略

实验环境准备:

Centos7: systemctl stop firewalld.service

systemctl disable firewalld. service

Centos6:service iptables stop; chkconfig iptables off

iptables命令
规则格式:iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-targetoptions]
-t table:
raw, mangle, nat, [filter]默认
SUBCOMMAND:
        1、链管理:

-N:new, 自定义一条新的规则链

-X:delete,删除自定义的空的规则链

-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:

ACCEPT:接受

DROP:丢弃

REJECT:拒绝

-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,

也不能被删除.

       2 、查看:

-L:list, 列出指定鏈上的所有规则,本选项须置后

-n:numberic,以数字格式显示地址和端口号

-v:verbose,详细信息

-vv 更详细

-x:exactly,显示计数器结果的精确值,而非单位转换后的易读值

–line-numbers:显示规则的序号

     常用组合: –vnL
                        –vvnxL –line-numbers
                        -S selected,以iptables-save 命令格式显示链上规则
        3、规则管理:

-A:append,追加

-I:insert, 插入,要指明插入至的规则编号,默认为第一条

-D:delete,删除

(1) 指明规则序号

(2) 指明规则本身

-R:replace,替换指定链上的指定规则编号

-F:flush,清空指定的规则链

-Z:zero,置零

     iptables的每条规则都有两个计数器 :
              (1) 匹配到的报文的个数
              (2) 匹配到的所有报文的大小之和
          chain:PREROUTING,INPUT,FORWARD,OUTPUT, POSTROUTING
匹配条件:
      基本:通用的,PARAMETERS
      扩展:需加载模块,MATCH EXTENTIONS
        1、基本匹配条件:无需加载模块,由iptables/netfilter自行提供

[!] -s, –source address[/mask][,…]:源IP地址或范围

[!] -d, –destination address[/mask][,…]:目标IP地址或范围

[!] -p, –protocol protocol:指定协议,可使用数字如0(all)

protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp, mh or

“all“ 参看:/etc/protocols

[!] -i, –in-interface name:报文流入的接口;只能应用于数据 报文流入

环节,只应用于INPUT、FORWARD、PREROUTING链

[!] -o, –out-interface name:报文流出的接口;只能应用于数 据报文流

出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链

      2 、扩展匹配条件:需要加载扩展模块(/usr/lib64/xtables/*.so) ,方可生效
          查看帮助 man iptables-extensions
       (1)隐式扩展:在使用-p选项指明了特定的协议时,无需再用-m选项 指明
                扩展模块的扩展机制,不需要手动加载扩展模块。
     tcp协议的扩展选项:

[!] –source-port, –sport port[:port]:匹配报文源端口, 可为端口范围

[!] –destination-port,–dport port[:port]:匹配报文目标 端口,可为范围

[!] –tcp-flags mask comp mask 需检查的标志位列表,用,分隔。

例如: SYN,ACK,FIN,RST comp 在mask列表中必须为1的标志

位列表,无指定则必须 为0,用,分隔。

          允许访问SSH服务:

            防护墙服务

          

         允许访问HTTPD服务的防火墙策略
防护墙服务


          示例:

–tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余 下的必须为0

–tcp-flags SYN,ACK,FIN,RST SYN,ACK

–tcp-flags ALL ALL

–tcp_flags ALL NONE

[!] –syn:用于匹配第一次握手

相当于:–tcp-flags SYN,ACK,FIN,RST SYN

       udp

[!] –source-port, –sport port[:port]:匹配报文的 源端口;

可以是端口范围

[!] –destination-port,–dport port[:port]:匹配报 文的目标端口;

可以是端口范围

      icmp

[!] –icmp-type {type[/code]|typename}

type/code

0/0 echo-reply icmp应答

8/0 echo-request icmp请求

(2)显式扩展:必须使用-m选项指明要调用的扩展模块的扩展 机制,要手动

加载扩展模块:

[-m matchname [per-match-options]]

防护墙服务

防护墙服务





原创文章,作者:shenjialong,如若转载,请注明出处:http://www.178linux.com/85174

(0)
上一篇 2017-08-20 23:54
下一篇 2017-08-21 08:40

相关推荐

  • linux下zip包的压缩与解压

    linux zip 命令详解  功能说明:压缩文件。  语 法:zip [-AcdDfFghjJKlLmoqrSTuvVwXyz$][-b <工作目录>][-ll][-n <字尾字符串>][-t <日期时间>][-<压缩效率>][压缩文件][文件…][-i <范本样式&gt…

    Linux干货 2017-04-10
  • 变量、脚本、条件测试

    一、编程基础   程序:指令+数据  计算机:运行二进制指令 程序编程风格:  过程式:以指令为中心,数据服务于指令  对象式:以数据为中心,指令服务于数据shell程序:提供了编程能力,解释执行编程语言:  编译:高级语言–>编译器–>目标代码  解释:高级语言…

    Linux干货 2016-08-15
  • 计算机的组成介绍

    一,什么是计算机?     计算机(computer)俗称电脑,是现代一种用于高速计算的电子计算机器,可以进行数值计算,又可以进行逻辑计算,还具有存储记忆功能。是能够按照程序运行,自动、高速处理海量数据的现代化智能电子设备。 二,发展历史 阶段 时期(年) 主要器件 特征 应用领域发展 第一代 1946—1958 电子管数字机 电子管,机…

    2016-10-29
  • 第五周 程序包管理

    1、简述tar命令的常见选项,并举例 tar——  文件压缩与解压     ★命令格式 tar [OPTION…] [FILE]…  创建归档(-c,-f 指定文件): tar -c -f /PATH/TO/SOMEFILE.tar  FILE… (后缀名固定以 .tar 结尾;) tar -cf /PATH/TO/SOM…

    2017-12-31
  • 第六周作业

    博客具体内容请移步博客园:http://www.cnblogs.com/wangenzhi/p/6295141.html

    Linux干货 2017-01-17
  • Linux 入门基础 及一些常见命令(下)

    date:                    显示日期时间:date [OPTION]… [+FORMAT]        &nbsp…

    Linux干货 2016-09-17