Linux系统的防火墙功能是由内核实现的
- 2.0 版内核中,包过滤机制是ipfw,管理工具是ipfwadm
- 2.2 版内核中,包过滤机制是ipchain,管理工具是ipchains
- 2.4 版及以后的内核中,包过滤机制是netfilter,管理工具是iptables
- 3.10版内核中,包过滤机制是firewalld,管理工具是firewall-cmd
- “firewall-cmd”命令其实还是在调用iptables,因此我们有必要先了解一下iptables
不同内核的发行版Linux,防火墙也不同
- CentOS 5.X ~ 6.X,内核是2.4 ~ 2.6,是netfilter
- CentOS 7.X,内核为3.10,是firewalld
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
iptables
- 位于/sbin/iptables,用来管理防火墙规则的工具
- 称为Linux防火墙的“用户态”
- iptables的四表五链规则
- 规则写在链中,链包含在表中
- 规则表,容纳各种规则链,实现防火墙的不同功能
- raw表:确定是否对该数据包进行状态跟踪
- mangle表:为数据包设置标记
- nat表:修改数据包中的源、目标IP地址或端口
- filter表:确定是否放行该数据包(过滤)
- 规则链,容纳各种防火墙规则,决定处理数据包的不同时机
- INPUT:处理入站数据包
- OUTPUT:处理出站数据包
- FORWARD:处理转发数据包
- POSTROUTING:在进行路由选择后处理数据包
- PREROUTING:在进行路由选择前处理数据包
- 结构示意图:
- 规则表之间的顺序
- Raw → mangle → nat → filter
- 规则链之间的顺序
- 入站:PREROUTING → INPUT
- 入站的目的地是明确的,即当前主机。
- 出站:OUTPUT → POSTROUTING
- 出站的源地址是明确的,即当前主机。
- 转发:PREROUTING → FORWARD → POSTROUTING
- 当防火墙实现路由转发功能时,即数据流穿越防火墙时,为转发。
- 入站:PREROUTING → INPUT
- 规则链内的匹配顺序
- 按顺序依次检查,匹配即停止(LOG策略例外)
- 若找不到相匹配的规则,则按该链的默认策略处理
- 匹配规则示意图:
- 实验环境
- 在虚拟机设置中启用两块网卡eth1(NAT)和eth2(仅主机)
- 配置ip地址
- 防火墙端
- vi /etc/udev/70-persistent-net.rules
- 复制eth1和eth2的mac地址
- vi /etc/sysconfig/network-scrpts/ifcfg-eth1
- 用于连接外网
- 粘贴eth1的mac地址
- static协议
- IPADDR=172.16.8.100
- MASKNET=255.255.255.0
- GATEWAY=172.16.8.2 //这个应该是宿主机的IP或网关
- DNS1=114.114.114.114
- vi /etc/sysconfig/network-scrpts/ifcfg-eth2
- 用于连接内网
- 粘贴eth2的mac地址
- static协议
- IPADDR=192.168.11.11
- MASKNET=255.255.255.0
- 无网关和DNS
- vi /etc/sysconfig/network
- 修改主机名:www.test.com
- vi /etc/hosts
- 172.16.8.100 test www.test.com
- reboot
- vi /etc/udev/70-persistent-net.rules
- 客户端(用于后面的NAT转发)
- 仅主机模式
- IP:192.168.11.3
- 默认网关地址::192.168.11.11
- 防火墙端
- iptables的语法构成
- iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
- 数据包的常见控制类型
- ACCEPT:允许通过
- DROP:直接丢弃,不给出任何回应
- REJECT:拒绝通过,必要时会给出提示
- LOG:记录日志信息,然后传给下一条规则继续匹配
- 注意事项
- 不指定表名时,默认指filter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 选项、链名、控制类型使用大写字母,其余均为小写
- 数据包的常见控制类型
- 命令实例
- 添加新的规则
- -A:在链的末尾追加一条规则
- -I:在链的开头(或指定序号)插入一条规则
- 在Filter表INPUT链中追加一条允许TCP协议通过的规则
- iptables -t filter -A INPUT -p tcp -j ACCEPT
- 在Filter表INPUT链中插入一条允许UDP协议通过的规则
- iptables -I INPUT -p udp -j ACCEPT
- 在Filter表INPUT链第2条位置插入一条允许ICMP协议通过的规则
- iptables -I INPUT 2 -p icmp -j ACCEPT
- 查看规则列表
- -L:列出所有的规则条目
- -n:以数字形式显示地址、端口等信息
- -v:以更详细的方式显示规则信息
- --line-numbers:查看规则时,显示规则的序号
- iptables -n -L INPUT
- 以数字形式查看Filter表INPUT链规则;-n与-L,也可以合写为-nL
- iptables -L INPUT --line-numbers
- 查看Filter表INPUT链规则,并显示规则序号
- 删除、清空规则
- -D:删除链内指定序号(或内容)的一条规则
- -F:清空所有的规则
- 删除Filter表INPUT链中第3条规则
- iptables -D INPUT 3
- 清空规则表
- iptables -F
- iptables -t nat -F
- iptables -t mangle -F
- iptables -t raw -F
- 设置默认策略
- -P:为指定的链设置默认规则
- 默认策略只能是DROP或ACCEPT,2选1
- 设置Filter表中FORWARD规则链的默认策略为DROP
- iptables -t filter -P FORWARD DROP
- 设置Filter表中OUTPUT规则链的默认策略为ACCEPT
- iptables -P OUTPUT ACCEPT
- 添加新的规则
- iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
- 规则的匹配条件
- 通用匹配, 可直接使用,不依赖于其他条件或扩展;包括网络协议、IP地址、网络接口等条件。
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d 目的地址
- 接口匹配:-i 入站网卡、-o 出站网卡
- 隐含匹配, 要求以特定的协议匹配作为前提;包括端口、TCP标记、ICMP类型等条件。
- 端口匹配:--sport 源端口、--dport 目的端口
- TCP标记匹配:--tcp-flags 检查范围 被设置的标记
- ICMP类型匹配:--icmp-type ICMP类型
- 显式匹配, 要求以“-m 扩展模块”的形式明确指出类型;包括多端口、MAC地址、IP范围、数据包状态等条件。
- 多端口匹配:-m multiport --sports(dports),源(目的)端口列表
- IP范围匹配:-m iprange --src-range,IP范围
- MAC地址匹配:-m mac --mac-source,MAC地址
- 状态匹配:-m state --state,连接状态
- 通用匹配应用
- iptables -I INPUT -p icmp -j DROP
- iptables -A FORWARD -p ! icmp -j ACCEPT
- “!”号表示取反,版本差异,不同版本的Linux命令写法会有出入
- iptables -A FORWARD -s 192.168.1.11 -j REJECT
- 拒绝来自192.168.1.11的连接
- iptables -I INPUT -s 10.20.30.0/24 -j DROP
- iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
- 指定从eth1网卡进入的源地址为192.168.0.0/16统统pass
- iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
- iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
- 隐含匹配应用
- iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
- 允许该网段进行dns查询
- iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
- iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP
- 拒绝带以上标记的TCP包
- iptables -I INPUT -i eth1 -p tcp --tcp-flags ! --syn -j ACCEPT
- 不带SYN标记的统统接收
- iptables -A INPUT -p icmp --icmp-type 8 -j DROP
- 不允许来自别人的ping
- iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
- iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
- iptables -A INPUT -p icmp -j DROP
- ICMP协议类型8为请求,类型3为不可达,类型0为回显。
- iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
- 显式匹配应用
- iptables -A INPUT -p tcp -m multiport --dports 25,80,110,143 -j ACCEPT
- iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
- iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP
- iptables -I INPUT -p tcp -m multiport --dports 80 -j ACCEPT
- iptables -I INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
- ESTABLISHED,表示已建立的链接,两台机器正在通信。
- RELATED,表示分组要发起一个新的连接,但是这个连接和一个现有的连接有关,例如:FTP的数据传输连接和控制连接之间就是RELATED关系。
- 通用匹配, 可直接使用,不依赖于其他条件或扩展;包括网络协议、IP地址、网络接口等条件。
iptables实现NAT功能
- SNAT,源地址转换,即实现内网主机穿过防火墙访问互联网。
- 局域网各主机正确设置IP地址/子网掩码
- 仅主机模式
- IP:192.168.11.3
- 默认网关地址::192.168.11.11
- Linux网关需要支持IP路由转发
- iptables -F
- echo "1" > /proc/sys/net/ipv4/ip_forward
- 或通过vi /etc/sysctl.conf编辑
- sysctl -p 查看当前状态
- 至此该Linux开启了路由转发功能
- 编写SNAT转换规则
- iptables -t nat -D POSTROUTING 1
- iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 172.16.8.100
- POSTROUTING:路由选择后处理。
- -s X.X.X.X/X:内网源地址。
- -o eth1:外网接口。
- --to-source X.X.X.X:外网接口地址,转换后的新的源地址。
- MASQUERADE —— 地址伪装
- 适用于外网IP地址非固定的情况,如ADSL拨号上网(eth1网卡IP变化)
- iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j MASQUERADE
- 局域网各主机正确设置IP地址/子网掩码
- DNAT,修改数据包的目标地址或端口号
- 实现内网服务器通过防火墙发布到互联网
- 局域网的Web服务器能够访问Internet
- 网关的外网IP地址有正确的DNS解析记录
- Linux网关支持IP路由转发
- echo "1" > /proc/sys/net/ipv4/ip_forward
- 编写DNAT转换规则
- iptables -t nat -A PREROUTING -i eth1 -d 172.16.8.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.11.10
- PREROUTING:DNAT使用PREROUTING链,路由选择前处理
- -i eth1:外网接口。
- -d X.X.X.X/X:公网目标地址,来自互联网的访问目标。
- --to-destination X.X.X.X:内网IP地址,内网要发布的服务器。
- 可以使用XAMPP自动部署web环境
- 默认是80端口,其它端口的转发需要指定
- 在浏览器输入172.16.8.100测试
- iptables -t nat -A PREROUTING -i eth1 -d 172.16.8.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.11.10
- 在DNAT规则中以“IP:Port”的形式指定目标地址与端口
- iptables -t nat -A PREROUTING -i eth1 -d 172.16.8.100 -p tcp --dport 2346 -j DNAT --to-destination 192.168.11.10:22
iptables系统服务与脚本
- 脚本位置:/etc/init.d/iptables
- 规则文件位置:/etc/sysconfig/iptables
- service iptables start|restart|stop|save…
- 配置防火墙脚本
- 编写防火墙脚本→开机时自动执行该脚本
- 脚本执行指令写入/etc/rc.d/rc.local
- vim ipfw.sh
#!/bin/bash WAN_IF="eth1" WAN_IP="172.16.8.100" LAN_IF="eth2" LAN_IP="192.168.11.11" LAN_NET="192.168.11.0/24" LAN_WWW_IP="192.168.11.10" IPT="/sbin/iptables" MOD="/sbin/modprobe" CTL="/sbin/sysctl"
- 加载必要的系统模块,在ipfw.sh中追加
$MOD ip_tables $MOD ip_conntrack $MOD ipt_REJECT $MOD ipt_LOG $MOD ipt_iprange $MOD xt_tcpudp $MOD xt_state $MOD xt_multiport $MOD xt_mac $MOD ip_nat_ftp $MOD ip_conntrack_ftp - 调整/proc参数, Linux内核控制及调优,在ipfw.sh中追加
$CTL -w net.ipv4.ip_forward=1 $CTL -w net.ipv4.ip_default_ttl=128 $CTL -w net.ipv4.icmp_echo_ignore_all=1 $CTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 $CTL -w net.ipv4.tcp_syncookies=1 $CTL -w net.ipv4.tcp_syn_retries=3 $CTL -w net.ipv4.tcp_synack_retries=3 $CTL -w net.ipv4.tcp_fin_timeout=60 $CTL -w net.ipv4.tcp_max_syn_backlog=3200 - 具体的防火墙规则,在ipfw.sh中追加
- 按表、链分别设置规则,包括默认策略
$IPT -t filter -X $IPT -t nat -X $IPT -t filter -F $IPT -t nat -F $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT $IPT -t nat -A POSTROUTING -s $LAN_NET -o $WAN_IF -j SNAT --to-source $WAN_IP $IPT -t nat -A PREROUTING -i $WAN_IF -d $WAN_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP - 使用IP地址黑、白名单
-
- 建立IP地址列表文件
- 黑名单、白名单分开保存
- 每行一个IP地址,或网段地址
vim /opt/ipfw.w 192.168.11.0/24 220.121.72.85 …… vim /opt/ipfw.b 218.29.30.131 61.45.135.29 121.113.79.81 -
- 在脚本中调用黑、白名单,在ipfw.sh中追加
- 使用for循环
- 封锁黑名单地址、放开对白名单地址的限制
BLST="/opt/ipfw.b" for i in $(grep -v "^#" $BLST) do $IPT -I INPUT -s $i -j DROP $IPT -I OUTPUT -d $i -j DROP $IPT -I FORWARD -s $i -j DROP $IPT -I FORWARD -d $i -j DROP done WLST="/opt/ipfw.w" for i in $(grep -v "^#" $WLST) do $IPT -I INPUT -s $i -j ACCEPT $IPT -I OUTPUT -d $i -j ACCEPT $IPT -I FORWARD -s $i -j ACCEPT $IPT -I FORWARD -d $i -j ACCEPT done
-
- 开机自动运行脚本
- cp ipfw.sh /opt/
- vi /etc/rc.d/rc.local
- 添加/opt/ipfw.sh
- reboot
- iptables -L 检查配置情况
- iptables -t nat -L
- 编写防火墙脚本→开机时自动执行该脚本
- 防火墙脚本的构成
- 主机型防火墙
- 针对本机进行保护
- 主要针对filter表中的INPUT、OUTPUT链设置规则
- 修改ipfw.sh
#!/bin/bash # 1. 定义基本变量 IPT= "/sbin/iptables" …… # 3.2 定义默认策略 $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # 3.3 设置filter表中的各种规则 $IPT -A INPUT -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ……
- 网络型防火墙
- 针对网络互访进行保护
- 主要针对filter表中的FORWARD链,以及nat表设置规则
- 修改ipfw.sh
#!/bin/bash …… # 4.3 设置nat表中的各种规则 $IPT -t nat -A POSTROUTING -s $LAN_NET -o $WAN_IF -j SNAT --to-source $WAN_IP $IPT -t nat -A PREROUTING -i $WAN_IF -d $WAN_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP # 4.4 设置filter表中的各种规则 $IPT -A FORWARD -d $LAN_NET -i $WAN_IF -m state --state ESTABLISHED,RELATED -j ACCEPT ……
- 主机型防火墙
