centos 防火墙与其一些规则设置

原创
2016/09/05 23:08
阅读数 128

开头:资料来源网上搜索,整理成自己的笔记形式

一.IPTABLES服务状态的检查:

  命令:service iptables status

情形1:防火墙服务已安装,但还未运行

[root@woxplife ~]# service iptables status 

iptables: Firewall is not running.

情形2:如图表示防火墙服务已安装且已开启,但还是未配置状态。

wKiom1de2bTxloGFAAAk7E8EJj0979.png

情形3:表示防火墙服务尚未安装

wKioL1de29XC8sruAAAPNpOynIA219.png

二.IPTABLES服务的安装与开启等维护方式:

  1. 安装:(此处以yum为例) yum install -y iptables

     2.开启: service iptables start  与此相应的关闭: service iptables stop

三.IPTABLES的基础配置知识

I:常见的参数:

-A  附加在末尾

-I  插入指定位置

-d  目的地址

-D  删除某条规则        比如:iptables -D INPUT 8

-n  只显示IP地址和端口号,不将ip解析为域名  

-R  替换某条规则   比如: iptables -R INPUT 1 -s 192.168.0.1 -j DROP 把第一条规则替换为 指定源IP:192.168.0.1 不允许登录

-i  指定网卡名称如eth0    #指定进入接口,要在INPUT链上定义

-o  指定网卡名称如eth0    #指定传出接口,要在OUTPUT链上定义

-m 模块调用   模块选项加载iptables功能模块

-L  查看规则的配置信息  常与 --line-numbers 选项连用, 显示规则的序号信息

II.常见的操作:

  1. 清空所有规则: iptables -F

  2. 情况自定义的所有规则:  iptables -X

  3. 屏蔽IP段:

  形如:

    #屏蔽整个段(A类地址)即从192.0.0.1到192.255.255.254,则添加以下规则。

    -I INPUT -s 192.0.0.0/8 -j DROP

    #封IP段(B类地址)即从192.168.0.1到192.168.255.254,则添加以下规则。

    -I INPUT -s 192.168.0.0/16 -j DROP

    #封IP段(C类地址)即从192.168.200.1到192.168.200.254,则添加以下规则。

    -I INPUT -s 192.168.200.0/24 -j DROP

4.指定物理地址访问:-m mac --mac-source

    形如 iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

5.匹配数据包的字段内容: -mstring --string "想要匹配的数据包中字串"

    形如:

    iptables -A FORWARD -p udp --dport 53 -m string --string "tencent"--algo kmp -j DROP

    #通过UDP协议并匹配关键字

    #--algo指定字符串模式匹配策略,支持KMP和BM两种字符串搜索算法,二者中任意指定一个即可。

6.网口转发配置

对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的包转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:

    iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

7.端口转发配置

  对于端口,我们也可以运用iptables完成转发配置:

    iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to 192.168.1.1:8080

以上命令将源IP:192.168.0.1的80端口的包转发到192.168.1.1的8080端口

8.指定网卡同时配置连续端口规则:iptables -A INPUT -i eth0 -p tcp -s 192.168.140.0/24 --dport 137:139 -j ACCEPT #允许访问137到139端口 备注:多端口的配置另外一种方式:通过逗号分隔端口。如 iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -j ACCEPT

四.规则保存:

    1.service iptables save 或 iptables-save

      另存为的方式: service iptables save > /指定目录

             iptables-save > /指定目录

      备注: 防火墙规则在没保存之前,重启后是不生效的

    2.#添加到自启动chkconfig
     chkconfig iptables on 

    3.还原规则的方式:

     service iptables start   或 iptables-restore < /规则保存路径

      备注:注意规则表的保存方式与还原方式是对应的,采用了什么方式的保存,就需要用什么方式进行还原。

五.进阶知识

  1. 规则表知识:

    五个规则表nat,mangle ,filter,raw,security 通过-t选项指定,默认为 filter。规则表的功能介绍:

    nat :拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转译工作(SNATDNAT),由于转译工作的特性,需进行目的地网址转译的封包,就不需要进行来源网址转译,反之亦然,因此为了提升改写封包的速率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作网址转译外,请不要做其它用途。
    mangle:拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
    除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK(将封包作记号,以进行后续的过滤),这时就必须将这些工作定义在 mangle 规则中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。
    filter:这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的处理动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。

    nat: 用于配置数据包,raw 中的数据包不会被系统跟踪。

    security: 用于强制访问控制网络规则。

2.规则链:

    表由链组成,链是一些按顺序排列的规则的列表。

    iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。对应的规则链可表述为:

    INPUT:网络数据包流向服务器

    OUTPUT:网络数据包从服务器流出

    FORWARD:网络数据包经服务器路由

    PREROUTING, (prerouting, pre-route,预路由, 到达前)网络数据包到达服务器时可以被修改

    POSTROUTING, (postrouting, post-route,流出前) 网络数据包在即将从服务器发出时可以被修改

3.规则表中的常用的处理动作:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK:

    ACCEPT: 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链(natostrouting)。
    REJECT: 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。简单示例如下:

    iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

    DROP: 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。

    REDIRECT: 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。这个功能可以用来实作通透式porxy 或用来保护 web 服务器。例如:

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080    

    LOG: 将封包相关讯息纪录在 /var/log 中,详细信息可以查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
    SNAT: 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。对于snat,不管是几个地址,必须明确的指定要snat的IP。假如我们的计算机使用ADSL拨号方式上网,那么外网IP是动态的,这时候我们可以考虑使用MASQUERADE 相应的范例如下:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE 

    MASQUERADE:改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000     

    DNAT: 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规炼(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
    MIRROR: 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
    QUEUE: 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费.......等。
    RETURN:结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当提早结束子程序并返回到主程序中。
    MARK: 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

4.参考链接:

    I:http://beginman.cn/python/2015/09/08/linux-firewall/        II:https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

    III:https://wiki.centos.org/zh/HowTos/Network/IPTables  

展开阅读全文
打赏
0
1 收藏
分享
加载中
更多评论
打赏
0 评论
1 收藏
0
分享
返回顶部
顶部