2. 技术
    3. Linux防火墙IPTABLES的安装与配置

    Linux防火墙IPTABLES的安装与配置

    技术2022-07-11  75

    一、IPTABLES防火墙

    1.IPTABLES概述

    iptables其实不是真正的防火墙,我们可以把他理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,这个框架的名字叫做netfilter。netfilter才是真正的安全框架(frameword),netfilter位于内核空间。iptables其实就是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。netfilter\iptables组成linux平台下的包过滤防火墙,与大多数linux软件一样,这个防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换等功能。

    2.iptables中的五张表

    filter表:iptables中使用最广泛的表,作用是进行过滤,也是由filter表来决定一个数据包是否继续发往目的地址或者被拒绝。

    nat表:用于望楼地址转换,可以改变数据包的源地址或者目标地址

    mangle表:用于修改IP的头部信息,如修改ttl

    raw表:为iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器上使用这个表,可以避免状态追踪带来的性能问题。

    security表:提供在数据包中加入SELinux特性的功能。在实际应用中,security一般不常用。

     

    这里,我们使用的CentOS 7进行iptables安装配置演示。

    二、禁用默认防火墙

    CentOS默认的防火墙是firewalld,所以我们首先需要通过命令,停用并禁用默认的防火墙:.

    systemctl stop firewalld 

    systemctl mask firewalld

    我们可以看到,默认的防火墙已经停止运行。

    三、软件的安装

    我们通过yum命令,安装iptables

    yum –y install iptables

    yum update iptables

    yum –y install iptables-services

    我们可以通过systemctl status iptables检测安装是否完成。

    安装完成后,我们就可以根据需求,进行防火墙配置了.。

    四、常见参数说明

    这里,我们先对iptables的常用参数进行说明:

    需要注意的是,Linux是个严格区分大小写的系统,所以所有命令,也需要严格遵循大小写。

    参数

    说明

    -A

    添加一条规则

    INPUT

    链名

    PREROUTING链名OUTPUT链名-s

    指定源地址,可以是IP地址或网段。-s “空”表示所有

    -d目标地址-p指定协议--dport

    指定主机端口(本机开放或拒绝端口)

    --sport指定主机端口(如:禁止链接对方某端口)-i指定网卡名,表示报文流入的接口-o指定网卡名,表示报文流出的接口-j指定所需要的操作ACCEPT允许REJECT拒绝, 拒绝提供服务DROP拒绝,丢弃数据包不回应--src-range源地址范围--dsc-range目标地址的范围--mac-source源主机的mac地址-t指定表名,默认的是filter表-v查看详细信息-nvL --line-numbers

    查看fliter表中规则的顺序

    -nvL -t mangle查看mangle表中的防火墙规则

    -F

    清空fliter表-I指定链插入规则-R替换规则-m

    指定模块

     

    五、iptables的常用规则

    iptables -L -n :查看现有的规则

    iptables -P INPUT ACCEPT:允许所有(在配置时,先允许)

    iptables -F:清空所有默认规则

    iptables -X:清空所有自定义规则

    iptables -Z:所有计数器归0

    iptables -A INPUT -i lo -j ACCEPT:允许来自于lo接口的数据包(本地访问)

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT:开放22端口(远程链接linux端口)

    iptables -A INPUT -p tcp --dport 21 -j ACCEPT:开放21端口(FTP端口)

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT:开放80端口(HTTP端口)

    iptables -A INPUT -p tcp --dport 443 -j ACCEPT:开放443端口(HTTPS端口)

    iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT:允许ping

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT:允许接受本机请求之后的返回数据related,是为ftp设置的

    iptables -P INPUT DROP:其他入站一律丢弃

    iptables -P OUTPUT ACCEPT:所有出站都允许

    iptables -P FORWARD DROP:所有转发一律丢弃

    iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT:添加内网ip信息(接受所有TCP)请求

    iptables -P INPUT DROP:过滤所有非以上规则的请求

    iptables -I INPUT -s ***.***.***.*** -j ACCEPT:封停该ip

    iptables -D INPUT -s ***.***.***.*** -j DROP :解封该ip

    除了以上命令行修改规则,我们也可以通过直接修改配置文件的方式进行修改使用,路径为/esc/sysconfig/iptables,在配置文件中所有命令不加前置命令iptables。不过尽量采用脚本命令模式。

    六、实际生产中,iptables常用的命令配置

    iptables -F:清除所有规则

    iptables -A INPUT -i lo -j ACCEPT

    iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1-j ACCEPT:允许某些调用localhost应用访问。

    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT:允许其他地方ping

    iptables -A INPUT -p cmp --icmp-type fragmentation-needed -j ACCEPT :允许从其他主机/网络设备发送MTU调整报文

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT:开放80端口(HTTP端口)

    iptables -A INPUT -p tcp --dport 443 -j ACCEPT:开放443端口(HTTPS端口)

    iptables -A INPUT -p tcp -s 10.0.1.17 --dport 22 -j ACCEPT:仅允许内网10.0.1.17,通过tcp访问22端口。

    iptables -A INPUT -p udp -s 10.0.1.17 --dport 161 -j ACCEPT:仅允许内网10.0.1.17,通过UDP访问161端口。

    iptables -A INPUT -j DROP:禁止非开放白名单流量进入。

    iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT:允许本机响应规则为01-08的数据包发出

    iptables -A OUTPUT -j DROP:禁止本机主动发出外部链接,可以有效的防止类似“反弹shell”的攻击

    iptables -A FORWARD -j DROP:禁止本机转发数据包

    七、重启服务

    当我们配置完成后,需要重启iptables服务,启动服务通过如下命令:

    systemctl enable iptables.service:注册iptables服务

    systenctl start iptables.service:开启服务

    systemctl status iptables .service:查看状态

    systemctl restart iptables.service:重启防火墙

    八、网络地址转换

    在实际工作中,iptables还经常用于网络地址转换(NAT),通过网络地址转换,可以有效的减少直接部署公网IP地址的服务器数量,增强网络环境的完全性。

    例如:下图中无外网IP的服务器(Server B)需要发起链接访问互联网的场景,假设Server A有外网网卡eth0(220.217.143.73)和eth1(10.128.70.112)。

    具体步骤:

    源地址转换:

    1.在Server B上指定其网络默认网关是Server A的内网地址(10.128.70.112)

    2.在Server A上启动路由功能。

    sysctl -w net.ipv4.ip_forward=1

    3.在Server A上设置iptables规则。

    iptables -t filter -A FORWARD -j ACCEPT

    iptables -t nat -A POSTROUTING -o enth 0 -j SNAT -to 220.217.143.73

    通过上述三步操作,Server B将会通过Server A访问互联网,此时在互联网上看到的源地址是Server A的外网IP。

     

    目标地址转换:

    目标地址转换用于外部用户直接访问无外网IP的服务器,例如:外部用户希望访问Server B上的MySQL数据库,端口3306,那么在Server A上可以进行如下配置:

    iptables -t nat -A PREROUTING -d 220.217.143.73 -p tcp -m tcp --dport 3306-j DNAT --to-destination 10.128.70.111:3306

    iptables -t nat -A POSTROUTING -d 10.128.70.111 -p tcp -m tcp --dport 3306 -j DANT --to-source 10.128.70.112

    Processed: 0.009, SQL: 9