14 iptables基础知识

1. iptables介绍

1.1 iptables是什么

iptables是开源的基于数据包过滤的防火墙工具。

1.2 iptables企业应用场景

1. 主机防火墙（filter表的INPUT链）
2. 局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。
3. 端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。
4. IP一对一映射。

1.3 商用防火墙品牌

- Juniper    思科     华为     H3C  中兴   奇安信
- 天融信     深信服   绿盟科技  启明星辰  网康  飞塔   金盾

2. iptables工做流程

1. 防火墙规则从上往下依次匹配
2. 防火墙规则只要匹配上，就再也不往下进行
3. 若是都没匹配上，最后匹配默认规则
4. 默认规则默认是放行全部

3. iptables四表五链

3.1 表与链的关系

Filter表 ：过滤数据包，放行或拒绝，不会对数据包进行修改

• INPUT
• FORWARD
• OUTPUT

NAT表：改写数据包

• PREROUTING 改写的是目标端口目标IP
• OUTPUT
• POSTROUTING 改写的是源IP和源端口

本质就是不一样的表和链处于不一样的位置

3.2 数据包格式

• 源IP
• 源端口
• 目标IP
• 目标端口

4. iptables环境准备

4.1 安装iptables管理工具

yum install iptables-services -y

4.2 加载防火墙模块

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

4.3 查看已经加载的模块

lsmod |egrep 'filter|nat|ipt'

4.4 启动防火墙

# 首先中止firewalld
systemctl stop firewalld
systemctl disable firewalld

# 开启iptables
systemctl start iptables.service
systemctl enable iptables.service

5. iptables实战

5.1 禁止200机器访问本机的22端口

源IP: 10.0.0.200
源端口: xxx
目标IP: 10.0.0.100 
目标端口: 22
执行的动做：禁止

执行命令：
iptables -I INPUT -p tcp -s 10.0.0.200 --dport 22 -j DROP

[参数解释]

• -I 在防火墙的第一条上添加规则
• -P tcp 指定协议是tcp
• -s 匹配源IP
• --dport 匹配目标端口
• -j DROP 执行的操做 DROP(拒绝) ACCEPT(接收)

[验证]

第二台机器操做：
ping 10.0.0.100  能够通
curl 10.0.0.100  能够访问
ssh  10.0.0.100  不能访问

[思考]

iptables -I INPUT -p tcp -s 10.0.0.200 --dport 22 -j ACCEPT

5.2 彻底禁止某个IP访问

源IP: 10.0.0.200
源端口: xxx
目标IP: 10.0.0.100 
目标端口: xxx
执行的动做：禁止

执行命令：
iptables -I INPUT -p tcp -s 10.0.0.200 -j DROP

[验证]

第二台机器操做：
ping 10.0.0.100  能够通
curl 10.0.0.100  不能访问
ssh  10.0.0.100  不能访问

[思考]

为何能够ping通？ 由于ping命令是ICMP协议

5.3 禁止除了某个IP之外的地址访问某个端口(只容许某个IP访问某个端口)

源IP: 除了10.0.0.200
源端口: xxx
目标IP: 10.0.0.100 
目标端口: 80
执行的动做：禁止

操做命令:
iptables -I INPUT -p tcp ! -s 10.0.0.200 --dport 80 -j DROP

[中文解释]

若是访问的端口是80而且他的IP地址不是200那么拒绝掉 是and条件只有所有知足才执行动做

10.0.0.1   ---> 22端口	 能够访问
10.0.0.1   ---> 80端口     访问不了
10.0.0.200 ---> 22端口     能够访问
10.0.0.200 ---> 80端口     能够访问

5.4 禁止200这个IP访问22和80端口

源IP: 10.0.0.200
目标端口: 22,80
执行的动做：禁止

操做命令:
iptables -I INPUT -p tcp -s 10.0.0.200 -m multiport --dport 22,80 -j DROP

[测试]

10.0.0.1   ---> 22端口	 能够访问
10.0.0.1   ---> 80端口   能够访问
10.0.0.200 ---> 22端口   访问不了
10.0.0.200 ---> 80端口   访问不了

5.5 禁止全部主机ping(不包含本身)

iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

#等同于
iptables -I INPUT ! -i lo -p ICMP --icmp-type 8 -j DROP

5.6 放行某个IP能够ping

iptables -A INPUT ! -s 10.0.0.200 -p icmp --icmp-type 8 -j DROP

5.7 除了10.0.0.200之外，其余均可以ping

iptables -A INPUT -s 10.0.0.200 -p icmp --icmp-type 8 -j DROP

6. 企业案例

6.1 安全策略

• 黑名单 ------> 默认大部分人没问题
• 白名单 ------> 默认认为全部人都有问题

6.2 部署一个安全的防火墙

场景：服务器
最小开放哪些端口？对谁开放？
80	:不限制
443	:不限制
22	:只对windows这个电脑开放10.0.0.1
ping:禁止外面的人ping

[配置命令]

[测试]

10.0.0.1   ---> 22端口	 不通
10.0.0.1   ---> 80端口   能够访问
10.0.0.1   ---> ping     不通

10.0.0.200 ---> 22端口   能够访问
10.0.0.200 ---> 80端口   能够访问
10.0.0.1   ---> ping     能够访问

7. 防坑指南

1. 若是默认规则为DROP,而后不当心使用了-F，那么会致使没有IP能够链接进入了，物理服务器只能去机房
2. 若是服务是高可用的，而且iptables没有写入配置文件，那么直接重启服务器便可还原
3. 为了不把本身关在外面，测试防火墙的时候，提早写一条crontab，内容是定时恢复默认规则
   */5 * * * * iptables -P INPUT ACCEPT
4. 或者不修改默认规则，本身在最后添加一条禁止全部的规则，这样当iptables -F的时候就会清空了，不会把本身关在外面
   iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
   等价于
   iptables -P INPUT DROP
5. 测试环境测试好以后，再应用到生产服务器

8. iptables命令总结

# 1.查看防火墙规则
iptables -nL

# 2.插入规则
iptables -I 	
iptables -A 

# 3.清除规则
iptables -F
iptables -X
iptables -Z 

# 4.删除某条规则
iptables -nL --line-numbers
iptables -D INPUT 3

# 5.修改默认防火墙规则
iptables -P INPUT DROP 

# 6.备份恢复
iptables-save > iptables_20201209
iptables-restore < iptables_20201209
iptables-save > /etc/sysconfig/iptables

=======================================================================================================================================

1.禁止某个IP访问
数据包分析： db02访问db01的22端口
源端口: 22
源IP: 10.0.0.52
目标端口：22
目标IP：10.0.0.51

规则命令1：
iptables -I INPUT -s 10.0.0.52 -j DROP

规则解释：
-I INPUT #在INPUT链第一条插入
-s 10.0.0.52 #匹配的数据包源地址
-j DROP #匹配后执行的动做 ACCEPT DROP

规则命令2:
iptables -I INPUT -p tcp -s 10.0.0.52 -j DROP

规则解释：
-p tcp #匹配tcp协议

2.禁止某个IP访问个人某个端口
规则命令1：
iptables -I INPUT -s 10.0.0.52 -p tcp --dport 22 -j DROP

规则解释：
--dport 22 #匹配访问目标端口是22的数据包

规则命令2:
iptables -I INPUT -s 10.0.0.52 -p tcp -m state --state NEW --dport 22 -j DROP
iptables -I INPUT -s 10.0.0.52 -p tcp -m state --state ESTABLISHED --dport 22 -j DROP

规则解释：
-m state --state ESTABLISHED #匹配TCP协议的链接状态

3.禁止除了某个IP之外的地址访问某个端口(只容许某个IP访问某个端口)
应用场景：只容许跳板机的内网IP登录SSH

iptables -I INPUT ! -s 10.0.0.52 -p tcp --dport 22 -j DROP

规则解释：
! -s 10.0.0.52 #匹配除了52之外全部的IP地址

4.禁止某个IP访问22和80端口
iptables -I INPUT -s 10.0.0.52 -p tcp -m multiport --dport 22,80 -j DROP

规则解释：
-m multiport #匹配多个端口
--dport 22,80

5.禁止某个IP访问22-100之间的全部端口
iptables -I INPUT -s 10.0.0.52 -p tcp --dport 22:100 -j DROP

规则解释：
--dport 22:100 #匹配22到100之间全部的端口

6.禁止全部主机ping(不包含本身)
iptables -I INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
等同于
iptables -I INPUT ! -i lo -p ICMP --icmp-type 8 -j DROP

命令解释：
-i lo #匹配哪一个网卡的流量

7.放行某个IP能够ping
iptables -A INPUT ! -s 10.0.0.52 -p icmp --icmp-type 8 -j DROP

8.除了某个IP之外，其余均可以ping
iptables -A INPUT -s 10.0.0.52 -p icmp --icmp-type 8 -j DROP

第6章 企业案例
1.安全策略
黑名单 默认大部分人没问题
白名单 默认认为全部人都有问题

2.部署一个安全的防火墙
场景：lb服务器
最小开放哪些端口？对谁开放？
80 :不限制
443 :不限制
22 :只对跳板机开放
10051 :对内
224.0.0.18 :对内

最佳实践：
按照服务访问的频次，频次最高的服务规则放在上面
443 :不限制
80 :不限制
224.0.0.18 :对内
10051 :对内
22 :只对跳板机开放

操做命令：
iptables -F
iptables -X
iptables -Z

iptables -A INPUT -p tcp -m multiport --dport 443,80 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.1.61 --dport 10051 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.1.61 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -d 224.0.0.0/8 -p vrrp -j ACCEPT
iptables -A OUTPUT -o eth0 -d 224.0.0.0/8 -p vrrp -j ACCEPT
iptables -P INPUT DROP

实验环境：
iptables -F
iptables -X
iptables -Z

iptables -A INPUT -p tcp -m multiport --dport 8080,80 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.1.53 --dport 9090 -j ACCEPT
iptables -A INPUT -p tcp -s 172.16.1.53 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -d 224.0.0.0/8 -p vrrp -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

3.局域网共享上网
应用场景：
db02没有外网IP，只能经过db01才能上网

内网机器的IP包：
源端口 ：
目标端口 ：443
源IP ：172.16.1.52
目标IP ：100.1.1.1
网关： 172.16.1.51

改造的IP包：
源端口 ：
目标端口 ：443
源IP ：10.0.0.51
目标IP ：100.1.1.1

防火墙配置命令：
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

iptables -F
iptables -X
iptables -Z
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.51

内网机器eth1配置：
[root@db02 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME=eth1
UUID=0f9c0547-954c-4c9c-bf72-43810e653189
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.52
PREFIX=24
GATEWAY=172.16.1.51
DNS1=10.0.0.2

验证访问：
ssh 172.16.1.52
ip a
ping www.baidu.com
curl -I www.baidu.com

4.端口映射-来自深圳脱产3期-雷大神&涛哥解决方案
iptables -t nat -A PREROUTING -d 10.0.0.51 -p tcp -m tcp --dport 9000 -j DNAT --to-destination 172.16.1.52:22
iptables -t nat -A POSTROUTING -p tcp -m tcp -d 172.16.1.52 --dport 22 -j SNAT --to-source 172.16.1.51

5.IP映射
ip a add 10.0.0.55/24 dev eth0 label eth0:0
iptables -t nat -A PREROUTING -d 10.0.0.52 -j DNAT --to-destination 172.16.1.51

第7章 保存与恢复
iptables-save 打印出当前生效的配置
iptables-save > 20200319_iptables
iptables-restore < 20200319_iptables
iptables-save > /etc/sysconfig/iptables

第8章 iptables防坑指南
1.若是默认规则为DROP,而后不当心使用了-F，那么会致使没有IP能够链接进入了，物理服务器只能去机房了
2.若是服务是高可用的，而且iptables没有写入配置文件，那么直接重启服务器便可还原
3.为了不把本身关在外面，测试防火墙的时候，提早写一条crontab，内容是定时恢复默认规则
*/5 * * * * iptables -P INPUT ACCEPT
4.或者不修改默认规则，本身在最后添加一条禁止全部的规则，这样当iptables -F的时候就会清空了，不会把本身关在外面
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
等价于
iptables -P INPUT DROP
5.测试环境测试好以后，再应用到生产服务器

第9章 ansible管理iptables

• hosts: web
  tasks:

  • name: iptables flush nat
    iptables:
    table: nat
    chain: '{{ item }}'
    flush: yes
    with_items: [ 'INPUT', 'OUTPUT', 'PREROUTING', 'POSTROUTING' ]
    become: yes

  • name: Insert a rule on line 5
    iptables:
    chain: INPUT
    protocol: tcp
    source: 10.0.0.52
    destination_port: '22'
    ctstate: ESTABLISHED
    jump: ACCEPT
    action: insert

  • name: Forward port 80 to 8600
    iptables:
    table: nat
    chain: PREROUTING
    in_interface: eth0
    protocol: tcp
    match: tcp
    destination_port: '9000'
    jump: DNAT
    to_destination: '172.16.1.52:22'
    become: yes

  • name: save
    shell: "iptables-save > /etc/sysconfig/iptables"

第x章 iptables命令总结
1.查看防火墙规则
iptables -nL

2.插入规则
iptables -I
iptables -A

3.清除规则
iptables -F
iptables -X
iptables -Z

4.删除某条规则
iptables -nL --line-numbers
iptables -D INPUT 3

5.修改默认防火墙规则
iptables -P INPUT DROP

6.备份恢复 iptables-save iptables-restore