防火墙基础入门
防火墙概念
安全技术
入侵检测与管理系统(Intrusion Detection Systems):特 点是不阻断任何网络访问,量化、定位来自内外网络的威胁状况,主要以提供报告和过后监督为主,提供有针对性的指导措 施和安全决策依据。通常采用旁路部署方式前端
入侵防护系统(Intrusion Prevention System):以透明模式工做,分析数据包的内容如:溢出攻击、拒绝服务攻击、木 马、蠕虫、系统漏洞等进行准确的分析判断,在断定为攻击行为后当即予以阻断,主动而有效的保护网络的安全,通常采用在线部署方式mysql
防火墙( FireWall ):隔离功能,工做在网络或主机边缘, 对进出网络或主机的数据包基于必定的规则检查,并在匹配某 规则时由规则定义的行为进行处理的一组功能的组件,基本上 的实现都是默认状况下关闭全部的经过型访问,只开放容许访问的策略linux
防火墙的分类
主机防火墙:服务范围为当前主机
网络防火墙:服务范围为防火墙一侧的局域网
硬件防火墙:在专用硬件级别实现部分功能的防火墙;另外一 个部分功能基于软件实现,Checkpoint,NetScreen
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件
网络层防火墙:OSI下面第三层 应用层防火墙/代理服务器:代理网关,OSI七层web
网络防火墙
包过滤防火墙
网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑 ,被称为访问控制列表(ACL),经过检查数据流中每一个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来肯定是否容许该数据包经过
优势:对用户来讲透明,处理速度快且易于维护
缺点:没法检查应用层数据,如病毒等算法
应用层防火墙
应用层防火墙/代理服务型防火墙(Proxy Service)
将全部跨越防火墙的网络通讯链路分为两段
内外网用户的访问都是经过代理服务器上的“连接”来实现
优势:在应用层对数据进行检查,比较安全
缺点:增长防火墙的负载
现实生产环境中所使用的防火墙通常都是两者结合体
即先检查网络数据,经过以后再送到应用层去检查sql
iptables的基本认识
iptables其实不是真正的防火墙,咱们能够把它理解成一个客户端代理,用户经过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防 火墙,这个框架的名字叫netfilter
netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。 iptables实际上是一个命令行工具,位于用户空间,咱们用这个工具操做真正的框架。
netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件同样,这个包过滤防火墙是免费的,它能够代替昂贵的商业防火墙解决方案, 完成封包过滤、封包重定向和网络地址转换(NAT)等功能。
Netfilter是Linux操做系统核心层内部的一个数据包处理模块,它具备以下功能: 网络地址转换(Network Address Translate) 数据包内容修改 以及数据包过滤的防火墙功能
因此说,虽然咱们使用service iptables start启动iptables"服务",可是其实准确的来讲,iptables并无一个守护进程,因此并不能算是真正意义上的服务,而应该算是内核提供的功能。shell
Netfilter组件
内核空间,集成在linux内核中
扩展各类网络服务的结构化底层框架
内核中选取五个位置放了五个hook(勾子) function(INPUT、 OUTPUT、FORWARD、PREROUTING、POSTROUTING), 而这五个hook function向用户开放,用户能够经过一个命令工 具(iptables)向其写入规则
由信息过滤表(table)组成,包含控制IP包处理的规则集( rules),规则被分组放在链(chain)上
报文流向
数据库
三种报文流向:
流入本机:PREROUTING --> INPUT-->用户空间进程
流出本机:用户空间进程 -->OUTPUT--> POSTROUTING
转发:PREROUTING --> FORWARD --> POSTROUTINGvim
防火墙工具
iptables
命令行工具,工做在用户空间
用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包 firewalld
CentOS 7引入了新的前端管理工具
管理工具:
firewall-cmd 命令行
firewall-config 图形centos
iptables组成
iptables由四个表和五个链以及一些规则组成
四个表table:filter、nat、mangle、raw
filter表:过滤规则表,根据预约义的规则过滤符合条件的数据包
nat表:network address translation 地址转换规则表
mangle:修改数据标记位规则表
Raw:关闭NAT表上启用的链接跟踪机制,加快封包穿越防火墙速度
优先级由高到低的顺序为:raw-->mangle-->nat-->filter
五个内置链chain
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
Netfilter表、链对应关系
raw 表中的规则能够被哪些链使用:PREROUTING,OUTPUT
mangle 表中的规则能够被哪些链使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat 表中的规则能够被哪些链使用:PREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
filter 表中的规则能够被哪些链使用:INPUT,FORWARD,OUTPUT
PREROUTING 的规则能够存在于:raw表,mangle表,nat表。
INPUT 的规则能够存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
FORWARD 的规则能够存在于:mangle表,filter表。
OUTPUT 的规则能够存在于:raw表mangle表,nat表,filter表。
POSTROUTING 的规则能够存在于:mangle表,nat表。
内核中数据包的传输过程
内核中数据包的传输过程
当一个数据包进入网卡时,数据包首先进入PREROUTING链, 内核根据数据包目的IP判断是否须要转送出去
若是数据包就是进入本机的,数据包就会沿着图向下移动,到达 INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序能够发送数据包,这些数据包通过OUTPUT链 ,而后到达POSTROUTING链输出
若是数据包是要转发出去的,且内核容许转发,数据包就会向右移动,通过FORWARD链,而后到达POSTROUTING链输出
iptables规则
规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动做做出处理
匹配条件:默认为与条件,同时知足基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
扩展匹配:经过复杂高级功能匹配
处理动做:称为target,跳转目标内建处理动做:ACCEPT,DROP,REJECT,SNAT,DNAT MASQUERADE,MARK,LOG...
自定义处理动做:自定义chain,利用分类管理复杂情形
规则要添加在链上,才生效;添加在自定义上不会自动生效
链chain:
内置链:每一个内置链对应于一个钩子函数
自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效
iptables添加要点
iptables规则添加时考量点
要实现哪一种功能:判断添加在哪张表上
报文流经的路径:判断添加在哪一个链上
报文的流向:判断源和目的
匹配规则:业务须要
链上规则的次序,即为检查的次序,所以隐含必定的法则
同类规则(访问同一应用),匹配范围小的放上面
不一样类规则(访问不一样应用),匹配到报文频率较大的放上面
将那些可由一条规则描述的多个规则合并为一个
设置默认策略
实验环境准备:
Centos7:
systemctl stop firewalld.service
systemctl disable firewalld. service
Centos6:
service iptables stop;
chkconfig iptables off
iptables命令
iptables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]
规则格式:
iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-targetoptions]
-t table: raw, mangle, nat, [filter]默认
SUBCOMMAND:
一、链管理:
-N:new, 自定义一条新的规则链
-D:delete,删除自定义的空的规则链
-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:
ACCEPT:接受
DROP:丢弃
-E:重命名自定义链;引用计数不为0的自定义链不可以被重命名, 也不能被删除
二、查看:
-L:list, 列出指定链上的全部规则,本选项须置后
-n:numberic,以数字格式显示地址和端口号
-v:verbose,详细信息
-vv 更详细
-x:exactly,显示计数器结果的精确值,而非单位转换后的
易读值
--line-numbers:显示规则的序号
经常使用组合:
--vnL
--vvnxL --line-numbers
-S selected,以iptables-save 命令格式显示链上规则
三、规则管理:
-A:append,追加
-I:insert, 插入,要指明插入至的规则编号,默认为第一条
-D:delete,删除
(1) 指明规则序号
(2) 指明规则自己
-R:replace,替换指定链上的指定规则编号
-F:flush,清空指定的规则链
-Z:zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的全部报文的大小之和
chain:PREROUTING,INPUT,FORWARD,OUTPUT, POSTROUTING
匹配条件
基本:通用的,PARAMETERS
扩展:需加载模块,MATCH EXTENTIONS
一、基本匹配条件:无需加载模块,由iptables/netfilter自行提供
[!] -s, --source address[/mask][,...]:源IP地址或范围
[!] -d, --destination address[/mask][,...]:目标IP地址或范围
[!] -p, --protocol protocol:指定协议,可以使用数字如0(all) protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp, mh or “all“ 参看:/etc/protocols
[!] -i, --in-interface name:报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链
[!] -o, --out-interface name:报文流出的接口;只能应用于数据报文流出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链
2 扩展匹配条件:须要加载扩展模块(/usr/lib64/xtables/*.so) ,方可生效
查看帮助 man iptables-extensions
(1)隐式扩展:在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不须要手动加载扩展模块
tcp协议的扩展选项
[!] --source-port, --sport port[:port]:匹配报文源端口, 可为端口范围
[!] --destination-port,--dport port[:port]:匹配报文目标 端口,可为范围
[!] --tcp-flags mask comp
mask 需检查的标志位列表,用,分隔
例如 SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须 为0,用,分隔
tcp扩展选项
示例:
--tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余下的必须为0
--tcp-flags SYN,ACK,FIN,RST SYN,ACK
--tcp-flags ALL ALL
--tcp_flags ALL NONE
[!] --syn:用于匹配第一次握手
至关于:--tcp-flags SYN,ACK,FIN,RST SYN
udp、icmp拓展选项
udp
[!] --source-port, --sport port[:port]:匹配报文的 源端口;能够是端口范围
[!] --destination-port,--dport port[:port]:匹配报 文的目标端口;能够是端口范围
icmp
[!] --icmp-type {type[/code]|typename}
type/code
0/0 echo-reply icmp应答
8/0 echo-request icmp请求
(2)显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制,要手动加载扩展模块
[-m matchname [per-match-options]]
处理动做
-j targetname [per-target-options]
简单: ACCEPT,DROP
扩展: REJECT:--reject-with:icmp-port-unreachable默认
RETURN:返回调用链
REDIRECT:端口重定向
LOG:记录日志,dmesg
MARK:作防火墙标记
DNAT:目标地址转换
SNAT:源地址转换
MASQUERADE:地址假装 ...
自定义链:
规则扩展
显式扩展:必须显式地指明使用的扩展模块进行的扩展
使用帮助:
CentOS 6: man iptables
CentOS 7: man iptables-extensions
一、multiport扩展
以离散方式定义多端口匹配,最多指定15个端口
[!] --source-ports,--sports port[,port|,port:port]... 指定多个源端口
[!] --destination-ports,--dports port[,port|,port:port]... 指定多个目标端口
[!] --ports port[,port|,port:port]...多个源或目标端口
示例:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT
二、iprange扩展
指明连续的(但通常不是整个网络)ip地址范围
[!] --src-range from[-to] 源IP地址范围
[!] --dst-range from[-to] 目标IP地址范围
示例:
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 80 -m iprange --src-range 172.16.100.5-172.16.100.10 -j DROP
三、mac扩展
指明源MAC地址
适用于:PREROUTING, FORWARD,INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX
示例:
iptables -A INPUT -s 172.16.0.100 -m mac --macsource 00:50:56:12:34:56 -j ACCEPT
iptables -A INPUT -s 172.16.0.100 -j REJECT
四、string扩展
对报文中的应用层数据作字符串模式匹配检测
--algo {bm|kmp}:字符串匹配检测算法
bm:Boyer-Moore
kmp:Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
[!] --string pattern:要检测的字符串模式
[!] --hex-string pattern:要检测字符串模式,16进制格式
示例:
iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string “google" -j REJECT
五、time扩展
根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
[!] --monthdays day[,day...] 每月的几号
[!] --weekdays day[,day...] 星期几
--kerneltz:内核时区,不建议使用,CentOS7系统默认为UTC
注意: centos6 不支持kerneltz ,--localtz指定本地时区(默认)
示例:
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP
六、connlimit扩展
根据每客户端IP作并发链接数数量匹配
可防止CC(Challenge Collapsar挑战黑洞)攻击
--connlimit-upto n:链接的数量小于等于n时匹配
--connlimit-above n:链接的数量大于n时匹配
一般分别与默认的拒绝或容许策略配合使用
示例:
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
七、limit扩展
基于收发报文的速率作匹配
令牌桶过滤器
--limit rate[/second|/minute|/hour|/day]
--limit-burst number
示例:
iptables -I INPUT -d 172.16.100.10 -p icmp --icmptype 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT #在默认filter表中插入规则,目标地址为172.16.100.10的icmp协议的请求报文数量达到5个之后限制没分钟接受3个
iptables -I INPUT 2 -p icmp -j REJECT
八、state扩展
根据”链接追踪机制“去检查链接的状态,较耗资源
conntrack机制:追踪本机上的请求和响应之间的关系
状态有以下几种:
NEW:新发出请求;链接追踪信息库中不存在此链接的相关信息条目,所以,将其识别为第一次发出的请求
ESTABLISHED:NEW状态以后,链接追踪信息库中为其创建的条目失效以前期间内所进行的通讯状态
RELATED:新发起的但与已有链接相关联的链接,
如: ftp协议中的数据链接与命令链接之间的关系
INVALID:无效的链接,如flag标记不正确
UNTRACKED:未进行追踪的链接,如raw表中关闭追踪
[!] --state state
示例:
iptables -A INPUT -d 172.16.100.10 -p tcp -m multiport -dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 172.16.100.10 -p tcp -m multiport -sports 22,80 -m state --state ESTABLISHED -j ACCEPT
已经追踪到的并记录下来的链接信息库
/proc/net/nf_conntrack
调整链接追踪功能所可以容纳的最大链接数量
/proc/sys/net/nf_conntrack_max
不一样的协议的链接追踪时长
/proc/sys/net/netfilter/
注意:CentOS7 须要加载模块:
modprobe nf_conntrack
iptables的连接跟踪表最大容量为/proc/sys/net/nf_conntrack_max,各类状态的超时连接会从表中删除;当模板满载时,后续链接可能会超时
解决方法两个:
(1) 加大nf_conntrack_max 值
vi /etc/sysctl.conf net.nf_conntrack_max = 393216 net.netfilter.nf_conntrack_max = 393216
(2) 下降 nf_conntrack timeout时间
vi /etc/sysctl.conf net.netfilter.nf_conntrack_tcp_timeout_established = 300 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 iptables -t nat -L -n
开放被动模式的ftp服务
(1) 装载ftp链接追踪的专用模块:
跟踪模块路径:/lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config 配置文件
IPTABLES_MODULES=" nf_conntrack_ftp "
modproble nf_conntrack_ftp #加载模块命令
(2) 放行请求报文:
命令链接:NEW, ESTABLISHED
数据链接:RELATED, ESTABLISHED
iptables –I INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT #加入规则,容许目标端口为本机的TCP协议已经创建连接,和相关的数据 iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state -state NEW -j ACCEPT #开放本机TCP21端口的请求数据
(3) 放行响应报文:
iptables -I OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT
开放被动模式的ftp服务示例:
yum install vsftpd
systemctl start vsftpd
modprobe nf_conntrack_ftp
iptables -F
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state -state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -vnL
Target
ACCEPT, DROP, REJECT, RETURN
LOG, SNAT, DNAT, REDIRECT, MASQUERADE,..
LOG: 非中断target,自己不拒绝和容许,放在拒绝和容许规则前
并将日志记录在/var/log/messages系统日志中
--log-level level 级别: emerg, alert, crit, error, warning, notice, info or debug
--log-prefix prefix 日志前缀,用于区别不一样的日志,最多29个字符
示例:
iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multimport -dports 80,21,22,23 -m state --state NEW -j LOG -log-prefix "new connections: "
规则优化
任何不容许的访问,应该在请求到达时给予拒绝
规则在连接上的次序即为其检查时的生效次序
基于上述,规则优化
1 安全放行全部入站和出站的状态为ESTABLISHED状态链接
2 谨慎放行入站的新请求
3 有特殊目的限制访问功能,要在放行规则以前加以拒绝
4 同类规则(访问同一应用),匹配范围小的放在前面,用于特 殊处理
5 不一样类的规则(访问不一样应用),匹配范围大的放在前面
6 应该将那些可由一条规则可以描述的多个规则合并为一条
7 设置默认策略,建议白名单(只放行特定链接)
1) iptables -P,不建议(系统默认规则)
2) 建议在规则的最后定义规则作为默认策略
规则有效期限
使用iptables命令定义的规则,手动删除以前,其生效期限为 kernel存活期限(和内存同样,关机就丢失了)
保存规则:
保存规则至指定的文件
CentOS 6
service iptables save
将规则覆盖保存至/etc/sysconfig/iptables文件中
[root@Centos6 ~]#iptables -I INPUT -s 172.18.45.6 -p icmp -j REJECT #在INPUT链中添加规则拒绝源IP地址为172.18.45.6的icmp协议数据 [root@Centos6 ~]#service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] #将现有的防火墙策略覆盖到/etc/sysconfig/iptables 文件中 [root@Centos6 ~]#cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Fri Oct 20 07:16:46 2017 *filter :INPUT ACCEPT [147:11915] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [49:5736] -A INPUT -s 172.18.45.6/32 -p icmp -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Fri Oct 20 07:16:46 2017
CentOS 7
在CentOS7中,已经再也不使用init风格的脚本启动服务,而是使用unit文件,就不能再使用service命令了,因此在CentOS7中并不支持service iptables save命令。同时在CentOS7中,使用了firewalld替代了原来的iptables service。CentOS7中仍然默认安装了iptables,可是没有iptables-service包,在yum安装iptables-service以后,仍然可使用原有的命令service iptables save来保存iptables规则,并且文件保存的位置一样在/etc/sysconfig/iptables文件中。
CentOS7中默认使用的防火墙控制工具是firewalld,若是要继续使用iptables来控制防火墙的话,最好先把firewalld服务禁掉。
yum install -y iptables-service #安装iptables服务包 systemctl stop firewalld #禁用firewalld服务 systemctl disable firewalld #禁止firewalld服务开机自动启动 systemctl start iptables systemctl enable iptables #开启iptables服务,设置iptables服务开机启动
CentOS的防火墙规则可用下面方法保存规则
iptables -S > /PATH/TO/SOME_RULES_FILE
iptables-save > /PATH/TO/SOME_RULES_FILE
规则载入
CentOS 6:
service iptables restart
会自动从/etc/sysconfig/iptables 从新载入规则
CentOS 7
从新载入预存规则文件中规则:
iptables-restore < /PATH/FROM/SOME_RULES_FILE
-n, --noflush:不清除原有规则
-t, --test:仅分析生成规则集,但不提交
开机自动重载规则文件中的规则:
(1) 用脚本保存各iptables命令;让此脚本开机后自动运行
/etc/rc.d/rc.local文件中添加脚本路径 /PATH/TO/SOME_SCRIPT_FILE
(2) 用规则文件保存各规则,开机时自动载入此规则文件中的规则 /etc/rc.d/rc.local文件添加
iptables-restore < /PATH/FROM/IPTABLES_RULES_FILE
(3)自定义Unit File,进行iptables-restore
网络防火墙
iptables/netfilter网络防火墙:
(1) 充当网关
(2) 使用filter表的FORWARD链
注意的问题:
(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性
(2) 若是要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行
NAT
NAT: network address translation,网络地址转换,通俗来说就是修改报文的IP地址,NAT功能一般会被集成到路由器、防火墙、或者独立的NAT设备中。
PREROUTING,INPUT,OUTPUT,POSTROUTING
请求报文:修改源/目标IP,由定义如何修改
响应报文:修改源/目标IP,根据跟踪机制自动实现
SNAT原理
SNAT:source NAT POSTROUTING, INPUT(网络源地址转换)
让本地网络中的主机经过某一特定地址访问外部网络,实现地址假装
请求报文:修改源IP,发生在POSTROUTING链
假设,网络内部有10台主机,它们有各自的IP地址,当网络内部的主机与其余网络中的主机通信时,则会暴露本身的IP地址,若是咱们想要隐藏这些主机的IP地址,该怎么办呢?能够这样办,以下。
当网络内部的主机向网络外部主机发送报文时,报文会通过防火墙或路由器,当报文通过防火墙或路由器时,将报文的源IP修改成防火墙或者路由器的IP地址,当其余网络中的主机收到这些报文时,显示的源IP地址则是路由器或者防火墙的,而不是那10台主机的IP地址,这样,就起到隐藏网络内部主机IP的做用,当网络内部主机的报文通过路由器时,路由器会维护一张NAT表,表中记录了报文来自于哪一个内部主机的哪一个进程(内部主机IP+端口),当报文通过路由器时,路由器会将报文的内部主机源IP替换为路由器的IP地址,把源端口也映射为某个端口,NAT表会把这种对应关系记录下来。
因而,外部主机收到报文时,源IP与源端口显示的都是路由的IP与端口,当外部网络中的主机进行回应时,外部主机将响应报文发送给路由器,路由器根据刚才NAT表中的映射记录,将响应报文中的目标IP与目标端口再改成内部主机的IP与端口号,而后再将响应报文发送给内部网络中的主机。整个过程当中,外部主机都不知道内部主机的IP地址,内部主机还能与外部主机通信,因而起到了隐藏网络内主机IP的做用。
上述整个过程当中,就用到了NAT功能,准确的说是用到了NAPT功能,NAPT是NAT的一种,全称为Network Address Port Translation,说白了就是映射报文IP地址的同时还会映射其端口号,就像刚才描述的过程同样。
刚才描述的过程当中,"IP地址的转换"一共发生了两次。
内部网络的报文发送出去时,报文的源IP会被修改,也就是源地址转换:Source Network ddress Translation,缩写为SNAT。
外部网络的报文响应时,响应报文的目标IP会再次被修改,也就是目标地址转换:estinationnetwork address translation,缩写为DNAT。
可是,上述"整个过程"被称为SNAT,由于"整个过程"的前半段使用了SNAT,若是上述"整个过程"的前半段使用了DNAT,则整个过程被称为DNAT,也就是说,整个过程被称为SNAT仍是DNAT,取决于整个过程的前半段使用了SNAT仍是DNAT。
其实刚才描述的场景不只仅可以隐藏网络内部主机的IP地址,还可以让局域网内的主机共享公网IP,让使用私网IP的主机可以访问互联网。
好比,整个公司只有一个公网IP,可是整个公司有10台电脑,咱们怎样能让这10台电脑都访问互联网呢?咱们能够为这10台电脑都配置上各自的私网IP,好比"192.168"这种私网IP,可是互联网是不会路由私网IP的,若是想要访问互联网,则必须使用公网IP,那么,咱们就须要想办法,能让这10台主机共享公司仅有的一个公网IP,没错,这与刚才描述的场景其实彻底一致,咱们只要在路由器上配置公网IP,在私网主机访问公网服务时,报文通过路由器,路由器将报文中的私网IP与端口号进行修改和映射,将其映射为公网IP与端口号,这时,内网主机便可共享公网IP访问互联网上的服务了。
写法:
nat表的target:
SNAT:固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
示例:
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! – d 10.0.1.0/24 -j SNAT --to-source 172.18.100.6,172.18.100.9
MASQUERADE:有些公司的具备外网的主机的IP地址为动态IP,如拨号网络,拨号网络每次断开重连主机的IP地址都会变化,那么就意味着每次IP地址发生变化就要手动的去进行上文中SANT的防火墙配置。MASQUERADE能够解决这个问题。
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE
示例:
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! – d 10.0.1.0/24 -j MASQUERADE
DNAT原理
DNAT:destination NAT PREROUTING , OUTPUT 把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP
请求报文:修改目标IP,发生在PREROUTING链
场景1中,咱们描述的过程为SNAT的过程,虽然其过程当中也牵扯到DNAT,可是因为整个过程的前半段使用了SNAT,因此整个过程称之为SNAT,那么在什么状况下,整个过程能称之为DNAT呢?
没错,当整个过程的前半段使用了DNAT时,整个过程被称为DNAT,具体场景以下。
公司有本身的局域网,网络中有两台主机做为服务器,主机1提供web服务,主机2提供数据库服务,可是这两台服务器在局域网中使用私有IP地址,只能被局域网内的主机访问,互联网没法访问到这两台服务器,整个公司只有一个可用的公网IP,怎样经过这个公网IP访问到内网中的这些服务呢?咱们能够将这个公网IP配置到公司的某台主机或路由器上,而后对外宣称,这个IP地址对外提供web服务与数据库服务,因而互联网主机将请求报文发送给这公网 IP地址,也就是说,此时报文中的目标IP为公网IP,当路由器收到报文后,将报文的目标地址改成对应的私网地址,好比,若是报文的目标IP与端口号为:公网IP+3306,咱们就将报文的目标地址与端口改成:主机2的私网IP+3306,同理,公网IP+80端口映射为主机1的私网IP+80端口,当私网中的主机回应对应请求报文时,再将回应报文的源地址从私网IP+端口号映射为公网IP+端口号,再由路由器或公网主机发送给互联网中的主机。
上述过程也牵扯到DNAT与SNAT,可是因为整个过程的前半段使用了DNAT,因此上述过程被称为DNAT
其实,无论是SNAT仍是DNAT,都起到了隐藏内部主机IP的做用。
写法:
DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
示例:
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --todestination 10.0.1.22 iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --todestination 10.0.1.22:8080
PNAT: port nat,端口和IP都进行修改
转发
REDIRECT:
NAT表
可用于:PREROUTING OUTPUT 自定义链
经过改变目标IP和端口,将接受的包转发至不一样地址 --to-ports port[-port]
示例:
iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080
firewalld服务
firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和监控防火墙规则的系统守护进程。能够实 现iptables,ip6tables,ebtables的功能
firewalld服务由firewalld包提供
firewalld支持划分区域zone,每一个zone能够设置独立的防火墙 规则
纳入zone顺序:
先根据数据包中源地址,将其纳为某个zone
纳为网络接口所属zone
归入默认zone,默认为public zone,管理员能够改成其它zone
网卡默认属于public zone,lo网络接口属于trusted zone
firewalld zone分类
| zone名称 | 默认配置 |
|---|---|
| trusted | 容许全部流量 |
| home | 拒绝除和传出流量相关的,以及ssh,,mdsn,ipp-client,samba-client,dhcpv6-client预约义服务以外 其它全部传入流量 |
| internal | 和home相同 |
| work | 拒绝除和传出流量相关的,以及ssh,ipp-client,dhcpv6-client预约义服务以外其余全部传入流量 |
| public | 拒绝除和传出流量相关的,以及ssh,dhcp6-client预约义服务以外的其余全部流量,新加的网卡默认属于public zone |
| external | 拒绝除和传出流量相关的,以及shh预约义服务以外的其余全部传入流量,属于external zone的传出ipv4流量源地址将被假装为传出网卡的地址 |
| dmz | 拒绝和传出流量相关的,以及ssh预约义服务以外的其余全部传入流量 |
| block | 拒绝和传出流量相关的全部传入流量 |
| drop | 拒绝除和传出流量相关的全部传入流量(甚至不宜ICMP错误进行回应) |
预约义服务
| 服务名称 | 配置 |
|---|---|
| ssh | Local SSH server. Traffic to 22/tcp |
| dhcpv6-client | Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network |
| ipp-client | Local IPP printing. Traffic to 631/udp |
| samba-client | Local Windows file and print sharing client. Traffic to 137/udp and 138/udp. |
| mdns | Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the 224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses. |
firewalld配置
firewall-cmd --get-services 查看预约义服务列表
/usr/lib/firewalld/services/*.xml预约义服务的配置
三种配置方法
firewall-config (firewall-config包)图形工具
firewall-cmd (firewalld包)命令行工具
/etc/firewalld 配置文件,通常不建议
firewalld-cmd命令选项
--get-zones 列出全部可用区域
--get-default-zone 查询默认区域
--set-default-zone=<ZONE> 设置默认区域
--get-active-zones 列出当前正使用的区域
--add-source=<CIDR>[--zone=<ZONE>] 添加源地 址的流量到指定区域,若是无--zone= 选项,使用默认区域
--remove-source=<CIDR> [--zone=<ZONE>] 从指定区 域中删除源地址的流量,若是无--zone= 选项,使用默认区 域
--add-interface=<INTERFACE>[--zone=<ZONE>] 添 加来自于指定接口的流量到特定区域,若是无--zone= 选项 ,使用默认区域
--change-interface=<INTERFACE>[--zone=<ZONE>] 改变指定接口至新的区域,若是无--zone= 选项,使用 默认区域
--list-all [--zone=<ZONE>] 列出指定区域的全部配置信 息,包括接口,源地址,端口,服务等,若是无--zone= 选 项,使用默认区域
--add-service=<SERVICE> [--zone=<ZONE>] 容许服务 的流量经过,若是无--zone= 选项,使用默认区域
--add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 允 许指定端口和协议的流量,若是无--zone= 选项,使用默认 区域
--remove-service=<SERVICE> [--zone=<ZONE>] 从 区域中删除指定服务,禁止该服务流量,若是无--zone= 选 项,使用默认区域
--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>] 从区域中删除指定端口和协议,禁止该端口的流量,若是 无--zone= 选项,使用默认区域
--reload 删除当前运行时配置,应用加载永久配置
firewalld-cmd命令示例
查看默认
zone firewall-cmd --get-default-zone
默认zone设为dmz
firewall-cmd --set-default-zone=dmz
在internal zone中增长源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal -add-source=192.168.0.0/24
在internal zone中增长协议mysql的永久规则
firewall-cmd --permanent –zone=internal --addservice=mysql
加载新规则以生效
firewall-cmd --reload
实验:配置firewalld
systemctl mask iptables #使用umask取消屏蔽
systemctl mask ip6tables
systemctl status firewalld
systemctl enable firewalld
systemctl start firewalld
firewall-cmd --get-default-zone
firewall-cmd --set-default-zone public
firewall-cmd --permanent --zone=public --list-all
firewall-cmd --permanent --zone=public --addport 8080/tcp
firewall-cmd ---reload
其余规则
当基本firewalld语法规则不能知足要求时,可使用如下更 复杂的规则
rich-rules 富规则,功能强,表达性语言
Direct configuration rules 直接规则,灵活性差
帮助:man 5 firewalld.direct
管理rich规则
rich规则比基本的firewalld语法实现更强的功能,不只实现 容许/拒绝,还能够实现日志syslog和auditd,也能够实现端 口转发,假装和限制速率
rich语法:
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
man 5 firewalld.richlanguage
规则
规则实施顺序:
该区域的端口转发,伪造规则
该区域的日志规则
该区域的容许规则
该区域的拒绝规则
每一个匹配的规则生效,全部规则都不匹配,该区域默认规则 生效
| 选项 | 描述 |
|---|---|
| --add-rich-rule='<RULE>' | Add <RULE> to the specified zone, or the default zone if no zone is specified. |
| --remove-rich-rule='<RULE>' | Remove <RULE> to the specified zone, or the default zone if no zone is specified. |
| --query-rich-rule='<RULE>' | Query if <RULE> has been added to the specified zone, or the default zone if no zone is specified. Returns 0 if the rule is present, otherwise 1. |
| --list-rich-rules | Outputs all rich rules for the specified zone, or the default zone if no zone is specified. |
rich规则示例
拒绝从192.168.0.11的全部流量,当address 选项使用
source 或 destination时,必须用family= ipv4 |ipv6.
firewall-cmd --permanent --zone=classroom --add-richrule='rule family=ipv4 source address=192.168.0.11/32 reject'
限制每分钟只有两个链接到ftp服务
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
抛弃esp( IPsec 体系中的一种主要协议)协议的全部数据包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'
接受全部192.168.1.0/24子网端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=79007905 protocol=tcp accept'
rich日志规则
log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>]
[limit value="<RATE/DURATION>"]
<LOGLEVEL> 能够是 emerg,alert, crit, error, warning, notice, info, debug.
<DURATION> s:秒, m:分钟, h:小时, d:天
audit [limit value="<RATE/DURATION>"]
示例:
接受ssh新链接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-richrule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept
从2001:db8::/64子网的DNS链接在5分钟内被拒绝,并记 录到日志到audit,每小时最大记录一条信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300
示例:
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'
firewall-cmd --reload
tail -f /var/log/messages
curl http://serverX.example.com
伪造和端口转发
NAT网络地址转换,firewalld支持伪造和端口转发两种NAT 方式
伪造NAT
firewall-cmd --permanent --zone=<ZONE> --addmasquerade
firewall-cmd --permanent --zone=<ZONE> --addrich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'
端口转发
端口转发:将发往本机的特定端口的流量转发到本机或不一样 机器的另外一个端口。一般要配合地址伪造才能实现
firewall-cmd --permanent --zone=<ZONE> --addforwardport=port=<PORTNUMBER>:proto=<PROTOCOL>[:topor t=<PORTNUMBER>][:toaddr=]
说明:toport= 和toaddr= 至少要指定一个
示例:
转发传入的链接513/TCP,到访火墙的132/TCP到public zone 的192.168.0.254
firewall-cmd --permanent --zone=public --addforward-port=port=513:proto=tcp:toport=132:toaddr= 192.168.0.254
rich规则
rich规则语法: forward-port port=<PORTNUM> protocol=tcp|udp [toport=<PORTNUM>][to-addr= 示例: 转发从192.168.0.0/26来的,发往80/TCP的流量到防火墙的 端口8080/TCP firewall-cmd --permanent --zone=work --add-richrule='rule family=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcp to-port=8080' 示例: firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.X.10/32 forwardport port=443 protocol=tcp to-port=22' firewall-cmd --reload ssh -p 443 serverX.example.com
- 1. 防火墙基础
- 2. RHEL7.0 防火墙入门
- 3. Firewalld防火墙基础篇
- 4. Firewalld防火墙基础
- 5. Centos7.0.x防火墙基础
- 6. 防火墙基础知识
- 7. Linux基础之防火墙
- 8. 防火墙基础篇
- 9. Cisco ASA防火墙基础
- 10. iptables防火墙基础
- 更多相关文章...
- • 使用TCP协议检测防火墙 - TCP/IP教程
- • Memcached入门教程 - NoSQL教程
- • YAML 入门教程
- • Java Agent入门实战(一)-Instrumentation介绍与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 防火墙基础
- 2. RHEL7.0 防火墙入门
- 3. Firewalld防火墙基础篇
- 4. Firewalld防火墙基础
- 5. Centos7.0.x防火墙基础
- 6. 防火墙基础知识
- 7. Linux基础之防火墙
- 8. 防火墙基础篇
- 9. Cisco ASA防火墙基础
- 10. iptables防火墙基础