十三.iptabled配置

时间 2019-11-18

标签十三 iptabled 配置繁體版

原文原文链接

期中集群架构-第十三章-iptables防火墙网路安全实践配置
=========================================linux

01：iptables防火墙网路安全前言介绍
学好iptables的基础：
 OSI7层模型以及不一样层对应哪些协议？
 TCP/IP三次握手，四次断开的过程，TCP HEADER，状态转换
 经常使用的服务端口要很是清楚了解。
 经常使用服务协议原理http协议，icmp协议。web

企业中安全配置原则：
 尽量不给服务器配置外网IP，能够经过代理转发或者经过防火墙映射。
 并发不是特别大状况有外网IP，能够开启防火墙服务。
 大并发的状况，不能开iptables，影响性能，利用硬件防火墙提高架构安全。docker

02. iptables防火墙概念介绍
Netfilter/Iptables（如下简称Iptables）是unix/linux自带的一款优秀且开放源代码的彻底自由的基于包过滤
的防火墙工具，它的功能十分强大，使用很是灵活，能够对流入和流出服务器的数据包进行很精细的控制。

iptables是linux2.4及2.6内核中集成的服务。
iptables主要工做在OSI七层的2、3、四层，若是从新编译内核，iptables也能够支持7层控制

03. iptables防火墙使用时名词概念理解
容器：装东西的器皿，docker容器技术，将镜像装在了一个系统中，这个系统就称为容器
iptables称为一个容器 ---装着防火墙的表
防火墙的表又是一个容器 ---装着防火墙的链
防火墙的链也是一个容器 ---装着防火墙的规则
iptables ---表---链---规则vim

规则：防火墙一条一条安全策略
防火墙匹配规则流程：参见防火墙工做流程图
1. 防火墙是层层过滤的，实际是按照配置规则的顺序从上到下，从前到后进行过滤的。
2. 若是匹配上规则，即明确表示是阻止仍是经过，数据包就再也不向下匹配新的规则。
3. 若是规则中没有明确代表是阻止仍是经过的，也就是没有匹配规则，
向下进行匹配，直到匹配默认规则获得明确的阻止仍是经过。
4. 防火墙的默认规则是全部规则执行完才执行的。安全

表和链说明：4表5链
Filter： 实现防火墙安全过滤功能
· INPUT 对于指定到本地套接字的包，即到达本地防火墙服务器的数据包外面---->（门）房子iptables
· FORWARD 路由穿过的数据包，即通过本地防火墙服务器的数据包外面-----（前门）房子（后门）---房子
· OUTPUT 本地建立的数据包外面<-----（门）房子iptables
NAT： 实现将数据包中IP地址或者端口信息，内网到外网进行改写/外网到内网进行改写
· PREROUTING 一进来就对数据包进行改变 --- 在路由以前，进行数据包IP地址或端口信息的转换
· OUTPUT 本地建立的数据包在路由以前进行改变 ---本地防火墙要出去的流量进行相应转换（了解）
· POSTROUTING 在数据包即将出去时改变数据包信息 ---在路由以后，进行数据包IP地址或端口信息的转换
Managle 对数据进行标记
raw 忽略不计服务器

多个表和链的关系 man iptables网络

04. iptables防火墙操做实践练习
1）iptables防火墙配置初始化
/etc/init.d/iptables start
chkconfig iptables on
iptables -F --- 清除防火墙默认规则
iptables -X --- 清除防火墙自定义链
iptables -Z --- 清除防火墙技术器信息
架构

2）iptables防御墙信息查看方法
/etc/init.d/iptables status
iptables -L --- -L 以列表形式显示全部规则信息
iptables -L -n --- -n 以数字形式显示IP地址或端口信息，不要转换为字符串显示
iptables -t nat -L -n --- -t 表示指定查看或者配置相应的表
iptables -L -n -v --- -v 表示显示详细规则信息，包含匹配计数器数值信息
iptables -L -n --line-number --- --line-number 显示规则序号信息并发

3）iptables防火墙端口规则配置：
实践01：阻止用户访问服务器的22端口
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP --- -A 表示添加规则到相应链上，默认表示添加规则到结尾ssh

-t 指定表 -p 指定协议 --dport 表示对于访问者来讲是目标端口 -j 表示对这个策略作什么ACCCEPT 容许 DROP阻止

iptables -t filter -D INPUT -p tcp --dport 22 -j DROP --- -D 表示删除规则从相应链上。
iptables -t filter -D INPUT 规则序号
iptables -t filter -I INPUT -p tcp --dport 22 -j DROP --- -I 表示插入规则到相应链上，默认表示插入规则到首部
iptables -t filter -I INPUT 3 -p tcp --dport 22 -j DROP --- 指定规则插入位置
iptables -t filter -R INPUT 6 -p tcp --dport 8080 -j DROP --- -R 指定将配置好的规则信息进行替换

总结防火墙参数信息：
-A --- 表示将规则添加到指定链上
   -I --- 表示将规则插入到指定链上
  -D --- 表示将规则从指定链上删除
  -R --- 表示将规则信息进行修改
  -p --- 指定相应服务协议信息（tcp udp icmp all）
  --dport --- 表示指定目标端口信息
  --sport --- 表示指定源端口号信息
-j --- 指定对相应匹配规则执行什么操做（ACCEPT DROP* REJECT）

实践02：阻止相应网段主机访问服务端指定端口服务
10.0.0.0/24 -- 22端口（阻止）
iptables -t filter -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP
iptables -t filter -A INPUT -s 10.0.0.9 -p tcp --dport 22 -j DROP
iptables -t filter -A INPUT -i eth0 -s 10.0.0.9 -p tcp --dport 22 -j DROP

总结参数信息：
  -s --- 指定匹配的源地址网段信息，或者匹配的主机信息
-d --- 指定匹配的目标地址网段信息，或者匹配的主机信息
  -i --- 指定匹配的网卡进入流量接口信息只能配置在INPUT链上
   -o --- 指定匹配的发出流量接口信息只能配置在OUTPUT链上

实践03：除了某个地址能够访问22端口以外，其他地址都不能访问
10.0.0.1 10.0.0.253 10.0.0.9（只容许）
iptables -t filter -A INPUT -s 10.0.0.9 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP

iptables -t filter -A INPUT ! -s 10.0.0.9 -p tcp --dport 22 -j ACCEPT

iptables -t filter -A INPUT ! -s 10.0.0.9 -p tcp --dport 22 -j DROP

除了了0.9的都阻止。 0.9被排除没匹配上则匹配默认规则，默认是容许的因此就实现了只容许0.9访问
经过利用！进行规则取反，进行策略控制

实践04：指定阻止访问多个端口服务
22--80 22,24,25
iptables -A INPUT -s 10.0.0.9 -p tcp --dport 22:80 -j DROP --- 匹配连续的端口号访问
iptables -A INPUT -s 10.0.0.9 -m multiport -p tcp --dport 22,24,25 -j DROP --- 匹配不连续的端口号访问

总结参数信息：
-m --- 指定应用扩展模块参数
multiport --- 能够匹配多个不连续端口信息

实践05: 经过防火墙实现禁ping功能
实现ping功能测试链路是否正常，基于icmp协议实现的
icmp协议有多种类型：
icmp-type 8：请求类型 icmp-type 0：回复类型

状况一：实现禁止主机访问防火墙服务器（禁ping）
iptables -A INPUT -p icmp --icmp-type 8 -j DROP 入站不能请求
iptables -A OUTPUT -p icmp --icmp-type 0 -j DROP 出站不能回复

状况二：实现禁止防火墙访问主机服务器（禁ping）
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -j DROP

默认状况：全部icmp类型都禁止
iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type any -j DROP

实践06：实现防火墙状态机制控制

  NEW:    发送数据包里面控制字段为syn=1，发送第一次握手的数据包NEU状态的数据包
ESTABLISHED: 请求数据包发出以后，响应回来的数据包称为回复的包
RELATED:    基于一个链接，而后创建新的链接
INVALID:    无效的的数据包，数据包结构不符合正常要求的

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

容许那些状态包经过NEU,ESTABLISHED,RELATED

05. 企业当中应用防火墙方法
项目：部署一个最安全的企业级防火墙（案例）
两种思想：针对默认规则而言。
逛公园：黑名单
一、默认规则默认是容许的状态。
看电影：白名单（更安全，推荐配置）
二、默认规则默认是不容许的状态。更安全。
看电影的思想更安全。

1）保存防火墙配置文件信息
cp /etc/sysconfig/iptables{,.bak}

2）清除配置规则
iptables -F <- 清空iptables全部规则信息（清除filter）
iptables -X <- 清空iptables自定义链配置（清除filter）
iptables -Z <- 清空iptables计数器信息（清除filter）

3）别把本身踢出到门外
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT 注意本身的可能改了ssh端口号
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT

4）配置防火墙filter上各个链的默认规则
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

-P --- 指定相应链的默认规则策略，是容许仍是阻止

5）容许iptables服务端ping本身的网卡地址
iptables -A INPUT -i lo -j ACCEPT --- 让本身能够ping本身

6）指定外网能够访问的端口信息
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT

7）企业中内网之间不要配置防火墙策略
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT --- 容许架构内部服务进行访问

8）企业之间有合做关系的，不要将友商的网络禁止（主要常常改动）
iptables -A INPUT -s 10.0.1.0/24 -j ACCEPT --- 容许一些合做企业的外网服务器进行访问
iptables -A INPUT -s 10.0.2.0/24 -j ACCEPT

9）若是防火墙上配置了FTP服务，须要配置网络状态机制

由于默认INPUT入站规则默认阻止了数据不能回来，因此须要设置
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT --- 容许web服务与ftp服务器创建链接

10）实现iptables策略配置永久保存不保存重启防火墙就会清除配置
①. 利用防火墙启动脚本命令参数，实现永久保存
/etc/init.d/iptables save

②. 利用防火墙配置信息保存命令，实现永久保存
iptables-save >/etc/sysconfig/iptables

实例拓展：避免本身被踢出门外
01. 去机房重启系统或者登录服务器删除刚才的禁止规则。
02. 让机房人员重启服务器或者让机房人员拿用户密码登陆进去
03. 经过服务器的远程管理卡管理（推荐）
04. 先写一个临时定时任务，每5分钟就中止防火墙
05. 测试环境测试好，写成脚本，批量执行

以上内容为防火墙filter表的配置实践与原理说明

06. 防火墙nat表的配置实践
iptables NAT:（配置NAT表示就是配置如下两个链）
01. postrouting（内网---外网-NAT 源私网IP地址---源公网IP地址）
路由以后，进行地址映射转换，把源地址进行转换（源私网地址==>源公网地址）
02. prerouting（外网---内网-NAT 目标公网IP地址---目标私网IP地址映射目标端口）
路由以前，进行地址映射转换，把目标地址进行转换（目标公网地址==>目标变为私网地址）

实践一：iptables实现共享上网方法(postrouting)
第一个历程：配置内网服务器，设置网关地址
/etc/init.d/iptables stop --- 内网服务器中止防火墙服务
ifdown eth0 --- 模拟关闭内网服务器外网网卡
setup --- 修改内网网卡网关和DNS地址信息
[root@oldboyedu42-lnb-02 ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0. 0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1
0.0.0.0 172.16.1.7 0.0.0.0 UG 0 0 0 eth1
说明：内网服务器网关地址指定为共享上网服务器内网网卡地址

第二个历程：配置共享上网服务器，开启共享上网服务器路由转发功能
[root@oldboyedu42-lnb-02 ~]# vim /etc/sysctl.conf
[root@oldboyedu42-lnb-02 ~]# sysctl -p
net.ipv4.ip_forward = 1

第三个历程：配置共享上网服务器，实现内网访问外网的NAT映射
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.7
-s 172.16.1.0/24 --- 指定将哪些内网网段进行映射转换
-o eth0 --- 指定在共享上网哪一个网卡接口上作NAT地址转换
-j SNAT --- 将源地址进行转换变动
-j DNAT --- 将目标地址进行转换变动
--to-source ip地址 --- 将源地址映射为何IP地址
--to-destination ip地址 --- 将目标地址映射为何IP地址

测试没生效内网服务器仍然ping不一样外网,咱们以前设置的filter表中FORWARD链是DROP阻止的

只要配置数据包能通过FORWARD链就能实现设置结果

扩展若是开启：forward默认drop策略，若是配置forward链
iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT

网络数据包传输过程必定是有去有回的

实践二：iptables实现共享上网方法(postrouting)
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE <- 假装共享上网
说明：在企业中如何没有固定外网IP地址，能够采起以上假装映射的方式进行共享上网

总结：配置映射方法
01. 指定哪些网段须要进行映射 -s 172.16.1.0/24
02. 指定在哪作映射 -o eth0
03. 用什么方法作映射 -j SNAT/DNAT
04. 映射成什么地址 --to-source ip地址/--to-destination ip地址

实践三：iptables实现外网IP的端口映射到内网IP的端口
需求：将网关的IP和9000端口映射到内网服务器的22端口
端口映射 10.0.0.7:9000 -->172.16.1.8:22
实现命令：
iptables -t nat -A PREROUTING -d 10.0.0.7 -i eth0 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.8:22

我这里映射的端口以前有改动为172.16.1.8:17524

(1)-d 10.0.0.8目标地址。
(2)-j DNAT 目的地址改写。