Packets Filter Firewall;
Firewall:隔離工具;工作於主機或網絡的邊緣,對經由的報文根據預先定義的規則(識別條件)進行檢測,對於能夠被規則匹配到的報文實行某預定義的處理機制的一套組件;
硬件防火牆:在硬件級別能部分防火牆,另一部分功能基於軟件實現;
軟件防火牆:應用軟件處理邏輯運行通用硬件實現的防火牆;
主機防火牆:服務範圍爲當前主機;
網絡防火牆:服務範圍爲局域網;
iptables/netfilter:軟件實現的主機或網絡防火牆;
iptables:規則編寫工具;
netfilter:防火牆框架;framework;
所提供的機制(鉤子):hook function
路由前:prerouting
入站:input
轉發:forward
出站:output
路由後:postrouting
iptables:
chain:
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
tables:
filter:過濾,防火牆;
nat:network address translation;用於修改報文的源地址或目標地址,甚至是端口;
mangle:拆解報文,做出修改,並重新封裝起來;
raw:關閉nat表上啓用的連接追蹤機制;
優先級次序(由高而低):
raw --> mangle --> nat --> filter
功能<-->鉤子:
raw:PREROUTING,OUTPUT
mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat:PREROUTING,INPUT,OUTPUT,POSTRUTING
filter:INPUT,FORWARD,OUTPUT
報文流向:
到本機某進程的報文:PREROUTING --> INPUT
由本轉發的報文:PREROUTING --> FORWARD --> POSTROUTING
由本某進程發出的:OUTPUT --> POSTROUTING
規則的組成的部分:
匹配條件:
網絡層首部屬性值;
傳輸層首部屬性值;
附加的條件;
處理動作:
access;
drop;
...
TCP/IP協議棧:
數據鏈接層:物理到物理設備之間的通信;(MAC,Media Access Control)
網絡層:源主機到目標主機之間的通信;
傳輸層:進程到進程之間的通信;
netfilter:位於內核中的tcp/ip協議棧的報文處理框架;
iptables:用戶空間的命令行程序(系統中需要安裝iptables後纔可使用);
CentOS 5/6:iptables命令編寫規則;
CentOS 7:基於firewalld命令生成iptables規則;
若需要直接使用iptables,則需要要關閉systemctl disable firewalld.service
iptables命令:
規則:根據指定的匹配條件來嘗試匹配每個流經此處的報文,一旦匹配成功,就由規則後面指明的處理動作進行處理;
匹配條件:
基本匹配條件:簡單檢查IP、TCP、UDP等報文的某屬性進行匹配的機制;
擴展匹配條件:需要藉助於擴展模塊進行的匹配條件指定即爲擴展匹配;
處理動作:
基本動作:ACCEPT,DROP, ...
擴展動作:需要藉助擴展模塊進行的動作;
添加規則之時需要考量的問題:
(1) 報文的流經路徑,判斷添加規則至哪個鏈上;
(2) 確定要實現的功能,判斷添加規則至哪個表上;
(3) 要指定的匹配條件,以用於匹配目標報文;
iptables/netfilter:包過濾型防火牆;帶狀態檢測的包過濾型防火牆;連接追蹤(connection tracking);
規則的編寫格式:iptables [-t table表明(可省略,省略表示filter表] COMMAND(字命令)
chain(指明鏈) [-m matchname(指明擴展模塊) [per-match-options(指明模塊專用選項)]] [-j targetname(處理動作) [per-target-options(處理動作選項)]]
-t table:默認爲filter;其它可用的有raw, mangle, nat;
COMMAND:規則,鏈
鏈:
-P:policy,策略,定義默認策略; 一般有兩種選擇,ACCEPT和DROP;
-N:new,新建一條自定義的規則鏈;被內建鏈上的規則調用才能生效;[-j chain_name];
-X:drop,刪除自定義的引用計數爲0的空鏈(鏈中不能有規則);
-F:flush,清空指定的鏈;(清空之前青雀表默認策略爲ACCESS,否則將無法連接服務器)
-E:重命名自定義的引用計數和爲0的鏈;
規則:規則處理自上而下,配上條規則拒絕後,將不匹配下條規則
-A:append,追加,在指定鏈的尾部追加一條規則;
-I:insert,插入,在指定的位置(省略位置時表示鏈首)插入一條規則;
-D:delelte,刪除,刪除指定的規則;
-R:replace,替換,將指定的規則替換爲新規則;不能僅修改規則中的部分,而是整條規則完全替換;
查看:
-L:list,列出表中的鏈上的規則;
-n:numeric,以數值格式顯示;
-v:verbose,顯示詳細格式信息;
-vv, -vvv
-x:exactly,計數器的精確結果;
--line-numbers:顯示鏈中的規則編號;
計數器:
規則,以及默認策略有專用的計數器;
記錄被當前規則所匹配到的:
(1) 報文個數;
(2) 字節總數;
重置規則計數器:
-Z:zero,置0;
chain:
(1) 內建鏈;
(2) 自定義鏈;
iptables命令的使用格式:
iptables [-t table] {-A|-C|-D} chain rule-specification
-t table:指明添加至那條鏈
-A|-C|-D...:對鏈中規則操作命令
chain:鏈名稱
rule-specification:規則的規範或規格
ip6tables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
matches...:匹配條件
target:處理動作
match = -m matchname [per-match-options]
-m:指明加載模塊
per-match-options:模塊專用選項
target = -j targetname [per-target-options]
-j:指明動作
targetname:動作名稱
per-target-options:處理動作選項
匹配條件:
多重條件:邏輯關係爲“與”;"!"表示取反
基本匹配條件:
[!] -s, --source address[/mask][,...]:檢查報文中的源IP地址是否符合此處指定的地址或範圍;
[!] -d, --destination address[/mask][,...]:檢查報文中的目標IP地址是否符合此處指定的地址或範圍;
[!] -p, --protocol protocol:
protocol:{tcp|udp|icmp}
[!] -i, --in-interface name:數據報文的流入接口;INPUT, FORWARD and PREROUTING
[!] -o, --out-interface name:數據報文的流出接口; FORWARD, OUTPUT and POSTROUTING
擴展匹配條件
隱式擴展:不用-m選項指出matchname即可使用此match的專用選項進行匹配;
-p tcp:隱含了-m tcp;
[!] --source-port,--sport port[:port]:匹配報文中傳輸層的源端口;
[!] --destination-port,--dport port[:port]:匹配報文中傳輸層的目標端口;
[!] --tcp-flags mask comp
SYN,ACK,FIN,RST,URG,PSH;
mask:要檢查的標誌位列表,以逗號分隔;
comp:必須爲1的標誌位,餘下的出現在mask列表中的標誌位則必須爲0;
--tcp-flags SYN,ACK,FIN,RST SYN
[!] --syn:
相當於--tcp-flags SYN,ACK,FIN,RST SYN
-p udp:隱含了-m udp:
[!] --source-port,--sport port[:port]:匹配報文中傳輸層的源端口;
[!] --destination-port,--dport port[:port]:匹配報文中傳輸層的目標端口;
-p icmp:隱含了-m icmp:
[!] --icmp-type {type[/code]|typename}
8:echo-request
0:echo-reply
顯式擴展:必須使用-m選項指出matchname,有的match可能存在專用的選項;
獲取幫助:
CentOS 7:man iptables-extensions
CentOS 6:man iptables
1、multiport擴展
以離散或連續的方式定義多端口匹配條件;
[!] --source-ports,--sports port[,port|,port:port]...:指定多個源端口;
[!] --destination-ports,--dports port[,port|,port:port]...:指定多個目標端口;
[!] --ports port[,port|,port:port]...:指定多個端口;
2、iprange擴展
以連續的ip地址範圍指明連續的多地址匹配條件;
[!] --src-range from[-to]:源IP地址;
[!] --dst-range from[-to]:目標IP地址;
3、string擴展
對報文中的應用層數據做字符串匹配檢測;
[!] --string pattern:要檢測字符串模式;
[!] --hex-string pattern:要檢測的字符串模式,16進制編碼;
--algo {bm|kmp}
4、time擴展
根據報文到達的時間與指定的時間範圍進行匹配度檢測;
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]:起始日期時間;
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]:結束日期時間;
--timestart hh:mm[:ss]
--timestop hh:mm[:ss]
[!] --monthdays day[,day...]
[!] --weekdays day[,day...]
5、connlimit擴展
根據每客戶端IP做併發連接數匹配;
--connlimit-upto n:連接數數量小於等於n,此時應該允許;
--connlimit-above n:連接數數量大於n,此時應該拒絕;
6、limit擴展
基於收發報文的速率進行匹配;
--limit rate[/second|/minute|/hour|/day]:平均速率
--limit-burst number:峯值速率
7、state擴展
狀態檢測;連接追蹤機制(conntrack);
INVALID:無法識別的狀態;
ESTABLISHED:已建立的連接;
NEW:新連接;
RELATED:相關聯的連接;
UNTRACKED:未追蹤的連接;
nf_conntrack內核模塊;
追蹤到的連接:/proc/net/nf_conntrack文件中;
能追蹤的最大連接數量定義在:/proc/sys/net/nf_conntrack_max
此值可自行定義,建議必要時調整到足夠大;
不同的協議的連接追蹤的時長:
/proc/sys/net/netfilter/
[!] --state STATE
如何開放被模式的ftp服務:
(1) 裝載追蹤ftp協議的模塊;
# modprobe nf_conntrack_ftp
(2) 放行命令連接
放行新的連接
~] # iptables -A INPUT -d IP -p tcp --dport PORT -m state --state NEW -j ACCEPT
放行已建立的連接
~] # iptables -A INPUT -d IP -p tcp -m state --state ESTABLISHED -j ACCEPT
(3) 放行數據連接
~] iptables -A INPUT -d IP -p tcp -m state --state RELATED -j ACCEPT
處理動作(目標)
-j targetname [per-target-options]
targetname:
ACCEPT:接受;
DROP:丟棄;
REJECT:拒絕;
保存和重載規則:
iptables-save > /PATH/TO/SOME_RULE_FILE
iptables-restore < /PATH/FROM/SOME_RULE_FILE
CentOS 6:
保存規則:
service iptables save
自動保存規則至/etc/sysconfig/iptables文件中;
重載規則:
server iptables restore
從/etc/sysconfig/iptables文件中重載規則;
開機啓動直接讀取iptables規則
將規則保存至/etc/rc.d/init.d/中並設置開機啓動
chkconfig iptables on
規則優化:
(1) 可安全放行所有入站及出站,且狀態爲ESTABLISHED的連接;
(2) 服務於同一類功能的規則,匹配條件嚴格的放前面,寬鬆放後面;
(3) 服務於不同類功能的規則,匹配報文可能性較大擴前面,較小放後面;
(4) 設置默認策略;
(a) 最後一條規則設定;
(b) 默認策略設定;