你好,游客 登录 注册 搜索
背景:
阅读新闻

Iptables—包过滤(网络层)防火墙

[日期:2013-08-08] 来源:Linux社区  作者:wenzhongxiang [字体: ]

二:编写防火墙规则:

iptables 的基本语法、控制类型:

语法构成: iptables [ -t 表名] 选项 [链名] [条件] [ -j 控制类型]

注意事项:

  • 不指定表名时,默认指filter

  • 不指定链名时,默认指表内的所有链

  • 除非设置链的默认策略,否则必须指定匹配条件

  • 选项、链名、控制类型使用大写字母,其余均为小写

数据包的常见控制类型:

  • ACCEPT:允许通过

  • DROP:直接丢弃,不给出任何回应

  • REJECT:拒绝通过,必要时会给出提示

  • LOG:在/var/log/messages文件中记录日志信息,然后传给下一条规则继续匹配(匹配即停止对LOG操作不起作用,因为LOG只是一种辅助动作,并没有真正的处理数据包)

eg:在filter表(-t filter)的INPUT链中插入(-I)一条拒绝(-jREJECT)发给本机的使用ICMP协议的数据包(-picmp):

在测试PCping 设置防火墙主机,查看结果是无法连接到端口:

添加、查看、删除规则等基础操作:

1、添加新的规则

  • -A:在链的末尾追加一条规则-p协议名”

eg:在filterINPUT链的末尾添加一条防火墙规则:

  • -I:在链的开头(或指定序号)插入一条规则

eg:添加两条规则分别位于filter表的第1条、第2条(其中省略了“-tfilter”选项,默认使用filter

2、查看规则列表:

  • -L:列出所有的规则条目

eg:查看filterINPUT链中的所有规则,并显示规则序号:

  • -n:以数字形式显示地址、端口等信息

eg:以数字地址形式查看filterINPUT链中的所有规则:

  • -v:以更详细的方式显示规则信息

  • --line-numbers:查看规则时,显示规则的序号

删除、清空规则

  • -D:删除链内指定序号(或内容)的一条规则

eg:删除filterINPUT链中的第2条规则:

  • -F:清空所有的规则

eg:清空filterINPUT链中的所有规则:

设置默认策略

当找不到任何一条能够匹配的数据包的规则时,则执行默认策略(默认策略的控制类型为ACCEPT(允许)、DROP(丢弃)两种。

  • -P:为指定的链设置默认规则

  • -X:删除自定义的规则链

eg:将filter表中FORWARD链中的默认策略设为丢弃,OUTPUT链的默认策略设为允许

[root@iptables ~]# iptables -t filter -P FORWARD DROP

[root@iptables ~]# iptables -P OUTPUT ACCEPT

注意:当使用管理选项“-F”清空链,默认策略不受影响。因此若要修改默认策略,必须通过管理选项“-P”重新进行设置。默认策略并不参与链内规则的顺序编排,因此在其他规则之前或之后设置并无区别。

3、规则的匹配条件

a:通用匹配:

  • 可直接使用,不依赖于其他条件或扩展

  • 包括网络协议、IP地址、网络接口等条件

常见的通用匹配条件:

协议匹配:-p 协议名

egtcpudpicmpall(针对所有IP数据包)),可用的协议类型存放于Linux系统的/etc/procotols文件中;

eg:丢弃通过icmp协议访问防火墙本机的数据包、允许转发经过防火墙的除icmp协议以外的数据包:

[root@iptables ~]# iptables -I INPUT -p icmp -j DROP

[root@iptables ~]# iptables -A FORWARD -p ! icmp -j ACCEPT

地址匹配-s 源地址、 -d 目的地址

可以是IP地址、网段地址,但不建议使用主机名、域名地址,因为解析过程会影响效率

eg:拒绝转发源地址为192.168.10.100的数据、允许转发源地址位于192.168.1.0/24网段的数据:

[root@iptables ~]# iptables -A FORWARD -s 192.168.10.100 -j REJECT

[root@iptables ~]# iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

当遇到小规模的网络扫描或攻击时,封IP地址是比较有效的方式。

eg:添加防火墙规则封锁来自172.16.16.0/24网段的频繁扫描、登录穷举等不良企图:

[root@iptables ~]# iptables -I INPUT -s 172.16.16.0/24 -j DROP

[root@iptables ~]# iptables -I FORWARD -s 172.16.16.0/24 -j DROP

接口匹配-i 入站网卡、-o 出站网卡

eg:丢弃从外网接口eth0访问防火墙本机且源地址为私有地址的数据包:

[root@iptables ~]# iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP

b:隐含匹配:

  • 要求以特定的协议匹配作为前提

  • 包括端口、TCP标记、ICMP类型等条件

常用的隐含匹配条件:

端口匹配--sport 源端口、--dport 目的端口

单个端口号或者以冒号“:”分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式。

eg:允许为网段192.168.1.0/24转发DNS查询数据包:

[root@iptables ~]# iptables -A FORWARD -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT

[root@iptables ~]# iptables -A FORWARD -d 192.168.1.0/24 -p udp --sport 53 -j ACCEPT

eg:构建vsftpd服务器时,开放2021端口,以及用于被动模式的端口范围24500~24600

[root@iptables ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

TCP标记匹配--tcp-flags 检查范围 被设置的标记

针对协议为TCP、用来检查数据包的标记位(--tcp-flags);

“检查范围”指出需要检查数据包的哪几个标记,“被设置的标记”则明确匹配对应值为1的标记,多个标记之间以逗号进行分隔。

eg:拒绝从外网接口eth0直接访问防火墙本机的TCP请求,但允许其他主机发给防火墙的TCP等响应数据包请求:

[root@iptables ~]# iptables -P INPUT DROP

[root@iptables ~]# iptables -I INPUT -i eth0 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP

[root@iptables ~]# iptables -I INPUT -i eth0 -p tcp --tcp-flags ! --syn -j ACCEPT

--syn”用来兼容旧版本iptables的形式,等同于“--tcp-flags SYN,RST,ACK SYN

ICMP类型匹配--icmp-type ICMP类型

ICMP类型使用字符串或数字代码表示:

  • Echo-Request代码为8——表ICMP请求;

  • Echo-Reply代码为0——ICMP回显;

  • Destination-Unreachable代码3——ICMP目标不可达;

eg:禁止从其他主机ping本机,但是允许本机ping其他主机:

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

[root@iptables ~]# iptables -A INPUT -p icmp -j DROP

查看可用的ICMP协议类型:iptables -p icmp -h

c:显式匹配:

  • 要求以“-m 扩展模块的形式明确指出类型

  • 包括多端口、MAC地址、IP范围、数据包状态等条件

常用的显式匹配条件:

多端口匹配-m multiport --sports 源端口列表

-m multiport --dports 目的端口列表

eg:允许本机开放2580110143端口,以便提供电子邮件服务:

[root@iptables ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

IP范围匹配-m iprange --src-range IP范围

用来检查数据包的源地址、目标地址,其中IP范围采用“起始地址—结束地址”的形式:

eg:禁止转发源IP地址位于192.168.1.10192.168.1.20之间的TCP数据包:

[root@iptables ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 -j ACCEPT

MAC地址匹配-m mac --mac-source MAC地址

因为MAC地址的局限性,此类匹配一般只适用于内部网络。

eg:根据MAC地址封锁主机,禁止其访问本机的任何应用:

[root@iptables ~]# iptables -A INPUT -m mac --mac-source 00:01:02:03:04:cc -j DROP

状态匹配-m state --state 连接状态

  • 基于iptables的状态跟踪机制用来检查数据包的连接状态(State

  • 常见的连接状态包括NEW(与任何连接无关的)、ESTABLISHED(响应请求或者已建立连接的)、RELATED(与已有连接有相关性的,egFTP数据连接)。

eg:禁止转发与正常TCP连接无关的非“--syn”请求数据包(如伪造的一些网络攻击数据包):

[root@iptables ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

eg:只开放本机的web服务(80端口),但对发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃:

[root@iptables ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT

[root@iptables ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

[root@iptables ~]# iptables -P INPUT DROP

iptables 防火墙首次配置介绍就到这里了,希望对大家有帮助!

Stay hungry Stay foolish

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款