iptables防火墙

1.iptables防火墙介绍

Iptables其实不是真正的防火墙，只是一个工具。
我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的“安全框架”中，这个“安全框架”才是真正的防火墙，这个框架的名字叫netfilter
Netfilter框架存在于linux内核中实现数据包过滤、连接跟踪、地址转换等，来实现网络的安全。
Netfilter也是网络层的一个模块，可以在网络层的前后设置勾子函数，一旦有数据包流经勾子函数就会被拦截，每一个勾子函数都对应一个链，然后去比对表里的规则看是否通过或者更改。而这些表里的规则就是由iptables这个命令来配置的。

2.iptables防火墙四表五链

表的处理优先级：raw>mangle>nat>filter.

•   filter表——过滤数据包 
•   Nat表——用于网络地址转换（IP、端口）
•   Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
•   Raw表——决定数据包是否被状态跟踪机制处理

image.png

3.iptables表和链的位置

进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING)

3.1 双网卡

image.png image.png

3.2 单网卡

image.png

4.介绍iptables命令

4.1 结构

iptables -t 表 命令 链 规则 -j 动作

table 可以是 filter nat mangle 默认是 filter

4.2 常用命令

-P或 --policy   定义默认策略
-L或 --list     查看iptables规则列表 
-A或 --append   在规则列表的最后增加1条规则
-I或 --insert   在指定的位置插入1条规则
-D或 --delete   从规则列表中删除1条规则
-R 或 --replace 替换规则列表中的某条规则 
-F 或 --flush   删除表中所有规则    

4.3 iptables数据包匹配选项

-i 或 --in-interface  指定数据包从哪个网络接口进入，如ppp0、eth0、eth1等。
-o 或 --out-interface 指定数据包从哪个网络接口出去，如ppp0、eth0、eth1等。
-p 或 --protocol   协议类型 指定数据包匹配的协议，如TCP、UDP、ICMP等
-s 或 --source   指定数据包匹配的源地址
-d 或 --destination  指定数据包匹配的目标地址
--sport   指定数据包匹配的源端口号，可以使用“起始端口号：结束端口号”的格式指定一个端口号的范围
--dport   目标端口号，指定数据包匹配的目标端口号，可以使用“起始端口号：结束端口号”的格式指定一个端口号的范围


例子
拒接ICMP协议数据包
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -j DROP

拒绝从eth1网卡进入ICMP协议数据包
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -i eth1 -j DROP

4.4 扩展匹配选项

匹配选项中，还需要加-m引用模块的显示扩展

4.4.1状态类型

参数 -m state
     基于状态检测的包过滤，指定检测那种状态
     --state {NEW, ESTABLISHED, INVALID, RELATED}
     说明 用来比对连接状态，连接状态共有四种：NEW, ESTABLISHED, INVALID, RELATED
     INVALID 表示该封包的连接编号（Session ID）无法辨认或编号不正确
     ESTABLISHED 表示该封包属于某个已经建立的连接
     NEW 表示该封包想要起始一个连接（重设连接或将连接重导向）
     RELATED 表示该封包是属于某个已经建立的连接，所建立的新连接。例如：FTP-DATA连接必定是源自某个FTP连接
    
     范例 iptables –A INPUT -m state --state RELATED,ESTABLISHED 
     拒绝其他主机的新连接
     [root@sdh ~]# iptables -t filter -I INPUT -p tcp -m state --state NEW -j DROP

4.4.2 ICMP类型

参数-m icmp --icmp-type
   ping 命令使用icmp协议测试网络是否畅通
   icmp有两种常用的数据包icmp-type,常用的类型为echo-reply和echo-request.
   PC1 ping PC2,发出去的数据包是icmp协议的echo-request类型的数据包，PC2返回来的数据包是icmp协议的echo-reply类型的数据包。
 
例子
不允许其他主机ping本地（ping其他主机可以）
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -m icmp --icmp-type echo-request -j DROP

icmp 数据包的类型也可以使用数字表示
类型8：echo-request
类型0：echo-reply
举例
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8 -j DROP

4.4.3 指定多端口号

参数 -m multiport
    指定多端口号（只用--dport无法指定多个端口）
   -m multiport
          --sports   源端口
          --dports   目标端口
          --ports   
示例
拒绝192.168.80.0/24访问192.168.10.0/24 的1-1024，3389端口
[root@sdh ~]# iptables -t filter -I INPUT -p tcp -s 192.168.80.0/24 -d 192.168.10.0/24 -m multiport --dports 1:1024,3389 -j DROP
拒绝访问本机的22端口（SSH没改端口情况下尽量不要用）
[root@sdh ~]# iptables -t filter -I INPUT -p tcp --dport 22 -j DROP

4.4.4 指定IP段

参数 -m iprange
指定IP段
        --src-range ip-ip
        --dst-range ip-ip
示例
禁止192.168.80.1-100地址段访问
[root@sdh ~]# iptables -t filter -I INPUT -m iprange --src-range 192.168.80.1-192.168.80.100 -j DROP

4.4.5 连接限定

   -m connlimit
   --connlimit-above  限定最大连接个数
示例
限制每个ip的连接数为3
[root@sdh ~]# iptables -t filter -I INPUT -p tcp -m connlimit --connlimit-above 3  -j REJECT

4.4.6 限速

-m limit --limit
一个数据包默认设置最大1500字节
范例   iptables –A INPUT –m limit --limit 3/hour
说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对；每小时平均流量是否超过一次3个数据包（一小时3个数据包）
除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后：/second、/minute、/day 
    
例子
限制每秒对本机发送数据包不能超过300个。300*1500=450 000=450k
[root@sdh ~]# iptables -t filter -I INPUT -p tcp -m limit --limit 300/s -j ACCEPT
[root@sdh ~]# iptables -t filter -A INPUT -p tcp -j DROP

4.4.7 瞬间流量控制

参数 --limit-burst
范例 iptables –A INPUT –m limit --limit-burst 5
说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过5个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。（通俗点讲 前5个包可以直接通过不限速，但前5个包通过之后如果有限速设置就要按限速的速率来传送数据包）

例子
只允许其他主机ping本机4个包
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -m limit --limit-burst 4 -j ACCEPT
[root@sdh ~]# iptables -t filter -A INPUT -p icmp -j DROP

image.png

4.4.8 源mac地址限制

参数 –m mac --mac-source
说明 用来比对封包来源接口的硬件地址，这个参数不能用在OUTPUT和POSTROUTING规则链上，这是因为封包要送出到网卡后，才能由网卡驱动程序透过ARP通讯协议查出目的地的MAC地址，所以iptables在进行封包比对时，并不知道封包会送到哪个网络接口去。

示例
拒绝某个计算机的MAC能够访问VMNet8这个网段
[root@sdh ~]# iptables -t filter -I FORWARD -d 192.168.80.0/24 -m mac --mac-source 00-0C-29-DB-32-6F -j DROP

4.5 处理动作

 -j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。
  
filter 表能使用的主要动作
   ACCEPT：将封包放行，进行此处理动作后，将不再匹配其他规则，直接跳往下一个规则链。
   REJECT：拦阻该封包 ，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply或者是tcp-reset(这个封包会要求对方关闭连接)，进行完成处理动作后，将不再匹配其他规则，直接中断过滤程序。
   DROP：丢弃封包不予处理，进行完成处理动作后，将不再匹配其他规则，直接中断过滤程序。
   LOG：将封包相关讯息记录在/var/log/messages中，详细位置请查阅/etc/rsyslog.conf配置文件，进行完成处理动作后，将会继续匹配其规则。可以去/etc/rsyslog.conf中更改记录文件，记得重启日志服务

4.5.1 REJECT

示例：
与DROP不同DROP是什么动静都没有，REJECT会回复给原主机 目标不可达
[root@sdh ~]# iptable -t filter -I INPUT -p icmp -j REJECT

4.5.2 LOG

只对数据包进行记录，不对数据包进行拒绝或者限制的作用，所以数据包的通过与不通过要看接下来的规则链，所以尽量把LOG动作的规则链放到开头。

示例：
给基于ICMP的封包进行LOG记录
[root@sdh ~]# iptables -t filter -I INPUT -p icmp -j LOG --log-prefix "iptables-icmp"

--log-prefix  给记录的信息加上一个标记
 然后查看/var/log/messages里面会有封包的信息

5 保存还原防火墙设置

iptables防火墙重启会加载配置文件，
所以如果我们当前的规则没有保存到配置文件，就会清空。

iptables配置文件               /etc/sysconfig/iptables
将当前配置保存到配置文件      service iptables save
将当前配置规则追加到一个文件           iptables-save > iptables.conf1
还原iptables-save命令所备份的规则配置   iptables-restore < iptables.config1

6 介绍Iptables防火墙配置文件

iptables服务的配置文件是/etc/sysconfig/iptbales-config

vim /etc/sysconfig/iptables-config

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES=""
 
# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"
 
# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"
 
# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"
 
# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"
 
# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"
 
# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"
 
# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"

6.1 解释配置文件

IPTABLES_MODULES = “ip_conntrack_netbios_ns”
在防火墙被激活时，指定一组独立的空间额外加载iptables模块，系统启动，加载防火墙模块，会打印：加载其他iptables模块：ip_conntrack_netbios_ns [确定]
IPTABLES_MODULES_UNLOAD = “是”
在重新启动和停止的iptables模块时，是否卸载此模块。
IPTABLES_SAVE_ON_STOP = “不”
当防火墙停止时，保存当前防火墙规则到iptables文件，no :(默认值）不保存当前的规则到iptables文件。
IPTABLES_SAVE_ON_RESTART = “不”
当防火墙重启时：service iptables restart，保存当前防火墙规则到iptables文件，no :(默认值）不保存当前的规则到iptables文件。
IPTABLES_SAVE_COUNTER = “不”
保存并恢复所有链和规则中的数据包和字节计数器，是：保存计数器的值，没有:(默认值）不保存计数器值。
IPTABLES_STATUS_NUMERIC = “是”
输出的IP地址是数字的格式，而不是域名和主机名的形式，是:(默认值）在状态输出中只包括IP地址，没有：在状态输出中返回域名或主机名。
IPTABLES_STATUS_VERBOSE = “不”
输出iptables的状态时，是否包含输入输出设备，是：包含，不:(默认值）不包含。
IPTABLES_STATUS_LINENUMBERS = “是”
输出iptables的状态时，是否同时输出每条规则的匹配数，是:(默认值）输出，NO：不输出

查看iptables状态时 -v显示更多设置 -n以数字形式显示IP和端口
[root@sdh ~]# iptables -L -vn

7 保护服务器安全

7.1 常规网络安全设置

示例
Web服务器对Internet开放TCP 80端口
SSH端口只允许指定的网段访问
默认拒绝所有进入的流量

安装web服务（httpd或者nginx）
设置防火墙规则
[root@sdh ~]# iptables -t filter -P INPUT DROP
[root@sdh ~]# iptables –F
[root@sdh ~]# iptables -t filter -I INPUT -p -tcp --dport 80 -j ACCEPT
[root@sdh ~]# iptables -t filter -I INPUT -p -tcp --dport 22-s 192.168.10.123/32 -j ACCEPT

7.2 recent模块实现服务器网络安全

recent这个模块很有趣，善加利用可充分保证您服务器的安全

设定常用参数

--name    设定列表名称，默认DEFAULT
--rsource   源地址，此为默认
--rdest     目标地址
--seconds   指定时间内
--hitcount   命中次数
--set       将地址添加进列表，并更新信息，包含地址加入的时间戳
--rcheck    检查地址是否在列表，以第一个匹配开始计算时间
--update    和rcheck类似，以最后一个匹配计算时间
--remove   在列表里删除相应地址，后跟列表名称及地址，如果来源端数据已存在，则将其删除，若不存在，则不做任何处理;

示例1

SSH连接60秒内只允许连接2次
#用来设置多长时间 几次 拒绝
[root@sdh ~]# iptables -t filter -A INPUT -p tcp --dport 52113 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 60 --hitcount 2 -j DROP
#连接计数
[root@sdh ~]# iptables -t filter -A INPUT -p tcp --dport 52113 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT
#如果把链的默认改成了DROP，所以要加上一条建立了会话的数据包 就允许进入
[root@sdh ~]# iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT

示例2

限制TCP 80端口60秒内每个IP只能发起10个新连接，超过记录日记及丢失数据包，可防CC及伪造IP的syn洪水
[root@sdh ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j LOG --log-prefix "DDOS"
[root@sdh ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --rcheck --seconds 60 --hitcount 10 -j DROP
[root@sdh ~]# iptables -A INPUT -p tcp --dport 80 --syn -m recent --name webpool --set -j ACCEPT
#如果把链的默认改成了DROP，所以要加上一条建立了会话的数据包 就允许进入
[root@sdh ~]# iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT

8 设置打开端口的钥匙

#记录日志，前缀SSHOPEN   (-m length --length 指定数据包大小 ) 
[root@sdh ~]# iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 1078 -j LOG --log-prefix "SSHOPEN"

#指定数据包1078 字节（包含IP头部20字节，ICMP头部8字节），将ping请求的包大小为1078字节的数据包的源地址记录到sshopen表
[root@sdh ~]# iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 1078 -m recent --set --name sshopen --rsource -j ACCEPT

#检查sshopen表中60秒内的记录如果有源地址则允许访问TCP 的22端口
[root@sdh ~]# iptables -A INPUT -p tcp --dport 22 --syn -m recent --rcheck --seconds 60 --name sshopen --rsource -j ACCEPT

#发送ping包指定数据包1178个字节，将客户端地址从sshopen表中移除，客户端将不能使用tcp的22端口建立连接
[root@sdh ~]# iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 1178 -m recent --remove --name sshopen -j ACCEPT
#已建立连接允许进入
[root@sdh ~]# iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

#记住将INPUT链默认改成DROP
[root@sdh ~]# iptables -P INPUT DROP

最终 会实现什么样情况呢
直接去连接我们的主机是连不上了
我们需要ping一下主机并且要指定数据包为1050（因为IP占20个字节，ICMP占8个字节）

image.png

这样我们在60秒内去连就可以连上主机
那如果我们想断开呢
根据我们上面的设置ping一下1150

image.png

这样我们就连不上啦

Linux下解锁
ping -s 1050 47.94.108.119

windows下解锁
ping -l 1050 47.94.108.119

9.保护子网的安全

9.1 访问内网的主机端口

适用于双网卡的主机，用来对子网ip的保护
把子网主机具体需要打开的端口打开
ptables -P FORWARD DROP 
iptables -t filter -I FORWARD -p tcp -dport 3389 -d 192.168.10.110/32 -o eth2 -j ACCPET
现在能够向目标主机发送请求，但是目标主机无法回应。还要再加一条已建立会话允许通过。
iptables -t filter -I FORWARD -m state --state ESTABLISHED -j ACCEPT

9.2 配置NAT实现网络地址转换

image.png

做地址的转换 让内部ip可以通过一个公网ip去上网

9.3 端口映射

将公网的ip端口映射到内网ip的端口
如果内网存在多主机打开同一个端口，就要在公网ip上设置其他的端口去映射
[root@sdh ~]# iptables -t nat -A PREROUTING -i eth3 -d 192.168.20.10/32 -p tcp --dport 3389 -j DNAT --to-destination 192.168.10.110:3389
[root@sdh ~]# iptables -t nat -A PREROUTING -i eth3 -d 192.168.20.10/32 -p tcp --dport 4000 -j DNAT --to-destination 192.168.10.222:3389

那如果是映射到web主机上的话，就映射80端口就可以啦

10.mangle表的应用案例

TTL 生存时间值 每经过一个路由就减1  windows默认是128  linux默认是64
如果不设置TTL的话，当输入一个不存在的ip，路由之间就会不断的来回发包，占用带宽。
当TTL为0是就会停止继续发包

tracert 可以跟踪一个地址看经过多少个路由，原理就是利用TTL。所以我们要利用mangle表来迷惑那些跟踪我们地址的人。