防火墙

防火墙

最重要的是四表五链
windows和linux安全等级都属于c2

防火墙分类：

基础类防火墙：根据数据报文特征进行数据包过滤模块

IDS 类防火墙：入侵检测系统

IPS 类防火墙：入侵防御系统

主动安全类防火墙

​ waf：外网{防御http协议}

​ daf：数据库应用防火墙

基础类防火墙：iptables，firewalld

​ 软件

​ iptables

​ firewalld

​ 硬件：大厂一般都有{惠普，联想}

​ 性能主要看吞吐量：每秒能过滤多大的数据流量

防火墙：工作在主机边缘处或者网络边缘处对进出的数据报文根据定义规则进行过滤的模块

​ 用户态：iptables firewalld

​ 内核态：netfilter netfilter

​ 规则

​ 自定义规则：自己定义的规则

​ 默认规则：默认值，如果匹配不到自定义，就匹配默认

​

链：承载规则

​ INPUT：对入站数据报文处理的接口

​ OUTPUT：对出站数据报文做处理的接口

​ FORWARD: 对转发数据报文做处理的接口

​ POSTROUTING：路由后 SNAT

​ PREROUTING：路由前 DNAT

表：承载链

​ raw：数据报文跟踪

​ mangle：数据报文修改

​ nat：数据报文转换 nat

​ filter：数据报文过滤{最重要的功能}

​

规则顺序：自上而下 依次匹配 匹配即停止 除了 LOG 动作

规则写的顺序，访问高的放在上面，不常访问的在下面

链顺序

​ 入站： PREROUTING > INPUT

​ 出站: OUTPUT > POSTROUTING

​ 转发: PREROUTINGH > FORWARD > POSTROUTING

表顺序

​ raw 》 mangle 》 nat 》 filter

数据流入方向

入站：raw{路由前跟踪}、mangle{修改}、nat{PREROUTING}{地址转换}到路由mangle{入站前修改}、filter{INPUT}{入站前过滤}到应用程序

出站：raw、mangle、nat、filter{OUTPUT}、mangle、nat{POSTROUTING}

转发：raw{路由前跟踪}、mangle{修改}、nat{PREROUTING}{地址转换}、路由mangle{入站前修改}、filter{INPUT}{入站前过滤}、mangle、nat{POSTROUTING}

语法构成

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

几个注意事项

不指定表名时，默认指filter表

iptables -L=iptables -t filter -L

不指定链名时，默认指表内的所有链

除非设置链的默认策略，否则必须指定匹配条件

选项、链名、控制类型使用大写字母，其余均为小写

ACCEPT： 允许通过

DROP： 直接丢弃，不给出任何回应{默认规则}

REJECT： 拒绝通过，必要时会给出提示{如果想用，在自定义规则}

LOG： 记录日志信息，然后传给下一条规则继续匹配

SNAT： 修改数据包源地址

DNAT： 修改数据包目的地址

REDIRECT： 重定向

添加新的规则

-A：在链的末尾追加一条规则

-I：在链的开头（或指定序号）插入一条规则

# iptables -t filter -A INPUT -p tcp -j ACCEPT #只要是tcp的入站规则全部放行

# iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT #通过tcp协议，允许任何用户访问80端口去任何地方

# iptables -I INPUT -p udp -j ACCEPT #在开头插入一条规则，允许UDP的所有入站报文

# iptables -I INPUT 2 -p icmp -j ACCEPT #在INPUT链的第二条插入一条规则{放行ICMP协议}

# iptables -A INPUT -j DROP #将所有的数据报文丢弃

查看规则列表

-L：列出所有的规则条目

-n：以数字形式显示地址、端口等信息

-v：以更详细的方式显示规则信息

–line-numbers：查看规则时，显示规则的序号

# iptables -L INPUT --line-numbers

# iptables -L -n -v

删除、清空规则

-D：删除链内指定序号（或内容）的一条规则

-F：清空所有的规则

清空所有表的所有链的所有规则

[root@www ~]# iptables -t mangle -F

[root@www ~]# echo “” > /etc/sysconfig/iptables #这样更快，清空所有表

[root@www ~]# service iptables restart

# iptables -F #清除所有链的规则

# iptables -D INPUT 3 #删除INPUT链的第三条规则

# iptables -t filter -F INPUT #删除INPUT链的所有规则

# iptables -n -L INPUT

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT udp – 0.0.0.0/0 0.0.0.0/0

ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0

ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0

设置默认策略

-P：为指定的链设置默认规则

# iptables -t filter -P FORWARD DROP

# iptables -P OUTPUT ACCEPT

通用匹配

可直接使用，不依赖于其他条件或扩展

包括网络协议、IP地址、网络接口等条件

隐含匹配

要求以特定的协议匹配作为前提

包括端口、TCP标记、ICMP类型等条件

显式匹配

要求以“-m 扩展模块”的形式明确指出类型

包括多端口、MAC地址、IP范围、数据包状态等条件

iptables -t filter -A INPUT -p tcp --dport 80 -j REJECT

常见的通用匹配条件

协议匹配：-p 协议名

地址匹配：-s 源地址、-d 目的地址

接口匹配：-i 入站网卡、-o 出站网卡

# iptables -A FORWARD -s 192.168.1.11 -j REJECT #当源地址是1.11的转发请求拒绝

# iptables -I INPUT -s 10.20.30.0/24 -j DROP #当源地址是30.0/24网段时入站请求丢弃

# iptables -I INPUT -p icmp -j DROP #丢弃icmp的入站报文

# iptables -A FORWARD -p ! icmp -j ACCEPT #除了icmp的转发请求我都同意

# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP #当入站网卡是eth0，当源地址是0.0/12网段的入站请求丢弃

常用的隐含匹配条件

端口匹配：–sport 源端口、–dport 目的端口

ICMP类型匹配：–icmp-type ICMP类型

# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

# iptables -A INPUT -p icmp --icmp-type 8 -j DROP #别人能正常访问我

# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT #我能访问别人，别人不能访问我

# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #目标未知

# iptables -A INPUT -p icmp -j DROP

常用的显式匹配条件

多端口匹配：-m multiport --sport 源端口列表

​ -m multiport --dport 目的端口列表

IP范围匹配：-m iprange --src-range IP范围

MAC地址匹配：-m mac –mac-source MAC地址

状态匹配：-m state --state 连接状态

# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT

# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP

# iptables -P INPUT DROP

# iptables -I INPUT -p tcp -m multiport --dport 80-82,85 -j ACCEPT

# iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

RELATED 相关联的

SNAT 策略的典型应用环境：局域网主机共享单个公网IP地址接入Internet

SNAT 策略的原理

源地址转换，Source Network Address Translation

修改数据包的源地址

前提条件

局域网各主机正确设置IP地址/子网掩码

局域网各主机正确设置默认网关地址

Linux网关支持IP路由转发

实现方法：编写SNAT转换规则

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31

MASQUERADE —— 地址伪装

适用于外网 IP地址 非固定的情况

对于ADSL 拨号连接，接口通常为 ppp0、ppp1

将SNAT规则改为 MASQUERADE 即可

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

DNAT策略的典型应用环境

在 Internet 中发布位于企业局域网内的服务器

DNAT 策略的原理

目标地址转换，Destination Network Address Translation

修改数据包的目标地址

前提条件

局域网的Web服务器能够访问Internet

网关的外网IP地址有正确的DNS解析记录

Linux网关支持IP路由转发

实现方法，编写 DNAT 转换规则

# iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6

发布时修改目标端口

在 DNAT 规则中以“IP:Port”的形式指定目标地址

# iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 2346 -j DNAT --to-destination 192.168.1.6:22

导出（备份）规则：iptables-save 工具

可结合重定向输出保存到指定文件

导入（还原）规则：iptables-restore 工具

可结合重定向输入指定规则来源

Iptables 服务

脚本位置：/etc/init.d/iptables

规则文件位置：/etc/sysconfig/iptables

centos7要想使用iptables

rpm -e --nodeps firewalld

yum -y install iptables-services

systemctl start iptables

systemctl enable iptables