|
linux系統(tǒng)中,防火墻(Firewall),網(wǎng)址轉(zhuǎn)換(NAT),數(shù)據(jù)包(package)記錄,流量統(tǒng)計(jì),這些功能是由Netfilter子系統(tǒng)所提供的,而iptables是控制Netfilter的工具.
iptables將許多復(fù)雜的規(guī)則組織成成容易控制的方式���,以便管理員可以進(jìn)行分組測(cè)試����,或關(guān)閉���、啟動(dòng)某組規(guī)則�。
iptable能夠?yàn)閁nix����、Linux和BSD個(gè)人工作站創(chuàng)建一個(gè)防火墻,也可以為一個(gè)子網(wǎng)創(chuàng)建防火墻以保護(hù)其它的系統(tǒng)平臺(tái)���。
iptable只讀取數(shù)據(jù)包頭����,不會(huì)給信息流增加負(fù)擔(dān),也無(wú)需進(jìn)行驗(yàn)證�。
1. 術(shù)語(yǔ)解釋
- DNAT
- Destination Network Address Translation 目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換。 DNAT是一種改變數(shù)據(jù)包目的ip地址的技術(shù)����,經(jīng)常和SNAT聯(lián)用,以使多臺(tái)服務(wù)器能共享一個(gè)ip地址連入Internet���,并且繼續(xù)服務(wù)���。通過(guò)對(duì)同一個(gè)ip地址分配不同的端口,來(lái)決定數(shù)據(jù)的流向����。
- SNAT
- Source Network Address Translation源網(wǎng)絡(luò)地址轉(zhuǎn)換����。這是一種改變數(shù)據(jù)包源ip地址的技術(shù), 經(jīng)常用來(lái)使多臺(tái)計(jì)算機(jī)分享一個(gè)Internet地址�。這只在IPv4中使用,因?yàn)镮Pv4的地址已快用完了����,IPv6將解 決這個(gè)問(wèn)題���。
2. iptable 概述
2.1. iptable的鏈和表結(jié)構(gòu)
如上圖可以看出,iptable總體結(jié)構(gòu).
2.2. 5個(gè)鏈(chain)
- PREROUTING
- 在數(shù)據(jù)包進(jìn)入防火墻之后�、路由判斷之前對(duì)數(shù)據(jù)包進(jìn)行修改
- INPUT
- 在數(shù)據(jù)包被路由到本地之后,但在用戶(hù)空間程序看到它之前對(duì)數(shù)據(jù)包進(jìn)行修改
- OUTPUT
- 用戶(hù)空間程序處理數(shù)據(jù)包后��,由本地發(fā)出���,再次被路由之前更改數(shù)據(jù)包
- FORWARD
- 在最初的路由判斷之后����、最后一次更改包的源地址之前對(duì)數(shù)據(jù)包進(jìn)行修改
- POSTROUTING
- 在所有路由判斷之后,對(duì)數(shù)據(jù)包進(jìn)行修改
注意: 鏈 是每個(gè)數(shù)據(jù)包流需要經(jīng)過(guò)的不同環(huán)節(jié)����,你可以在不同的環(huán)節(jié)根據(jù)需要設(shè)置不同的過(guò)濾策略,每個(gè)鏈的默認(rèn)策略都是Accept
2.3. 4個(gè)表(table)
- Mangle表
- 這個(gè)表主要用來(lái)mangle包,你可以使用mangle匹配來(lái)改變包的一些屬性��,比如 TOS(TYPE OF SERVICE),TTL (TIME TO LIVE),MARK(后續(xù)流量控制TC等)
- Nat表
- 此表僅用于NAT�,也就是轉(zhuǎn)換包的源或目標(biāo)地址。注意����,就象我們前面說(shuō)過(guò)的,只有流的第一個(gè) 包會(huì)被這個(gè)鏈匹配���,其后的包會(huì)自動(dòng)被做相同的處理(DNAT,SNAT,MASQUERADE)
- Filter表
- 此表用來(lái)過(guò)濾數(shù)據(jù)包���,我們可以在任何時(shí)候匹配包并過(guò)濾它們��。 我們就是在這里根據(jù)包的內(nèi)容對(duì)包做DROP或ACCEPT的.
iptalbe中,要用 -t 參數(shù)指定要操作哪個(gè)表,如果沒(méi)有 -t 參數(shù)�,就默認(rèn)對(duì)filter表操作.
- Raw表
- 優(yōu)先級(jí)最高�,設(shè)置raw時(shí)一般是為了不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理,提高性能
注意: 表 是規(guī)則的集合組,每個(gè)表中的規(guī)則條目是按順序匹配的,你可以在數(shù)據(jù)包經(jīng)過(guò)的不同環(huán)節(jié)設(shè)置規(guī)則,表的處理優(yōu)先級(jí):raw > mangle > nat > filter
2.4. 詳細(xì)的數(shù)據(jù)包流程
從上圖可以看出����,數(shù)據(jù)包流環(huán)節(jié)和表的配合使用方法
3. iptable應(yīng)用場(chǎng)景
上圖是應(yīng)用場(chǎng)景的簡(jiǎn)單拓?fù)涿枋?下面的應(yīng)用場(chǎng)景舉例,都以上圖為參考.
系統(tǒng)啟動(dòng)的時(shí)候所有的默認(rèn)策略都是ACCEPT,在下面的場(chǎng)景舉例中����,我們都是在這種前提下設(shè)定iptable的
下面每個(gè)場(chǎng)景舉例都是獨(dú)立的,沒(méi)有相關(guān)聯(lián)性的
3.1. 網(wǎng)關(guān)服務(wù)器安全策略
目標(biāo) : 網(wǎng)關(guān)服務(wù)器系統(tǒng)自生安全策略���,只對(duì)內(nèi)網(wǎng)用戶(hù)開(kāi)放22端口(sshd服務(wù))
#清空 filter table
[root@localhost]# iptables -F -t filter
[root@localhost]# iptables -X -t filter
[root@localhost]# iptables -Z -t filter
#清空 nat table
[root@localhost]# iptables -F -t nat
[root@localhost]# iptables -X -t nat
[root@localhost]# iptables -Z -t nat
#設(shè)置默認(rèn)策略(INPUT鏈默認(rèn)為DROP)
[root@localhost]# iptables -t filter -P INPUT DROP
[root@localhost]# iptables -t filter -P OUTPUT ACCEPT
[root@localhost]# iptables -t filter -P FORWARD ACCEPT
#回環(huán)接口(lo),默認(rèn)accept
[root@localhost]# iptables -A INPUT -p ALL -i lo -j ACCEPT
#只對(duì)內(nèi)網(wǎng)用戶(hù)開(kāi)放sshd服務(wù)
[root@localhost]# iptables -A INPUT -p tcp -s 192.168.138.0/24 --dport 22 -j ACCEPT
說(shuō)明: 防火墻的策略順序一般都是 從 非信任 ==> 信任,默認(rèn)關(guān)閉所有訪(fǎng)問(wèn)權(quán)限,然后按照需要逐條開(kāi)放訪(fǎng)問(wèn)權(quán)限.
3.2. 共享上網(wǎng)(nat)
目標(biāo):使局域網(wǎng)的用戶(hù)都可以訪(fǎng)問(wèn)外網(wǎng)的服務(wù)器
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
說(shuō)明: SNAT 和 MASQUERADE 區(qū)別
SNAT : 不管是幾個(gè)地址,必須明確的指定要SNAT的ip�,適合網(wǎng)關(guān)服務(wù)器有固定地址或者是固定地址范圍. MASQUERADE : 是針對(duì)ADSL動(dòng)態(tài)撥號(hào)這種場(chǎng)景而設(shè)計(jì),從服務(wù)器的網(wǎng)絡(luò)接口上,自動(dòng)獲取當(dāng)前ip地址來(lái)做NAT,這樣就實(shí)現(xiàn)了動(dòng)態(tài)SNAT地址轉(zhuǎn)換
3.3. 內(nèi)網(wǎng)的服務(wù)器對(duì)外服務(wù)(端口映射)
目標(biāo):使外網(wǎng)用戶(hù)可以訪(fǎng)問(wèn)到局域網(wǎng)192.168.138.21這臺(tái)HTTP服務(wù)
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.138.21
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
3.4. 在網(wǎng)關(guān)服務(wù)器進(jìn)行透明代理
目標(biāo): 使局域網(wǎng)用戶(hù),訪(fǎng)問(wèn)外網(wǎng)web服務(wù)時(shí),自動(dòng)使用squid作web透明代理服務(wù)器����。
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.138.1
[root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
轉(zhuǎn)載請(qǐng)注明:愛(ài)開(kāi)源 ? linux iptable 使用指南
|
