Iptables
功能
- 流量转发:DNAT 实现 IP 地址和端口的映射;
- 负载均衡:statistic 模块为每个后端设置权重;
- 会话保持:recent 模块设置会话保持时间;
数据结构
iptables 有五张表和五条链,五条链分别对应为:
- PREROUTING 链:数据包进入路由之前,可以在此处进行 DNAT;
- INPUT 链:一般处理本地进程的数据包,目的地址为本机;
- FORWARD 链:一般处理转发到其他机器或者 network namespace 的数据包;
- OUTPUT 链:原地址为本机,向外发送,一般处理本地进程的输出数据包;
- POSTROUTING 链:发送到网卡之前,可以在此处进行 SNAT;
五张表分别为:
- filter 表:用于控制到达某条链上的数据包是继续放行、直接丢弃(drop)还是拒绝(reject);
- nat 表:network address translation 网络地址转换,用于修改数据包的源地址和目的地址;
- mangle 表:用于修改数据包的 IP 头信息;
- raw 表:iptables 是有状态的,其对数据包有链接追踪机制,连接追踪信息在 /proc/net/nf_conntrack 中可以看到记录,而 raw 是用来去除链接追踪机制的;
- security 表:最不常用的表,用在 SELinux 上;
这五张表是对 iptables 所有规则的逻辑集群且是有顺序的,当数据包到达某一条链时会按表的顺序进行处理,表的优先级为:raw、mangle、nat、filter、security。
iptables 的工作流程如下图所示:
DNAT 和 SNAT 的区别
NAT(Network AddressTranslation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。(nat就是防火墙的nat表)实际上就是在,在系统上建立nat表,提供IP的映射转发的功能。
- 内核中数据包的传输过程
当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 如果数据包就是进入本机的,数据包就会到达INPUT链。经INPUT链检查后,数据包被发往本地进程。本地进程进行相应处理后发送响应数据包,数据包经过OUTPUT链,然后到达POSTROUTING链输出;如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
- SNAT
首先进入PREROUTING,发现不是本网段的地址,而后开始查找路由表(查找路由的过程在PREROUTING和FORWARD之间),于是经过FORWARD链进行转发,在通过POSTROUTING时进行NAT转换。在这个流程中,NAT转换的步骤在POSTROUTING链上实现,之所以不再PREROUTING上做NAT是因为数据包在进来之前,还不知道是本网段地址还是外网地址。(出向)
- DNAT
在DNAT中,NAT要在PREROUTING链上做。在数据进入主机后,路由选择过程是在PREROUTING和FORWARD之间的,所以应该先做地址转换之后再进行路由选择,而后经过FORWARD链,最后从POSTROUTING链出去。(入向)
- SNAT和DNAT的区别
从定义来讲它们一个是源地址转换,一个是目标地址转换。都是地址转换的功能,将私有地址转换为公网地址。
要区分这两个功能,可以简单的由连接发起者是谁来区分!
snat:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
dnat:当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。
防火墙
- 安全技术
入侵检测与管理系统(Intrusion Detection Systems): 特点是阻断任何网络访问,量化,定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的的指导措施和安全决策依据.一般采用旁路部署方式
入侵检测系统(Intrusion Prevertion System): 以透明模式工作,分析数据包的内容: 溢出攻击,拒绝服务攻击,木马,蠕虫,系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在线部署方式
防火墙(Firewall): 隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时定义的行为进行处理的一组规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是在默认的情况下关闭所有的通过型访问,只开放允许访问的策略
防火墙分类
主机防火墙: 服务范围为当前主机
网络防火墙: 服务范围为防火墙一侧的局域网
硬件防火墙: 在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如Checkpoing,NetScreen
软件防火墙: 运行于通用硬件平台上的防火墙的应用软件
网络层防火墙: OSI下面三层
应用层防火墙/代理服务器: 代理网关,OSI七层
网络型防火墙
包过滤防火墙
网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每一个数据的源地址,目标地址,所用的端口和协议等状态等因素,或他们的组合来确定是否允许该数据包通过
优点: 对用来说透明,处理速度快且易于维护
缺点: 无法检查应用层数据,如病毒等
应用层防火墙
应用层防火墙/代理服务器(Proxy Service)
将所有跨防火墙的网络通信链路分为两段
内外网用户的访问都是通过代理服务器上的"链接"来实现
优点: 在应用层对数据进行检查,比较安全
缺点: 增减防火墙的负载
在现实生产中所使用的防火墙一般都是二者的结合,即先检查网络数据,通过后再送到应用层去检查
- Netfilter
在linux中,防火墙的是在有Netfilter组件实现的
Netfilter组件
在内核空间,继承与linux内核中
扩展各种网络服务的结构化底层框架
内核选取5个位置放置五个hook(钩子)function(INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables,firewalld)向其写入规则
由信息过滤表(table)组成,包含控制IP包处理规则集(rules),规则被分组放在chain上
由此我们可以规定数据包的的三种流向:
流入本机: PREROUTING --> INPUT --> 用户空间
流出本机: 用户空间 --> OUTPUT --> POSTROUTING
转发: PREROUTING -->FORWARD --> POSTROUTING
- 防火墙组成
四个表table: filter, nat, mangle, raw
filter表: 过滤规则表,根据预定义的规则过滤符合条件的数据包
nat: network address translation 地址转换规则表
mangle: 修改数据标记为规则表
raw: 关闭nat表上启用的连接追踪机制,加快封装包穿越防火墙速度
优先级: raw --> mangle --> nat --> filter
五个内置的链(chain),即上面提到的钩子函数
INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING
Iptables CMD
iptables规则
组成部分 报文的匹配条件 匹配到后处理动作
匹配条件 根据协议报文特征指定
基本匹配条件
扩展匹配条件
处理动作
内建处理机制
自定义处理机制
注意 报文不会经过自定义链 只能在内置链上通过规则进行引用后生效
iptables-save > /path/to/file #可以将现在的防火墙规则保存到指定文件
ipstables-restore < /path/to/file #可以将保存到文件中的防火墙规则重新导入
iptables [-t table] SUBCOMMAND CHAIN CRETERIA(规则) -j TARGET
-t
filter nat mangle fraw 默认是filter
链管理
-F flush 清空规则链 省略链 表示清空指定表上的所有链
-N new 自定义规则链 创建自定义的规则链
-X delete 删除用户自定义的规则链(必须是空的),并切其他链没有和它关联
-Z zero 清零 置零规则计数器
-P policy 为指定链设置默认策略 对filter表中的链而言,默认策略通常有ACCEPT,DROP,REJECT
-E rEname 重命名自定义链 引用计数不为零的自定义链 无法改名 也无法删除
规则管理
-A append 将规则追加到指定链的尾部
-I insert 将规则插入到指定的链的指定位置
-D delete
两种指定规则
1 指定匹配条件
2 指定规则编号
-R replace 替换指定链上的指定规则
查看
-L list 列出指定链上的所有规则
-n numberic 以数字格式显示地址和端口
-v verbose 显示详细信息
-vv -vvv
--line-numbers 显示规则行号
-x exactly 精确值
目标 jump 跳转
-j TARGET jump至指定的TARGET
ACCEPT 接受
DROP 拒绝
REJECT 强烈的拒绝
REDIRECT 端口重定向
LOG 记录日志
MARK 做防火墙标记的
DNAT 目标地址转换
SNAT 源地址转换
MASQUERADE 地址伪装
RETURN 返回指定的链
- 基本匹配
-s ,--src ,--source IP | NETaddr 检查报文的源地址是否符合此处指定的地址范围
-d ,--dst ,--destination IP |NETaddr 检查报文的目标地址是否符合此处指定的地址范围
-p ,--protocol {tcp|udp|icmp} 检查报文中的协议,即ip首部中的protocol所标识的协议
-i ,--in-interface IFACE 数据报文的流入接口 仅能用于PREROUTING INPUT及FORWARD链上
-o ,--out-interface IFACE 数据报文的流出接口 仅能用于POSTOUTING OUTPUT及FORWARD链上
iptables -t filter -A INPUT -d 172.18.23.60 -p tcp -j ACCEPT # 接受目标地址到172.18.23.60 tcp协议的请求
iptables -A INPUT -d 172.18.23.60 -p icmp -j ACCEPT #接受到172.18.23.60的icmp协议请求
iptables -A INPUT -d 172.18.23.60 -i eth0 -j ACCEPT #接受到172.18.23.60并且是从eht0接口进来的请求
iptables -A INPUT -d 172.18.23.60 -j DROP # 最后设置一个默认规则
- 扩展匹配
-m 指明要是用扩展匹配 match_name --space_options
例如 -m tcp --dport 22 匹配tcp的22端口
隐式扩展 对 -p protocol 指明的协议进行的扩展,可省略-m 选项
-p tcp
--dport PORT[-PORT] 目标端口,可以是单个端口,也可以是多个端口
iptables -A INPUT -d 172.18.23.60 -p tcp --dport 22 -j ACCEPT(开启22)
iptables -A OUTPUT -s 172.18.23.60 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -d 172.18.23.60 -p tcp --dport 80 -j ACCEPT(开启80)
iptables -A OUTPUT -s 172.18.23.60 -p tcp --sport 80 -j ACCEPT
--tcp-flags: LIST1 LIST2 检查list1所指明的所有标志位,且其中 list2所表示出的所有标记位必须为1 而余下的必须为0 没在list1中指明的,不做检查
SYN,ACK,FIN,RST,PSH,URG
请求同步 确认号有效 断开 重置 推送 紧急指令(更快)
--tcp-flags SYN,ACK,FIN,RST SYN 和 --syn 参数一样效果
--tcp-flags ALL ALL 所有位都为1
--tcp-flags ALL NONE 所有位都为0
-p udp
--dport
--sport
-p icmp
--icmp-type
0 echo-reply
8 echo-request
iptables -A OUTPUT -s 172.18.23.60 -p icmp --icmp-type 8 -j ACCEPT #本机请求
iptables -A INTPUT -d 172.18.23.60 -p icmp --icmp-type 0 -j ACCEPT #其他主机回应本机
显式扩展 必须使用-m选项指定使用的扩展
centos 6 man iptables,手册
centos 7 man iptables-extensions,手册
1 multiport 多端口匹配 [!] 可以使用
以离散方式定义多端口匹配,最多指定15个端口
--source-ports, --sports port...
--destination-ports, --dports port...
iptables -I INPUT -s 172.18.0.0/16 -d 172.18.23.60 -p tcp -m multiport --dports 20,80 -j ACCEPT
2 iprange扩展 [!]
指明连续的(但一般不能扩展为整个网络) IP地址范围时,使用
--src-range from 指明连续的源ip地址范围
--dst-range from 指明连续的源ip地址范围
iptables -I INPUT -d 172.18.23.60 -p -tcp -m multiport --dports 22:23,80 -m iprange -src-range 172.18.100.0-172.18.150.0 -j ACCEPT
3 string扩展
检查报文中的出现的字符串
--algo{bm|kmp}
bm=boyer-moore
kmp=knuth-pratt-morris
--string=pattern 可以使用表达式
iptables -I OUTPUT -m string --algo bm --string "movie" -j REJECT #根据协议报文匹配到的字符进行控制(不支持加密协议)
4 time 扩展
根据报文到达的时间与指定的时间范围进行匹配
--datastart
--datastop
--timestart
--timestop
--monthsdays
--weekdays
centos6 默认使用的是本地时间,centos7 使用的UTC时间
iptables -I INPUT -d 172.18.23.60 -p tcp --dport 80 -m timestart 14:00 --timestop 16:00 -j REJECT # 在14:00-16:00之间拒绝到172.18.23.60服务
5 connlimit 连接限制
根据没客户端ip(也可以是地址块)做并发连接的匹配
--connlimit-above n 链接数量大于n
--connlimit-upto n 链接数量小于等于n
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT
6 limit 扩展
基于收发报文的速率进行检查
iptables -A INPUT -d 172.18.23.60 -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit 30/minute -j ACCEPT
iptables -A OUTPUT -s 172.18.23.60 -p icmp --icmp-type 0 -j ACCEPT
7 state扩展
根据连接追踪机制检查连接时状态
调节连接追踪功能能够容纳的最大连接数量
cat /proc/net/nf_conntrack
已经追踪并记录下的连接
/proc/net/nf_conntrack
不同协议或连接类型追踪的时长
/proc/sys/net/netfilter
可追踪的连接状态,不同于http协议的有限状态机
NEW 新发出的请求 连接追踪模板不存此链接相关的信息条目,因此 将其识别为第一次发出的请求
ESTABLISHED NEW 状态之后,连接追踪模块为其建立的条目失效之前期间所进行的通信的状态
RELATED 相关的连接 如ftp协议命令连接与数据连接的之间的关系
INVALIED 无法识别的连接
需要指定特定的模块,即state的模块
如何开放ftp的 防火墙
如果有必要需手动安装nf_conntack_ftp.io
1 装载专用模块
insmod nf_conntrack_ftp.so
2 放行请求报文
命令连接 NEW,ESTABLISHED
数据连接 RELATED,ESTABLISHED
iptables -A INPUT -d 172.18.23.60 -p tcp --dport 21 -m state --state NEW,ESTABLISHED - j ACCEPT
iptables -A INPUT -d 172.18.23.60 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
3 放行响应报文
iptables -A OUTPUT -s 172.18.23.60 -p tcp -m state --state ESTABLISHED -j ACCEPT
8 log的扩展:记录日志,方便后期做检测
-j LOG --log-levle level --log-prefix "connect:"
iptables -I INPUT -s 172.18.0.0/16 -p tcp -m multimport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "
- NAT
nat 安全性 完成隐藏本地主机的目的 network address translation 网络层或传输层实现
proxy 代理 应用层
redirect #实现端口转发
nat
SNAT 只修改请求报文的源地址 在POSTROUTING 位置实现
DNAT 只修改请求报文的目标地址 在PREROUTING 位置实现
pnat 端口映射,防止nat的服务,端口冲突,发出去的报文无法回来,地址冲突
redirect 端口转发
iptables -t nat -A PREROUTING -d ip -p tcp -m multiport --dports port1,port2 -j REDIRECT --to-ports 80
网关设置 nat 转换
iptables -t nat -A POSTROUTING -s 192.168.150.0/24 -d ! 192.168.150.0/24 -p tcp --dport 80 -j SNAT --to-source 172.18.23.60(有服务的外网主机)
iptables -t nat -APREROUTING -d 172.18.23.60 -p tcp --dport 80 -j DNAT --to-destionation ip(有服务的内网主机)
ssh
iptables -t nat -A PREROUTING -d 172.18.23.60 -p tcp --dport 22 -j DNAT --to-destination ip(有ssh服务器的主机)
端口映射
iptables -t nat -A PREROUTING -d 172.18.23.60 -p tcp --dport 80 -j DNAT --to-destination ip:8080
iptables -t nat -A PREROUTING -d 172.18.23.60 -p tcp --dport 22 -j DNAT --to-destination ip:222
adsl 拨号 ip 地址会经常改变
iptables -t NAT POSTROUTING -s 192.168.150.0/24 -d ! 192.168.150.0/24 -j MASQUERADE 地址伪装