记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

iptables/netfilter全攻略详解学习笔记

2013-04-06 16:15
一、防火墙

-------------------------------------------------------------------

1.1 防火墙的简介

 

       防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。

 

       防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。

       

       防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行,另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。

 

       通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问;集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;记录网络的使用状态,为安全规划和网络维护提供依据。(图1)     我的浅显理解:防火墙==》过滤器

1.2 防火墙的分类

根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙

 

1.3防火墙的工作原理

-------------------------------------------------------------------

1.3.1 包过滤型防火墙工作原理(图2)

1.3.2 代理服务型防火墙工作原理

代理服务型防火墙是在应用层上实现防火墙功能的。它能提供部分与传输有关的状态,能完全提供与应用相关的状态和部分传输的信息,它还能处理和管理信息。

扩展阅读:《Linux防火墙》

二、Iptables

-------------------------------------------------------------------

2.1 iptables简介

 

netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

 

2.2 iptables基础

匹配(match):符合指定的条件,比如指定的 IP 地址和端口。

丢弃(drop):当一个包到达时,简单地丢,不做其它任何处理。

接受(accept):和丢弃相反,接受这个包,让这个包通过。

拒绝(reject):和丢弃相似,但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定,也可以自动产生。

目标(target):指定的动作,说明如何处理一个包,比如:丢弃,接受,或拒绝。

跳转(jump):和目标类似,不过它指定的不是一个具体的动作,而是另一个链,表示要跳转到那个链上。

规则(rule):一个或多个匹配及其对应的目标。

链(chain):每条链都包含有一系列的规则,这些规则会被依次应用到每个遍历该链的数据包上。每个链都有各自专门的用途, 这一点我们下面会详细讨论。

策略(police):我们在这里提到的策略是指,对于 iptables 中某条链,当所有规则都匹配不成功时其默认的处理动作。

连接跟踪(connection track):又称为动态过滤,可以根据指定连接的状态进行一些适当的过滤,是一个很强大的功能,但同时也比较消耗内存资源。

 

表(table):每个表包含有若干个不同的链,比如 filter 表默认包含有 INPUT,FORWARD,OUTPUT 三个链。

iptables内置了4个表,即filter表、nat表、mangle表和raw表,分别用于实现包过滤,网络地址转换、包重构(修改)和数据跟踪处理。

Iptables表、链、规则(图3)

2.3 iptables传输数据包的过程

 

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。

② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。

③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。(图4)

2.4 iptables命令格式

 

iptables的命令格式较为复杂,一般的格式如下:

iptables [-t table] 命令 [chain] [rules] [-j target]

table——指定表明

命令——对链的操作命令

chain——链名

rules——规则

target——动作如何进行

 

2.4.1 表选项

表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。

 

2.4.2 命令选项iptables命令格式

命令                     说明

-P或–policy  <链名>     定义默认策略

-L或–list  <链名>     查看iptables规则列表

-A或—append  <链名>     在规则列表的最后增加1条规则

-I或–insert  <链名>     在指定的位置插入1条规则

-D或–delete  <链名>     从规则列表中删除1条规则

-R或–replace  <链名>     替换规则列表中的某条规则

-F或–flush  <链名>     删除表中所有规则

-Z或–zero  <链名>     将表中数据包计数器和流量计数器归零

 

2.4.3 匹配选项

匹配                                     说明

-i或–in-interface  <网络接口名>     指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等

-o或–out-interface  <网络接口名>     指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等

-p或—proto协议类型  < 协议类型>     指定数据包匹配的协议,如TCP、UDP和ICMP等

-s或–source  <源地址或子网>             指定数据包匹配的源地址

–sport <源端口号>                     指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

-d或–destination  <目标地址或子网>     指定数据包匹配的目标地址

–dport目标端口号                     指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

 

2.4.4 动作选项

动作        说明

ACCEPT        接受数据包

DROP        丢弃数据包

REDIRECT   与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。

SNAT        源地址转换,即改变数据包的源地址

DNAT        目标地址转换,即改变数据包的目的地址

MASQUERADE IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNAT

LOG        日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错

 

iptables命令格式(图5)

iptables过滤条件(图6)

2.5 iptables的语法

-------------------------------------------------------------------

2.5.1 定义默认策略

当数据包不符合链中任一条规则时,iptables将根据该链预先定义的默认策略来处理数据包,默认策略的定义格式如下。

iptables  [-t表名] <-P> <链名> <动作> ?参数说明如下。

[-t表名]:指默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。

<-P>:定义默认策略。

<链名>:指默认策略将应用于哪个链,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。

<动作>:处理数据包的动作,可以使用ACCEPT(接受数据包)和DROP(丢弃数据包)。

 

2.5.2 查看iptables规则

查看iptables规则的命令格式为:

iptables  [-t表名] <-L> [链名]

参数说明如下。

[-t表名]:指查看哪个表的规则列表,表名用可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认查看filter表的规则列表。

<-L>:查看指定表和指定链的规则列表。

[链名]:指查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING,如果不指明哪个链,则将查看某个表中所有链的规则列表。

 

2.5.3 增加、插入、删除和替换规则

相关规则定义的格式为:

iptables  [-t表名]  <-A | I | D | R> 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] <-j动作>

参数说明如下。

[-t表名]:定义默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。

-A:新增加一条规则,该规则将会增加到规则列表的最后一行,该参数不能使用规则编号。

-I:插入一条规则,原本该位置上的规则将会往后顺序移动,如果没有指定规则编号,则在第一条规则前插入。

-D:从规则列表中删除一条规则,可以输入完整规则,或直接指定规则编号加以删除。

-R:替换某条规则,规则被替换并不会改变顺序,必须要指定替换的规则编号。

<链名>:指定查看指定表中哪个链的规则列表,可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。

[规则编号]:规则编号用于插入、删除和替换规则时用,编号是按照规则列表的顺序排列,规则列表中第一条规则的编号为1。

[-i | o 网卡名称]:i是指定数据包从哪块网卡进入,o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。

[-p 协议类型]:可以指定规则应用的协议,包含TCP、UDP和ICMP等。

[-s 源IP地址 | 源子网]:源主机的IP地址或子网地址。

[--sport 源端口号]:数据包的IP的源端口号。

[-d目标IP地址 | 目标子网]:目标主机的IP地址或子网地址。

[--dport目标端口号]:数据包的IP的目标端口号。

<-j动作>:处理数据包的动作,各个动作的详细说明可以参考前面的说明。

 

2.5.4 清除规则和计数器

在新建规则时,往往需要清除原有的、旧的规则,以免它们影 ?响新设定的规则。如果规则比较多,一条条删除就会十分麻烦, ?这时可以使用iptables提供的清除规则参数达到快速删除所有的规 ?则的目的。

定义参数的格式为:

iptables  [-t表名] <-F | Z>

参数说明如下。

[-t表名]:指定默认策略将应用于哪个表,可以使用filter、nat和mangle,如果没有指定使用哪个表,iptables就默认使用filter表。

-F:删除指定表中所有规则。

-Z:将指定表中的数据包计数器和流量计数器归零。

 

1)NAT的定义

NAT英文全称是Network Address Translation,称是网络地址转换,它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP地址的使用。

 

2)NAT的类型

 

静态NAT(Static NAT)

静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

 

动态地址NAT(Pooled NAT)

动态地址NAT是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。

动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。

 

网络地址端口转换NAPT(Port-Level NAT)

NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上。

最熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

 

2.6 iptables实例

 

1)禁止客户机访问不健康网站

【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站。

iptables -I FORWARD -d www.sexy.com -j DROP

【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。

iptables -I FORWARD -d 20.20.20.20 -j DROP

 

2)禁止某些客户机上网

【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。

iptables -I FORWARD -s 192.168.1.X -j DROP

【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。

iptables -I FORWARD -s 192.168.1.0/24 -j DROP

 

3)禁止客户机访问某些服务

【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载

iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP

【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机。

iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 23 -j DROP

 

4)强制访问指定的站点

【例】强制所有的客户机访问192.168.1.x这台Web服务器。

iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.x:80

 

5)禁止使用ICMP协议

【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。

iptables -I INPUT -i ppp0 -p icmp -j DROP

 

6)发布内部网络服务器

【例1】发布内网10.0.0.3主机的Web服务,Internet用户通过访问防火墙的IP地址即可访问该主机的Web服务。

iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT –to-destination 10.0.0.3:80

【例2】发布内网10.0.0.3主机的终端服务(使用的是TCP协议的3389端口),Internet用户通过访问防火墙的IP地址访问该机的终端服务。

iptables -t nat -I PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 10.0.0.3:3389

 

7)案例详解

【案例1】做为客户端/终端的基本配置 ?DNS PING LO

【案例2】做为服务端的基本配置:SSH  DNS WWW FTP EMAIL (图7)

【案例3】做为网关的基本配置:SSH  DNS WWW FTP EMAIL NAT )SNAT DNAT)限速 (图8)

【案例4】状态检测(图9)

---------------------------

知识来源: www.2cto.com/Article/201304/200575.html

阅读:99081 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“iptables/netfilter全攻略详解学习笔记”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云