一.基礎知識
Linux系統核心内建了netfilter防火牆機制。Netfilter(資料包過濾機制),所謂的資料包過濾,就是分析進入主機的網絡資料包,将資料包的頭部資料提取出來進行分析,以決該連接配接為放行或阻擋的機制。Netfilter提供了iptables這個程式來作為防火牆資料包過濾的指令。Netfilter是基于系統核心建因而效率非常高。
我們可以通過iptables指令來設定netfilter的過濾機制,通常配置Iptables首先要了解“四表五鍊”:
(1) iptables裡有4張表:
Filter(過濾器),進入Linux本機的資料包有關,是預設的表。
NAT(位址轉換),與Linux本機無關,主要與Linux主機後的區域網路内計算機相關。
Mangle(修改封包),這個表格主要是與特殊的資料包的路由标志有關(通常不用涉及 到這個表的修改,對這個表的修改破壞性很大,慎改之)。
Raw(不修改封包) ,這個表與Mangle 反之,就是對進入本機的資料包恢複資料封包的默 認的标示。
(2)Iptables常用的五鍊即五個鈎子函數:
INPUT 到達本機内部的封包必經之路,處理入站資料包
FORWARD 由本機轉發的封包必經之路,處理轉發資料包
PREROUTING 路由前,進行路由選擇前處理資料包
POSTROUTING 路由後,進行路由選擇前處理資料包
(3) 每個表上可應用的鍊如下:
Filter:INPUT, OUTPUT, FORWARD
NAT:PREROUTING, POSTROUTING, OUTPUT
Mangle:PREROUTING, OUTPUT, INPUT, FORWARD,POSTROUTING
Raw : PREROUTING,OUTPUT
(4)Iptables中各鍊應用于多表的資料流向及比對優先級:
二、Iptables指令使用
(1)常用指令清單:
指令 -A, --append
範例 iptables -A INPUT ...
說明 新增規則到某個規則鍊中,該規則将會成為規則鍊中的最後一條規則。
指令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則鍊中删除一條規則,可以輸入完整規則,或直接指定規則編号加以删除。
指令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後并不會改變順序。
指令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,原本該位置上的規則将會往後移動一個順位。
指令 -L, --list
範例 iptables -L INPUT
說明 列出某規則鍊中的所有規則。
指令 -F, --flush
範例 iptables -F INPUT
說明 删除某規則鍊中的所有規則。
指令 -Z, --zero
範例 iptables -Z INPUT
說明 将封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
指令 -N, --new-chain
範例 iptables -N allowed
說明 定義新的規則鍊。
指令 -X, --delete-chain
範例 iptables -X allowed
說明 删除某個規則鍊。
指令 -P, --policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
指令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則鍊的名稱。
常用封包比對參數:
參數 -p, --protocol
範例 iptables -A INPUT -p tcp
說明 比對通訊協定類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含
udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。
參數 -s, --src, --source
範例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時
可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。
參數 -d, --dst, --destination
範例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
參數 -i, --in-interface
範例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網卡進入,可以使用通配字元 + 來做大範圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也
以使用 ! 運算子進行反向比對,例如:-i ! eth0。
參數 -o, --out-interface
範例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網卡送出,設定方式同上。
參數 --sport, --source-port
範例 iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠号,可以比對單一埠,或是一個範圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合
件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠号時,可以使用 ! 運算子進行反向比對。
參數 --dport, --destination-port
範例 iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的地埠号,設定方式同上。
參數 --tcp-flags
範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀态旗号,參數分為兩個部分,第一個部分列舉出想比對的旗号,第二部分則列舉前述旗号中哪些有被設
,未被列舉的旗号必須是空的。TCP 狀态旗号包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)
PSH(強迫推送) 等均可使用于參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗号時,可以使用 ! 運算子
行反向比對。
參數 --syn
範例 iptables -p tcp --syn
說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !
運算子,可用來比對非要求聯機封包。
參數 -m multiport --source-port
範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠号,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。
參數 -m multiport --destination-port
範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠号,設定方式同上。
參數 -m multiport --port
範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個參數比較特殊,用來比對來源埠号和目的埠号相同的封包,設定方式同上。注意:在本範例中,如果來源端口号為 80
目的地埠号為 110,這種封包并不算符合條件。
參數 --icmp-type
範例 iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的類型編号,可以使用代碼或數字編号來進行比對。請打 iptables -p icmp --help 來檢視有哪些代碼可
用。
參數 -m limit --limit
範例 iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間内封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。 除了每小時平均
次外,也可以每秒鐘、每分鐘或每天平均一次,預設值為每小時平均一次,參數如後: /second、 /minute、/day。 除了進行封
數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導緻服務被阻斷。
參數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是預設值),超過此上限的封
将被直接丢棄。使用效果同上。
參數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網絡接口的硬體位址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網
後,才能由網卡驅動程式透過 ARP 通訊協定查出目的地的 MAC 位址,是以 iptables 在進行封包比對時,并不知道封包會送到
個網絡接口去。
參數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個号碼,當封包被比對成功時,我們可以透過 MARK 處理動作,将該封包标示一個号碼,号碼最
不可以超過 4294967296。
參數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否為某特定使用者所産生的,這樣可以避免伺服器使用 root 或其它身分将敏感資料傳送出
,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
參數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否為某特定使用者群組所産生的,使用時機同上。
參數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否為某特定行程所産生的,使用時機同上。
參數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。
參數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀态,聯機狀态共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編号(Session ID)無法辨識或編号不正确。
ESTABLISHED 表示該封包屬于某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或将聯機重導向)。
RELATED 表示該封包是屬于某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
常用的處理動作:
-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、
SNAT、MIRROR、QUEUE、RETURN、MARK,分别說明如下:
ACCEPT 将封包放行,進行完此處理動作後,将不再比對其它規則,直接跳往下一個規則煉(natostrouting)。
REJECT 攔阻該封包,并傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是
tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,将不再比對其它規則,直接 中斷過濾程式。 範例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丢棄封包不予處理,進行完此處理動作後,将不再比對其它規則,直接中斷過濾程式。
REDIRECT 将封包重新導向到另一個端口(PNAT),進行完此處理動作後,将 會繼續比對其它規則。 這個功能可以用來實作通透式
porxy 或用來保護 web 伺服器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的範圍,進行完此處理動作後,直接跳往下一個規則
(mangleostrouting)。這個功能與 SNAT 略有不同,當進行 IP 僞裝時,不需指定要僞裝成哪個 IP,IP 會從網卡直接讀
,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 伺服器指派的,這個時候 MASQUERADE 特别有用。範例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 将封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組态檔,進行完此處理動作後,将會繼續比對其
規則。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,将直接跳往下一個規則
(mangleostrouting)。範例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,将會直接跳往下一個規
煉(filter:input 或 filter:forward)。範例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是将來源 IP 與目的地 IP 對調後,将封包送回,進行完此處理動作後,将會中斷過濾程式。
QUEUE 中斷過濾程式,将封包放入隊列,交給其它程式處理。透過自行開發的處理程式,可以進行其它應用,例如:計算聯機費
.......等。
RETURN 結束在目前規則煉中的過濾程式,傳回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程式,那麼這個動作,就相當
提早結束子程式并傳回到主程式中。
MARK 将封包标上某個代号,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,将會繼續比對其它規則。範例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
(2)iptables的規則
組成部分:封包的比對條件,比對到之後的處理動作
比對條件:
①基本比對
-s : 源ip位址
-d : 目标ip位址
-p {tcp,udp,icmp} : 要比對的協定,一般使用列出的3種
-i interface : 封包流入的接口
-o interface : 封包流出的接口
②擴充比對
額外檢查/usr/lib64/xtables/*.so ; 大寫的為target,小寫為比對條件
格式: -m match_name --spec_options
例如: -m tcp --dport 22
③顯示擴充:必須使用-m選項指定使用的擴充子產品(# rpm -ql iptables | egrep "[[:lower:]]+.so$")
1、multiport擴充 :以離散方式定義多端口的擴充,最多指定15個
[!] --sports port[,port|,port:port]...:指明多個離散的源端口;
[!] --dports port[,port|,port:port]...:指明多個離散的目标端口;
2、iprange擴充 :指定連續的ip位址範圍
[!] --src-range from[-to]:指明連續的源IP位址範圍;
[!] --dst-range from[-to]:指明連續的目标IP位址範圍;
3、string擴充 :檢查封包中出現的字元串
--algo {bm|kmp} ;指定2種算法之一
--string ‘###’: 指定要比對的字元串,使用單引号
4、time擴充: 根據封包到達的時間與指定的時間範圍進行比對
--datestart : 開始日期
--datestop : 結束日期
--timestart hh:mm[:ss] :開始時間
--timestop hh:mm[:ss] : 結束時間
--monthdays [1-31] :一個月中的某天;取值為1-31
--weekdays day[,day] :一周中的某天;取值為1-7
5、connlimit擴充: 單ip并發連接配接數的數量比對限制
--connlimit-above n : 連接配接數量大于n;一般要拒絕(預設處理政策為允許時候使用)
--connlimit-upto n :連接配接的資料小于等于n;一般要允許 (預設處理政策為拒絕時使用)
6、limit擴充 : 基于收發封包的速率做檢測的
基于令牌桶過濾器來作速率檢測的
--limit rate[/second | /minute | /hour | /day] :速率
--limit-burst n : 峰值
7、state擴充: 根據連接配接追蹤機制檢查連接配接的狀态;記錄連接配接是否曾經通路過,無關什麼協定;
--state STATE1, STATE2,... :指定下列4種狀态即可調整連接配接追蹤功能所能夠容納的最大連接配接數量;
/proc/sys/net/nf_conntrack_max //注:這個數值在不得不啟用連接配接追蹤的情況,一定要調大些
已經追蹤到并記錄下的連接配接
/proc/net/nf_conntrack (連接配接追蹤模闆)
注:#modprobe nf_conntrack ==>讓核心加載子產品才可以使用連接配接追蹤的功能
不同協定或連接配接類型追蹤的時長
/proc/sys/net/netfilter/
追蹤的連接配接狀态有4種
NEW : 新發出的請求,連接配接追蹤模闆中不存在此連接配接相關的資訊條目
ESTABLISHD :NEW狀态之後,連接配接追蹤模闆中為其建立的條目在其建立的條目失效之前的連接配接狀态
RELATED :有關聯的連接配接; 有ftp協定的指令連接配接和資料連接配接這類有關系的連接配接
INVALIED : 無法識别的連接配接
注: 這種狀态追蹤的防火牆機制,能夠防禦反彈式木馬(隻允許出去的封包狀态是ESTABLISHED或RELATED,不允許為NEW)可以在一定程度上增強安全性,需要打開連接配接追蹤的功能,而這種功能又在一定程度上會消耗資源并降低效率的;如果不得不使用的話,建議使用大的實體記憶體。
三、執行個體
(1)開放本機22端口
[root@test2~]# iptables -t filter -A INPUT -d 192.168.235.134 -p tcp --dport 22 -j ACCEPT
[root@test2~]#iptables -t filter -A OUTPUT -s 192.168.235.134 -p tcp --sport 22 -j ACCEPT
(2)限制22端口的通路;即同一ip位址最多連接配接為3個
[root@test2~]# iptables -I INPUT -d 192.168.235.134 -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT
(3)允許本機PING外部主機
[root@test ~]# iptables -A OUTPUT -s 192.168.235.149 -p icmp --icmp-type 8 -j ACCEPT
[root@test ~]# iptables -A INPUT -d 192.168.235.149 -p icmp --icmp-type 0 -j ACCEPT
(4)開放web 80
[root@test ~]# iptables -A INPUT -d 192.168.235.149 -p tcp --dport 80 -j ACCEPT
[root@test ~]# iptables -A OUTPUT -s 192.168.235.149 -p tcp --sport 80 -j ACCEPT
####利用iptables的recent子產品來抵禦DOS攻擊#####
ssh: 遠端連接配接,
iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROP
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
1.利用connlimit子產品将單IP的并發設定為3;會誤殺使用NAT上網的使用者,可以根據實際情況增大該值
2.利用recent和state子產品限制單IP在300s内隻能與本機建立3個新連接配接。被限制五分鐘後即可恢複訪
下面是對最後兩句做一個說明:
1.第二句是記錄通路tcp 22端口的新連接配接,記錄名稱為SSH
--set 記錄資料包的來源IP,如果IP已經存在将更新已經存在的條目
2.第三句是指SSH記錄中的IP,300s内發起超過3次連接配接則拒絕此IP的連接配接。
--update 是指每次建立連接配接都更新清單;
--seconds必須與--rcheck或者--update同時使用
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)