iptables防火牆 、 filter表控制 、 擴充比對 、 nat表典型應用 、 總結和答疑

iptable防火牆

防火牆概述

什麼是防火牆？

一道保護性的安全屏障

-保護、隔離

Linux包過濾防火牆

RHEL7預設使用firewall作為防火牆

但firewalld底層還是調用包過濾防火牆iptables

iptables的表、鍊結構

iptables的組成 （4張表  5條鍊）

表： 是iptables服務的功能分類

iptables預設有4個表，nat表（位址轉換表）

filter表（資料過濾表）

raw表（狀态跟蹤表）

mangle表（包标記表）。

鍊： 比對ip資料庫包的傳輸方向

INPUT鍊（入站規則）

OUTPUT鍊（出站規則）

FORWARD鍊（轉發規則）

PREROUTING鍊（路由前規則）

POSTROUTING鍊（路由後規則）

包過濾比對流程

規則鍊内的比對順序

-順序比對，比對即停止（LOG除外）

-若無任何比對，則按該鍊的預設政策處理

iptables用法解析

iptables基本用法

管理程式位置

-/sbin/iptables

指令組成

-iptables [-t 表名] 選項 [鍊名] [條件] [-j 目标操作]

注意事項、整體規律

-可以不指定表，預設為filter表

-可以不指定鍊、預設為對應表的所有鍊

-如果沒有比對規則，則使用防火牆預設規則

-選項、鍊名、目标操作用大寫字母，其餘用小寫

基本的目标操作

ACCEPT:允許通過、放行

DROP：直接丢棄，不給出任何回應

REJECT：拒絕通過，必要時會給出提示

LOG：記錄日志，然後傳給下一條規則（比對即停止，規則中唯一的例外）

常用的管理選項

規則管理示例

添加新的規則

-A追加、-I插入

檢視規則清單

-L檢視

删除、清空規則

-D删除、-F清空

設定預設規則

所有鍊的初始預設規則均為ACCEPT

通過-P選項可重置預設規則

-ACCEPT或者DROP

案例

filter表控制

防護類型及條件

主機、網絡型防護

根據保護對象（本機、其他主機）區分

開啟核心的IP轉發

作為網關、路由的必要條件

基本的比對條件

通用比對

-可直接使用，不依賴于其他條件或擴充

-包括網絡協定、IP位址、網絡接口等條件

隐含比對

-要求以特定的協定比對作為前提

-包括端口、TCP标記、ICMP類型等條件

過濾規則示例

封禁IP位址、網段

主機防護，針對入站通路的原位址

網絡防護，針對轉發通路的原位址

保護特定網絡服務

限制對指定服務端口的通路

禁ping相關政策處理

允許本機ping其他主機

但是，禁止其他主機ping本機

案例

擴充比對

擴充條件的方法

前提條件

-有對應的防火牆子產品支援

基本用法

-m 擴充子產品 --擴充條件 條件值

常見的擴充條件類型

擴充案例

根據MAC地質封鎖主機

适用于交換網絡，針對源MAC位址

-不管其IP位址變成多少

多端口案例

一條規則開放多個端口

比如Web、FTP、Mail、SSH等等

根據IP範圍封鎖主機

SSH登入的IP範圍控制

-允許從192.168.4.10-192.168.4.20登入

-禁止從192.168.4.0/24 網段其他的主機登入

案例

nat表經典應用

NAT轉換原理

私有位址的局限性

從區域網路通路網際網路的時候

-比如看網頁、收郵件

-源位址為私有位址，伺服器如何正确給出回應？

SNAT源位址轉換

Source Network Address Translation

-修改資料包的源位址

-僅用于nat表的POSTROUTING鍊

不修改源位址的情況

修改源位址的情況

SNAT政策應用

案例環境

區域網路共享公網IP上網

前期準備

-區域網路PC機正确設定IP位址/子網路遮罩

-區域網路PC機正确設定預設網關

-Linux網關伺服器開啟IP路由轉發

-本實驗中，不要為WEB伺服器設定預設網關

配置SNAT共享上網

配置的關鍵政策

-選擇路由之後，針對來自區域網路，即将從外網接口發出去的包，将源IP位址修改為網關的公網IP位址

驗證SNAT通路結果

位址僞裝政策 

正在上傳…重新上傳取消

正在上傳…重新上傳取消

正在上傳…重新上傳取消

正在上傳…重新上傳取消

正在上傳…重新上傳取消

正在上傳…重新上傳取消