Iptables防火墙服务配置.ppt

,RedHatLinux服务器操作系统,教学目的：掌握Linux路由器的配置掌握Linux防火墙的配置理解Linux防火墙的应用,重点：Linux下路由及防火墙配置难点：如何使用iptables工具配置防火墙规则。关键词：路由防火墙,路由器的原理与作用,1.路由器的定义：路由器是架构在不同的网络之间，用于实现数据传输的路径选择的一种设备。,2.路由器的作用（1）协议转换（2）路由选择（3）流量控制（4）数据的分段和组装（5）网络管理,路由器的原理与作用,3.路由类型：主机路由网络路由默认路由,路由器的原理与作用,4.路由器的工作原理（1）路由表(静态、动态）。（2）源主机与目的主机在同一网络直接发送。（3）源主机与目的主机不在同一网络时，源主机把数据包发送给本网络的某一台路由器，路由器根据路由表进行数据转发。,路由器的原理与作用,静态路由及其实现,1.静态路由的配置实例：使用一台Linux主机作为路由器，配备3块网卡分割3个C类子网，来完成3个子网间的静态路由选择。(1)配置网卡接口的ip信息#ifdowneth0;ifdowneth1;ifdowneth2#ifconfigeth0192.168.1.1up#ifconfigeth1192.168.10.1up#ifconfigeth2192.168.20.1up,(2)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local添加以下内容echo“1”/proc/sys/net/ipv4/ip_forward,(3)配置静态路由表#routeadd-net192.168.1.0/24deveth0#routeadd-net192.168.10.0/24deveth1#routeadd-net192.168.20.0/24deveth2,（4）测试静态路由在子网C中的一台LINUX客户机上配置网络接口与网关#ifconfig192.168.100.10up#routeadddefaultgw192.168.100.1在子网B中配置网络接口及网关192.168.10.88192.168.10.1在子网C中进行测试#Ping192.168.10.88#traceroute192.168.10.88,注：查看Linux路由表#routeDestination：目标网段或主机Gateway：网关地址，如果没有设置，则使用*号表示Genmask：网络掩码Flags：标记U：路由是活动H：目标是一个主机G：使用网关Metric：路由距离Ref：路由项引用次数Use：查找路由项的次数Iface：该路由表对应的输出接口,(1)启用Linux系统的路由转发功能#vi/etc/rc.d/rc.local添加以下内容echo“1”/proc/sys/net/ipv4/ip_forward,动态路由及其实现,(2)启用动态路由协议zebra简介zebra是基于Linux系统的Cisco路由仿真软件，该软件支持IPv4、IPv6协议和其他多种路由协议。zebra的特性：模块化设计、运行速度快、具有高可靠性；为什么使用zebra：1、替代昂贵的硬件路由器2、配置与CISCO的IOS配置相同；,zebra的安装#rpmivhzebrai386.rpm相关文件：vtysh/配置工具zebra.conf/zebra的主配置文件/etc/zebra/存放zebra配置文件目录,创建动态路由的配置文件#touch/etc/zebra/文件名.conf注：RIP协议(路由信息协议)的配置文件名是ripd.confOSPF协议（开放式最短路径优先）的配置文件名是ospf.confBGP协议（边界网关路由协议）的配置文件名是bgp.conf,启动服务#servicezebrastart#serviceripdstart,配置动态协议#vtyshrh9以下为Cisco路由器命令,1.防火墙定义防火墙是指隔离在本地网络和外界网络之间的一道防御系统。其基本实现方式有以下三种：包过滤应用代理状态检测,防火墙基础,防火墙基础,2.防火墙分类包过滤防火墙（网络层）：查看所流经的数据包的包头（header），由此决定整个数据包的命运（丢弃/接受/其他相关操作）。优点是对用户透明，处理速度快且易于维护。缺点是一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击，数据包的源、目的IP地址和端口号都在数据包头部，很容易被伪造，构成“IP地址欺骗”。代理服务型防火墙（应用层）：应用网关，区分内外网。,包过滤防火墙工作原理,防火墙基础,3.Linux系统中常用的包过滤软件ipfwadm(应用于2.0内核)ipchains(应用于2.2内核)iptables(应用于2.4内核),防火墙基础,Iptables基础,filter/iptables的含义Netfilter：也称内核空间，是用来实现防火墙的过滤器。Iptables：也称用户空间，是用来指定Netfilter规则的用户工具。,Iptables基础,filter/iptables的功能包过滤NAT连接跟踪QOS(网络服务质量，是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定),filter的体系,Iptables基础,Iptables基础,filter的体系,各部分说明：表（table）1、Filter表：主要用于过滤数据包，是iptables默认的表。该表包含了INPUT链（处理进入的数据包）、FORWARD链（处理转发的数据包）和OUTPUT链（处理本地生成的数据包），在filter表中只允许对数据包进行接受、丢弃，无法更改数据包。,Iptables基础,各部分说明：表（table）2、nat表：主要用于网络地址转换NAT，实现一对一、一对多、多对多等NAT工作。该表包含了PREROUING链（修改即将到来的数据包）、OUTPUT链（修改在路由之前本地生成的数据包）和POSTROUTING链（修改即将出去的数据包）。,Iptables基础,各部分说明：表（table）3、mangle表：主要用于对指定的包进行修改，如TTL和TOS等，实际使用中不常用。,Iptables基础,各部分说明：链（ipchain）定义：细分表的具体功能，每条链由若干条规则构成。是数据包传播的路径，当数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件，若满足，系统会根据该条规则所定义的方法处理该数据包，否则iptables将继续检查下一条规则。如果该数据包不符合链中任一条规则，iptables会用该链的默认策略来处理数据包。,Iptables基础,各部分说明：（3）规则（rule）定义：是一种包含条件的判断语句，用于确定如何处理数据包。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（ACCEPT）、拒绝（REJECT）和丢弃（DROP）等。配置防火墙的。要工作就是添加、修改和删除这些规则。,Iptables基础,Iptables传输数据包过程：,Iptables基础,Iptables传输数据包过程：,Iptables基础,Iptables传输数据包过程：,Iptables基础,Iptables传输数据包过程：1、当一个数据包进入网卡时，首先进入PREROUTING链，内核根据数据包的目的IP判断是否需要转发。2、如果数据包是进入本机的，数据包就会沿着图向下移动，到达INPUT链，然后进行内部处理，再经过OUTPUT链，最后到达POSTROUTING链输出。3、如果数据包是要转发出去的，就会沿着图向右移动，经过FORWARD链，最后到达POSTROUTING链输出。,Iptables基础,利用iptables配置规则,1.安装iptables#rpmivhiptables-1.2.7a-3.i386.rpm相关文件：/etc/rc.d/init.d/iptables/启动脚本/usr/sbin/iptables/配置工具/usr/sbin/iptables-save/保存规则到/etc/sysconfig/iptables文件中/usr/sbin/iptables-restore/恢复/etc/sysconfig/iptables文件中的规则,2.iptables的语法格式：iptables-t表名命令链规则号条件规则说明：（1）-t表名指定规则所在的表：FILTER(默认)：包过滤NAT：地址转换MANGLE：QOS,利用iptables配置规则,（2）命令（iptables的子命令）-A-append在指定链的最后追加规则-D-delete在指定链中删除指定规则-R修改指定链中指定规则-I-insert在指定规则前插入规则-L-list显示链中的规则-N-new建立用户自定义链-F-flush清空链中的规则-X删除用户自定义链-P-policy为链设置默认规则-C检查给定的包是否与指定链的规则相匹配-h-help显示帮助信息,（3）链PREROUTING:数据包进入本机，进入路由器之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后，目的地不为本机OUTPUT:由本机产生，向外转发POSTROUTIONG:通过路由表后，发送到网卡接口之前,注：FILTER：INPUT、OUTPUT、FORWARDNAT：OUTPUT、POSTROUTING、PREROUTINGMANGLE：PREROUTING、OUTPUT、INPUT、POSTROUTING、FORWARD,（4）规则匹配条件-p协议名/指定匹配的协议(tcp、udp、icmp、all)-sip地址/mask/指定匹配的源地址-sport!端口号：端口号/指定匹配的源端口或范围-dip地址/mask/指定匹配的目标地址-dport!端口号：端口号/指定匹配的目标端口或范围,（4）规则匹配条件-icmp-type类型号/类型名/指定icmp包的类型（8表request请求，0表示relay应答）-i接口名/指定接收数据包接口-o接口名/指定发送数据包接口-j规则/指定规则的处理方法,（5）规则的处理方法ACCEPT：接受匹配条件的数据包（应用于INPUT,OUTPUT,FORWARD）。DROP：丢弃匹配条件的数据包（应用于INPUT,OUTPUT,FORWARD）。REJECT：丢弃匹配条件的数据包，并返回确认信息给源主机。MASQUERADE：伪装数据包的源地址（应用于POSTROUTING且外网地址为动态分配地址，作用于NAT）。LOG：匹配条件的数据包的有关信息被记录入日志。,（5）规则REDIRECT：包重定向（作用于NAT表中PREROUTING,OUTPUT链,使用要加上-to-port端口号）SNAT：伪装数据包的源地址（用于NAT表中POSTROUTING链，使用要加上-to-sourceip地址）DNAT：伪装数据包的目标地址（应用于NAT表中PREROUTING链，使用要加上-to-destinationip地址）RETURN：直接跳出当前规则链,3.iptables使用实例（1）指定匹配协议#iptables-AINPUT-ptcp/匹配指定协议#iptables-AINPUT-p!tcp/匹配指定协议之外的所有的协议,（2）指定匹配地址#iptables-AINPUT-s192.168.6.3（主机）#iptables-AINPUT-s192.168.6.0/24（网络）指定匹配地址以外的#iptables-AFORWARD-s！192.168.6.3（主机）#iptables-AFORWARD-s！192.168.6.0/24（网络）,（3）指定网络接口匹配#iptables-AINPUT-ieth0#iptables-AFORWARD-oeth0,（4）指定端口匹配#iptables-AINPUT-ptcp-sport80#iptables-AINPUT-ptcp-sport22:80,（5）显示规则#iptables-L(默认filter表中的所有规则)#iptables-tnat-L(nat表中的所有规则),（6）清空规则#iptables-F,（7）设置默认规则#iptables-PINPUTDROP,（8）添加规则#iptablesAINPUTpicmp-icmp-type8s192.168.0.3jDROP/拒绝192.168.0.3主机向防火墙主机发送icmp请求#iptablesAINPUTpicmp-icmp-type8s192.168.0.0/24jDROP/拒绝192.168.0.0网段ping防火墙主机，但允许防火墙主机ping其他主机#iptablesAOUTPUTpicmp-icmp-type0d192.168.0.0/24jDROP/拒绝防火墙主机向192.168.0.0网段发送icmp应答，等同于上一条指令#iptablesAFORWARD-jDROP/拒绝转发数据包到,前提是必须被解析,#iptablestnatAPOSTROUTINGs192.168.0.0/24jSNAT-to-source211.162.11.1/NAT，伪装内网192.168.0.0网段的的主机地址为外网211.162.11.1地址，使内网通过NAT上网，前提是启用了路由转发。#iptablestnatAPREROUTINGptcp-dport80d211.162.11.1jDNAT-to-destination192.168.0.5:80/把internet上通过80端口访问211.168.11.1的请求伪装到内网192.168.0.5这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发。,4.保存iptables规则#serviceiptablessave或者#iptables-save/etc/sysconfig/iptables5.恢复iptables规则#iptables-save/proc/sys/net/ipv4/ip_forward3、配置iptables#rpmivhiptables-1.2.7a-3.i386.rpm#serviceiptablesstart,#iptablesF#iptablesX#iptablesZ#iptablestfilterF#iptablestnatF#iptablestmangleF/删除策略#iptablesPINPUTDROP#iptablesPFORWARDDROP#iptablesPOUTPUTACCEPT/设置默认策略#iptables-AINPUT-ilo-jACCEPT/设置回环地址,否则有些服务不能启动,#iptables-AINPUT-mstate-stateESTABLISHED,RELATED-jACCEPT/连接状态设置/*连接跟踪存在四种数据包状态NEW:想要新建连接的数据包INVALID:无效的数据包，例如损坏或者不完整的数据包ESTABLISHED:已经建立连接的数据包RELATED:与已经发送的数据包有关的数据包*/#iptables-AFORWARD-ptcp-dport80-jACCEPT#iptables-AFORWARD-ptcp-dport21-jACCEPT/公司网站需要对外开放，开放80端口#iptables-AFORWARD-ptcp-dport53-jACCEPT#iptables-AFORWARD-pudp-dport53-jACCEPT/允许内网计算机正常使用域名访问互联网,#iptables-AINPUT-ptcp-dport22-jACCEPT/通过外网进行远程管理，开启SSH的TCP协议22端口#iptables-AFORWARD-ptcp-dport1863-jACCEPT#iptables-AFORWARD-ptcp-dport443-jACCEPT#iptables-AFORWARD-ptcp-dport8000-jACCEPT#iptables-AFORWARD-pudp-dport8000-jACCEPT#iptables-AFORWARD-pudp-dport4000-jACCEPT/允许内网主机登录MSN和QQ#iptables-AFORWARD-p