第8季 Iptables服务全攻略之实战配置.doc

第8季 Iptables服务全攻略之实战配置 前几天有些网友在群中提到搞不清SELINUX和iptalbes,那么本文就先来讲讲iptables的一些简单概念和命令语法哈其实在以 前的文章中多多少少已经涉及到相关的应用，本文就专门来谈谈iptalbes的一些具体应用，写得不好请多多包涵哈相关服务有高级的配置也发给我研究研 究哈Iptables原理现在防火墙主要分以下三种类型：包过滤、应用代理、状态检测包过滤防火墙：现在静态包过滤防火墙市面上已经看不到了，取而代之的是动态包过滤技术的防火墙哈代理防火墙：因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护，比如大家知道的SYN攻击、ICMP洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈其使用了一种应用协议分析的新技术。状态检测防火墙：其基于动态包过滤技术发展而来，加入了一种状态检测的模块，进一点发展了会话过滤功能，会话状态的保留是有时间限制的，此防火墙还可以对包的内容进行分析，从而避免开放过多的端口。netfilter/iptables IP数据包过滤系统实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分，其作用是定义、保存相应的规 则，而iptables是一种工具，用来修改信息的过滤规则及其他配置，我们可以通过iptables来设置一些适合我们企业需求环境的规则哈，而这些 规则会保存在内核空间之中。netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。实际上netfilter是表的容器，表是链的容器，而链又是规则的容器。filter表nat表mangle表iptables内置链PREROUTING:数据包进入路由表之前INPUT:通过路由表后目的地为本机FORWARDING:通过路由表后，目的地不为本机OUTPUT:由本机产生，向外转发POSTROUTIONG:发送到网卡接口之前netfilter五条链相互关系，即iptables数据包转发流程图Iptables工作流程图iptables拥有三个表和五条链组成NAT工作原理Iptables详细参数表Iptables基本语法iptables -t 表名 -命令 -匹配 -j 动作/目标iptables内置了filter、nat和mangle三张表，我们可以使用-t参数来设置对哪张表生效哈也可以省略-t参数，则默认对filter表进行操作。具体命令参数可以通过man iptables查询哈配置SNAT命令基本语法iptables -t nat -A POSTROUTING -o 网络接口 -j SNAT -to-source IP地址配置DNAT命令基本语法iptables -t nat -A PREROUTING -i 网络接口 -p 协议 -dport 端口 -j DNAT -to-destination IP地址企业环境及需求1、企业环境230台客户机，IP地址范围为54，子网掩码为Mail服务器：IP地址为 子网掩码为FTP服务器：IP地址为 子网掩码为WEB服务器：IP地址为 子网掩码为公司网络拓扑图如下：2、配置默认策略所有内网计算机需要经常访问互联网，并且员工会使用即时通信工具与客户进行沟通，企业网络DMZ隔离区搭建有Mail、FTP和Web服务器， 其中Mail和FTP服务器对内部员工开放，仅需要对外发布Web站点，并且管理员会通过外网进行远程管理，为了保证整个网络的安全性，需要添加 iptables防火墙并配置相应的策略需求分析企业的内部网络为了保证安全性，需要首先删除所有规则设置，并将默认规则设置为DROP，然后开启防火墙对于客户端的访问限制，打开WEB、MSN、QQ及MAIL的相应端口，并允许外部客户端登录WEB服务器的80、22端口。解决方案1、配置默认策略默认iptables已经被安装好了（1）删除策略iptables -F：清空所选链中的规则，如果没有指定链则清空指定表中所有链的规则iptables -X：清除预设表filter中使用者自定链中的规则iptables -Z：清除预设表filter中使用者自定链中的规则（2）设置默认策略设置默认策略为关闭filter表的INPPUT及FORWARD链开启OUTPUT链，nat表的三个链PREROUTING、 OUTPUT、POSTROUTING全部开启哈默认全部链都是开启的，所以有些命令可以不操作，另外mangle表本文没用到，所以不做处 理，mangle主要用在数据包的特殊变更处理上，比如修改TOS等特性。 2、设置回环地址有些服务的测试需要使用回环地址，为了保证各个服务的正常工作，需要允许回环地址的通信，RHCE课程-RH253Linux服务器架设笔记二-NFS服务器配置己有涉及,如果不设置回环地址，有些服务不能启动哈。iptables -A INPUT -i lo -j ACCEPT 3、连接状态设置为了简化防火墙的配置操作，并提高检查的效率，需要添加连接状态设置iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT连接跟踪存在四种数据包状态NEW:想要新建连接的数据包INVALID:无效的数据包，例如损坏或者不完整的数据包ESTABLISHED:已经建立连接的数据包RELATED:与已经发送的数据包有关的数据包4、设置80端口转发公司网站需要对外开放，所以我们需要开放80端口iptables -A FORWARD -p tcp -dport 80 -j ACCEPT5、DNS相关设置为了客户端能够正常使用域名访问互联网，我们还需要允许内网计算机与外部DNS服务器的数据转发。开启DNS使用UDP、TCP的53端口iptables -A FORWARD -p tcp -dport 53 -j ACCEPTiptables -A FORWARD -p udp -dport 53 -j ACCEPT 6、允许访问服务器的SSH管理员会通过外网进行远程管理，所以我们要开启SSH使用的TCP协议22端口iptables -A INPUT -p tcp -dport 22 -j ACCEPT 7、允许内网主机登录MSN和QQ相关设置QQ能够使用TCP80、8000、443及UDP8000、4000登录，而MSN通过TCP1863、443验证。因此只需要允许这些端口的FORWARD转发即可以正常登录。iptables -A FORWARD -p tcp -dport 1863 -j ACCEPTiptables -A FORWARD -p tcp -dport 443 -j ACCEPTiptables -A FORWARD -p tcp -dport 8000 -j ACCEPTiptables -A FORWARD -p udp -dport 8000 -j ACCEPTiptables -A FORWARD -p udp -dport 4000 -j ACCEPT注意：当然，如果公司要限制这样即时通信工具的使用，只要禁止这些端口的转发就 可以了哈特别注意，马化腾这家伙忒坏嘿嘿，端口不固定，QQVIP会员专用通道什么的，代理登录等等哈，所以我们如果需要封杀就要收集全登录端口 及QQ服务器地址，根据本人总结，最好在企业实际配置中技术与行政管理相结合，这样达到的效果最好0(_)08、允许内网主机收发邮件客户端发送邮件时访问邮件服务器的TCP25端口。接收邮件时访问，可能使用的端口则较多，UDP协议以及TCP协议的端口：110、143、993及995smtp: rootrhel5 # iptables -A FORWARD -p tcp -dport 25 -j ACCEPTpop3: rootrhel5 # iptables -A FORWARD -p tcp -dport 110 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 110 -j ACCEPTimap: rootrhel5 # iptables -A FORWARD -p tcp -dport 143 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 143 -j ACCEPTimaps: rootrhel5 # iptables -A FORWARD -p tcp -dport 993 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 993 -j ACCEPTpop3s: rootrhel5 # iptables -A FORWARD -p tcp -dport 995 -j ACCEPT rootrhel5 # iptables -A FORWARD -p udp -dport 995 -j ACCEPT9、NAT端口映射设置由于局域网的地址为私网地址，在公网上不合法哈所以必须将私网地址转为服务器的外部地址进行地址映射哈连接外网接口为ppp0 iptables -t nat -A POSTROUTING -o ppp0 -s /24 -j MASQUERADEMASQUERADE和SNAT作用一样哈相样是提供源地址转换的操作，但是 MASQUERADE是针对外部接口为动态IP地址来设置滴，不需要使用-to-source指定转换的IP地址。如果网络采用的是拨号方式接入互联 网，而没有对外的静态IP地址（主要用在动态获取IP地址的连接，比如ADSL拨号、DHCP连接等等），那么建议使用MASQUERADE哈注意：MASQUERADE是特殊的过滤规则，其只可以映射从一个接口到另一个接口的数据哈10、内网机器对外发布WEB网站内网WEB服务器IP地址为，我们需要进行如下配置哈，当公网客户端访问服务器时，防火墙将请求映射到内网的的80端口iptables -t nat -A PREROUTING -i ppp0 -p tcp -dport 80 -j DNAT -to-destination :8011、保存与恢复iptables配置保存：iptables-saveiptables-save -c -t 表名-c：保存包和字节计数器的值。可以使在重启防火墙后不丢失对包和字节的统计-t：用来保存哪张表的规则，如果不跟-t参数则保存所有的表可以使用重定向命令来保存这些规则集iptables-save /etc/iptables-save恢复：iptables-restoreiptables-restore -c -n-c：如果加上-c参数则表示要求装入包和字节计数器-n：表示不覆盖己有的表或表内的规则，默认情况下是清除所有己存在的规则使用重定向来恢复由iptables-save保存的规则集iptables-restore /etc/iptables-save如果要在服务或系统重启后依然生效service iptables save12、最终iptables配置如下rootrhel5 # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all - anywhere anywhere ACCEPT all - anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp - anywhere anywhere tcp dpt:ssh Chain FORWARD (policy DROP) target prot opt source destination ACCEPT tcp - anywhere anywhere tcp dpt:http ACCEPT tcp - anywhere anywhere tcp dpt:domain ACCEPT udp - anywhere anywhere udp dpt:domain ACCEPT tcp - anywhere anywhere tcp dpt:msnp ACCEPT tcp - anywhere anywhere tcp dpt:https ACCEPT tcp - anywhere anywhere tcp dpt:irdmi ACCEPT udp - anywhere anywhere udp dpt:irdmi ACCEPT udp - anywhere anywhere udp dpt:terabase ACCEPT tcp - anywhere anywhere tcp dpt:smtp ACCEPT tcp - anywhere anywhere tcp dpt:pop3 ACCEPT udp - anywhere anywhere udp dpt:pop3 ACCEPT tcp - anywhere anywhere tcp dpt:imap ACCEPT udp - anywhere anywhere udp dpt:imap ACCEPT tcp - anywhere anywhere tcp dpt:imaps ACCEPT udp - anywhere anywhere udp dpt:imaps ACCEPT tcp - anywhere anywhere tcp dpt:pop3s ACCEPT udp - anywhere anywhere udp dpt:pop3s Chain OUTPUT (policy ACCEPT) target prot opt source destination rootrhel5 # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp - anywhere anywhere tc