Linux防火墙 配置文件 iptables详解.pdf

对对于于 InternetInternet 上的系上的系统统 不管是什 不管是什么么情情况况都要明都要明确确一点 一点 网网络络是不安全的 因此 是不安全的 因此 虽虽然然 创创建一建一个个防火防火墙墙并并不能保不能保证证系系统统 100100 安全 但却是 安全 但却是绝对绝对必要的 必要的 LinuxLinux 提供了一提供了一个个非非 常常优优秀的秀的防火防火墙墙工具工具 netfilter netfilter iptablesiptables 它它完全免完全免费费 功能强大 使用 功能强大 使用灵灵活 活 可以可以对对流流 入和流出的信息入和流出的信息进进行行细细化控制 且化控制 且可以可以在一台低在一台低配置配置机器上机器上很很好地好地运运行 本文行 本文将简单将简单介介绍绍 使用使用 netfilter netfilter iptablesiptables 实实现现防火防火墙墙架架设设和和 InternetInternet 连连接共享等接共享等应应用 用 netfilter iptabels netfilter iptabels 应应用程序 被用程序 被认为认为是是 LinuxLinux 中中实实现现包包过滤过滤功能的第四代功能的第四代应应用程序 用程序 netfilter iptablesnetfilter iptables 包含在包含在 2 42 4 以后的以后的内内核中 核中 它它可以可以实实现现防火防火墙墙 NATNAT 网网络络地址地址翻翻 译译 和和数数据包的分割等功能 据包的分割等功能 netfilternetfilter 工作在工作在内内核核内内部 而部 而 iptablesiptables 则则是是让让用用户户定定义义规则规则集的集的 表表结结构构 netfilter iptables netfilter iptables 从从 ipchainsipchains 和和 ipwadfmipwadfm IPIP 防火防火墙墙管理 演化而管理 演化而来来 功能更 功能更 加强大 下文加强大 下文将将 netfilter iptabelsnetfilter iptabels 统统一一称为称为 iptablesiptables 可可 以用以用 iptablesiptables 为为 UnixUnix LinuxLinux 和和 BSDBSD 个个人工作站人工作站创创建一建一个个防火防火墙墙 也可以 也可以为为一一个个子子 网网创创建防火建防火墙墙以保以保护护其其它它的系的系统统平台 平台 iptalesiptales 只只读读取取 数数据包据包头头 不 不会会给给信息流增加信息流增加负负担担 也无需也无需进进行行验证验证 要想 要想获获得更好的安全性 可以得更好的安全性 可以将将其和一其和一个个代理服代理服务务器 比如器 比如 squidsquid 相 相 结结合 合 基本基本概概念念 典型的防火典型的防火墙设墙设置有置有两个网卡两个网卡 一 一个个流入 一流入 一个个流出 流出 iptablesiptables 读读取流入和流出取流入和流出数数据据包的包的 报报头头 将将它它们们与与规则规则集 集 RulesetRuleset 相比 相比较较 将将可接受的可接受的数数据包据包从从一一个网卡个网卡转转发发至至另另一一个个 网卡网卡 对对被拒被拒绝绝的的数数据包 可以据包 可以丢弃丢弃或按照所定或按照所定义义的方式的方式来来处处理 理 通通 过过向防火向防火墙墙提供有提供有关对来关对来自某自某个个源地址 到某源地址 到某个个目的地或具有特定目的地或具有特定协议协议类类型的信息包型的信息包 要做些什要做些什么么的指令 的指令 规则规则控制信息包的控制信息包的过滤过滤 通 通过过使用使用 iptablesiptables 系系统统提提 供的特殊命令供的特殊命令 iptablesiptables 建立建立这这些些规则规则 并并将将其添加到其添加到内内核空核空间间特定信息包特定信息包过滤过滤表表内内的的链链中 中 关关于添加 于添加 去除 去除 编辑规则编辑规则的命令 一般的命令 一般语语法如下 法如下 iptables iptables t table command match t table command match target target 1 1 表 表 tabletable t table t table 选项选项允允许许使用使用标标准表之外的任何表 表是包含准表之外的任何表 表是包含仅仅处处理特定理特定类类型信息包的型信息包的规则规则和和链链 的信息包的信息包过滤过滤表 有三表 有三个个可用的表可用的表选项选项 filterfilter natnat 和和 manglemangle 该选项该选项不是必需的 如不是必需的 如 果未指定 果未指定 则则 filterfilter 作作为为缺省表 各表缺省表 各表实实现现的功能如表的功能如表 1 1 所示 所示 表表 1 1 三三种种表表实实现现的功能的功能 2 2 命令 命令 commandcommand commandcommand 部分是部分是 iptablesiptables 命令最重要的部分 命令最重要的部分 它它告告诉诉 iptablesiptables 命令要做什命令要做什么么 例如 例如插插入入 规则规则 将规则将规则添加到添加到链链的末尾或的末尾或删删除除规则规则 表 表 2 2 是最常用的一些命令及例子 是最常用的一些命令及例子 表表 2 2 命令的功能和命令的功能和样样例例 3 3 匹配 匹配 matchmatch iptablesiptables 命令的可命令的可选选 matchmatch 部分指定信息包部分指定信息包与与规则规则匹配所匹配所应应具有的特征 如源地址 目的具有的特征 如源地址 目的 地址 地址 协议协议等 匹配分等 匹配分为为通用匹配和特定于通用匹配和特定于协议协议的匹配的匹配两两大大类类 这这里里将将介介绍绍可用于采用可用于采用 任何任何协议协议的信息包的通用匹配 表的信息包的通用匹配 表 3 3 是一些重要且常用的通用匹配及示例是一些重要且常用的通用匹配及示例说说明 明 表表 3 3 通用匹配及示例通用匹配及示例说说明明 4 4 目 目标标 targettarget 目目标标是由是由规则规则指定的操作 指定的操作 对对与与那些那些规则规则匹配的信息包匹配的信息包执执行行这这些操作 除了允些操作 除了允许许用用户户定定义义 的目的目标标之外 之外 还还有有许许多可用的目多可用的目标选项标选项 表 表 4 4 是常用的一些目是常用的一些目标标及示例及示例说说明 明 除表除表 4 4 外 外 还还有有许许多用于建立高多用于建立高级规则级规则的其的其它它目目标标 如 如 LOGLOG REDIRECTREDIRECT MARKMARK MIRRORMIRROR 和和 MASQUERADEMASQUERADE 等 等 表表 4 4 目目标标及示例及示例说说明明 应应用用 iptablesiptables 与与 ipchainsipchains 和和 ipfwadmipfwadm 不同的是 不同的是 iptablesiptables 可以配置有可以配置有状态状态的防火的防火墙墙 iptablesiptables 可以可以检检 测测到源地址和目的地址 源端口和目的端口及到源地址和目的地址 源端口和目的端口及 流入流入数数据包的据包的顺顺序 序 即即 iptablesiptables 记记住了在住了在 现现有有连连接中 接中 哪哪些些数数据包已据包已经经被允被允许许接收 接收 这这使得使得暂时暂时性的端口只有在需要性的端口只有在需要时时才才会会被打被打开开 并并且且会会拒拒绝绝所有永久性所有永久性 占用端口的占用端口的请请求 大大地加强了安全性 同求 大大地加强了安全性 同时时 那些被更改了 那些被更改了报报 头头的的数数据包 据包 即即使包含有一使包含有一个个被允被允许许的目的地址和端口 也的目的地址和端口 也会会被被检测检测到到并并被被丢弃丢弃 此外 此外 有有状态状态的防的防 火火墙墙能能够够指定指定并并记记住住为为发发送或接收信息包所建立送或接收信息包所建立连连接的接的状态状态 防火 防火墙墙可以可以从从 信息包的信息包的连连接接跟跟踪踪状态获状态获得得该该信息 在信息 在决决定新的信息包定新的信息包过滤时过滤时 防火 防火墙墙所使用的所使用的这这些些状态状态 信息可以增加其效率和速度 信息可以增加其效率和速度 1 1 启动启动和停止和停止 iptablesiptables 下面下面将将正式使用正式使用 iptablesiptables 来创来创建防火建防火墙墙 启动启动和停止和停止 iptablesiptables 的方法取的方法取决决于所使用的于所使用的 LinuxLinux 发发行版 可以先行版 可以先查查看所使用看所使用 LinuxLinux 版本的文版本的文档档 一般情一般情况况下 下 iptablesiptables 已已经经包含在包含在 LinuxLinux 发发行版中 行版中 运运行行 iptables iptables versionversion 来来查查看系看系统统 是否安是否安装装了了 iptablesiptables 在 在 Red Hat 9 0Red Hat 9 0 中 安中 安装装的版本是的版本是 iptables v1 2 7aiptables v1 2 7a 如果系 如果系统统没没有有 安安装装 iptablesiptables 则则可以可以从从 filter orgfilter org 下下载载 2 2 查查看看规则规则集集 上面上面仅对仅对 iptablesiptables 的用法做了一的用法做了一个个简单简单介介绍绍 使用中可以 使用中可以运运行行 man iptablesman iptables 来来查查看所有看所有 命令和命令和选项选项的完整介的完整介绍绍 或者 或者运运行行 iptables iptables helphelp 来来查查看一看一个个快速快速帮帮助 要助 要查查看系看系统统中中现现 有的有的 iptablesiptables 规规划划集 可以集 可以运运行以下命令 行以下命令 i iptables ptables listlist 下面是下面是没没有定有定义义规规划划时时 iptablesiptables 的的样样子 子 Chain INPUT policy ACCEPT Chain INPUT policy ACCEPT target prot opt source destinationtarget prot opt source destination Chain FORWARD policy ACCEPT Chain FORWARD policy ACCEPT target prot opt source destinationtarget prot opt source destination Chain OUTPUT policy ACCEPT Chain OUTPUT policy ACCEPT target prot opt source destinationtarget prot opt source destination 如上例所示 每一如上例所示 每一个个数数据包都要通据包都要通过过三三个个内内建建的的链链 INPUTINPUT OUTPUTOUTPUT 和和 FORWARDFORWARD 中的一中的一个个 filterfilter 是最常用的表 在是最常用的表 在 filterfilter 表中最常用的三表中最常用的三个个目目标标是是 ACCEPTACCEPT DROPDROP 和和 REJECTREJECT DROPDROP 会会丢弃数丢弃数据包 不再据包 不再对对其其进进行任何行任何处处理 理 REJECTREJECT 会会把出把出错错信息信息传传送至送至发发送送数数据据 包的主机 包的主机 在在 Red Hat 9 0Red Hat 9 0 中 提供一中 提供一个个 GUIGUI 程序程序来让来让用用户户对对系系统统的安的安装装级别进级别进行行简单简单的配置 的配置 该该工工 具的具的启动启动方法是 主方法是 主选单选单 系系统设统设置置 安全工具 如安全工具 如图图 1 1 所示 在此所示 在此将将安全安全级别级别 设设为为 高高级级 并并选择选择使用默使用默认认的防火的防火墙墙规则规则 点 点击击确确定后 再用定后 再用 iptables iptables listlist 显显示 示 发发现现 iptablesiptables 与与没没有定有定义义规则规则前已前已经经有有很很大不同 如下所示 大不同 如下所示 root workstation root iptables root workstation root iptables listlist Chain INPUT policy ACCEPT Chain INPUT policy ACCEPT target prot opt source destinationtarget prot opt source destination RHRH LokkitLokkit 0 0 5050 INPUT all INPUT all anywhere anywhereanywhere anywhere Chain FORWARD policy ACCEPT Chain FORWARD policy ACCEPT target ptarget prot opt source destinationrot opt source destination RHRH LokkitLokkit 0 0 5050 INPUT all INPUT all anywhere anywhereanywhere anywhere Chain OUTPUT policy ACCEPT Chain OUTPUT policy ACCEPT target prot opt source destinationtarget prot opt source destination 现现实实中一般不使用中一般不使用这这个个 GUIGUI 工具 因工具 因为为它它的功能有限 也不的功能有限 也不够够透明 相比透明 相比较较而言 而言 SuSE SuSE 9 09 0 中相中相应应的配置工具要好得多 的配置工具要好得多 它它可以在可以在 GUIGUI 下下对对防火防火墙墙进进行更加行更加细细化的配置 比如增化的配置 比如增 加了加了 IPIP 转转发发和和伪伪装装等功能的配置 等功能的配置 尽尽管管这这样样 一般 一般还还是自己是自己来来增加和增加和删删除除规则规则 增加 增加规则规则 本例中的本例中的规则将规则将会会阻止阻止来来自某一特定自某一特定 IPIP 范范围内围内的的数数据包 因据包 因为该为该 IPIP 地址范地址范围围被管理被管理员员怀怀 疑有大量疑有大量恶恶意攻意攻击击者在活者在活动动 iptables iptables t filter t filter A INPUT A INPUT s 123 456 789 0 24 s 123 456 789 0 24 j DROPj DROP 也可以也可以很很轻轻易地阻止所有流向攻易地阻止所有流向攻击击者者 IPIP 地址的地址的数数据包 据包 该该命令稍有不同 命令稍有不同 iptables iptables t filter t filter A OUTPUT A OUTPUT d 123 456 789 0 24 d 123 456 789 0 24 j DROPj DROP 注意注意这这里的里的 A A 选项选项 如前所述 使用 如前所述 使用它它说说明是明是给现给现有的有的链链添加添加规则规则 4 4 删删除除规则规则 网网络络上的上的恶恶意攻意攻击击者者总总是在是在变变化的 因此需要不化的 因此需要不断断改改变变 IPIP 假 假设设一一个网个网上攻上攻击击者者转转移到移到 新的新的 IPIP 地址 而其老的地址 而其老的 IPIP 地址被分配地址被分配给给一些一些清清白的用白的用户户 那 那么么这时这这时这些用些用户户的的数数据包据包将将 无法通无法通过过你你的的网网络络 这这种种情情况况下 可以使用下 可以使用带带 D D 选项选项的命令的命令来来删删除除现现有的有的规则规则 iptables iptables t filter t filter D OUTPUT D OUTPUT d 123 456 789 0 24 d 123 456 789 0 24 j DROPj DROP 5 5 缺省的策略 缺省的策略 创创建一建一个个具有具有很很好好灵灵活性 可以抵御各活性 可以抵御各种种意外事件的意外事件的规则规则需要大量的需要大量的时时间间 对对于那些于那些没没有有 时时间间这这样样做的人 最基本的原做的人 最基本的原则则是是 先拒先拒绝绝所有的所有的数数据包 然后再允据包 然后再允许许需要的需要的 下面 下面来来 为为每一每一个个链链设设置缺省的置缺省的规则规则 iptables iptables P INPUT DROPP INPUT DROP iptables iptables P FORWARD DROPP FORWARD DROP iptables iptables P OUTPUT ACCEPTP OUTPUT ACCEPT 这这里里选项选项 P P 用于用于设设置置链链的策略 只有三的策略 只有三个个内内建的建的链链才有策略 才有策略 这这些策略可以些策略可以让让信息毫无信息毫无 限制地流出 但不允限制地流出 但不允许许信息流入 信息流入 很很多多时时候需要接收外部信息 候需要接收外部信息 则则可使用以下命令 可使用以下命令 iptables iptables t filter t filter A INPUT A INPUT s 123s 123 456 789 0 24 456 789 0 24 j ACCEPTj ACCEPT 6 6 SYNSYN 的使用的使用 不能不能关闭关闭所有端口 也不能只指定某些端口所有端口 也不能只指定某些端口处处于打于打开状态开状态 那 那么怎样么怎样才能才能设设置一置一个个有效的有效的 规则规则 既既可以允可以允许许普通用普通用户户正常通正常通过过 又可以阻止 又可以阻止恶恶意攻意攻击击者者访问访问网网络络呢呢 刚刚 开开始使用始使用 iptablesiptables 的人可以充分利用的人可以充分利用 synsyn 标识来标识来阻止那些未阻止那些未经经授授权权的的访问访问 iptablesiptables 只只检测数检测数据包的据包的报报头头 事 事实实上 除上 除 iptablesiptables 以外 以外 很很多其多其它它有用的有用的数数据包分析都是基于据包分析都是基于 报报头头的 比如 在的 比如 在进进行行 WebWeb 冲冲浪浪时时 一 一个个请请求求从你从你的的 PCPC 发发送至其送至其它它地方的地方的 WebWeb 服服务务器器 上 上 该该服服务务 器器会响会响应请应请求求并发并发回一回一个个数数据包 同据包 同时时得到得到你你系系统统上的一上的一个个临时临时端口 端口 与响与响 应请应请求不同的是 服求不同的是 服务务器器并并不不关关心所心所传传送的送的内内容 可以利用容 可以利用这这种种特点特点来来设设置置规则规则 让让它它阻阻 止所有止所有没没有有经经过过你你系系统统授授权权的的 TCPTCP 连连接 接 iptables iptables t filter t filter A INPUT A INPUT i eth0 i eth0 p tcp p tcp syn syn j DROPj DROP 这这里的里的 i i 指的是指的是网卡网卡 p p 则则是指是指协议协议 synsyn 则则表示表示带带有有 synsyn 标识标识设设置的置的 TCPTCP 数数据包 据包 SYNSYN 用于初始化一用于初始化一个个 TCPTCP 连连接 如果自己机器上接 如果自己机器上没没有有运运行任何服行任何服务务器 器 别别人也就不人也就不会会向向 你发你发送送 SYNSYN 数数据包 据包 7 7 有 有状态状态的的数数据包的据包的检测检测 前前 边边的例的例子把每一子把每一个个数数据包看成是据包看成是独独立的 而不是相互立的 而不是相互关关联联的 依的 依靠靠的是的是数数据包的据包的头头信信 息 息 iptablesiptables 会会检检查查数数据包的源和目的据包的源和目的 IPIP 地址 源和目的端口 流入地址 源和目的端口 流入 数数据包的据包的顺顺序序号号 TCPTCP 先后先后顺顺序的信息及序的信息及头头标记标记 SYNSYN ACKACK FINFIN RSTRST 等 的等 的状态状态 即它会跟即它会跟踪整踪整个个 连连接接会会话话 从从而使整而使整个个过滤过过滤过程是相互程是相互关关联联的 的 8 8 共享一 共享一个个 InternetInternet 连连接接 网网 络络地址地址翻翻译译和和 IPIP 伪伪装装都可以都可以实实现现多台主机共享一多台主机共享一个个 InternetInternet 连连接 接 这这个个局域局域网网可以是可以是 LinuxLinux 和和 WindowsWindows 系系统统组组成的多系成的多系统统局域局域网网 假 假设设现现在有在有 一台机器 配有一台机器 配有两个网卡两个网卡 其 其 中中 eth0eth0 为为 公共公共 网卡网卡 eth1eth1 为为 私有私有 网卡网卡 即即 eth0eth0 被分配了一被分配了一个个静态静态的 可路由的 可路由 的的 IPIP 地址 而地址 而 eth1eth1 被分配了一被分配了一 个个私有的 不能路由的私有的 不能路由的 IPIP 该该 IPIP 是是属属于于该该局域局域网网子子网网 的 要的 要实实现现上述功能 需要向上述功能 需要向 natnat 和和 filterfilter 表中添加一些表中添加一些链链 iptables iptables t nat t nat A POSTROUTING A POSTROUTING o eth0 o eth0 j MASQUERADEj MASQUERADE iptables iptables t filter t filter A FORWARD A FORWARD i eth0 i eth0 o eth1 o eth1 m state m state state state RELATRELATED ESTABLISHED ED ESTABLISHED j ACCEPTj ACCEPT iptables iptables t filter t filter A FORWARD A FORWARD i eth1 i eth1 o eth0 o eth0 j ACCEPTj ACCEPT 这显这显示了有示了有状态状态的的数数据包据包检测检测的价的价值值 请请注意 注意 这这里是如何里是如何实实现现流入流入数数据包只有在据包只有在属属于一于一 个个已已经经存在的存在的连连接接时时才被允才被允许许 而所有 而所有来来自局域自局域网网内内流向外的流向外的数数据包据包则则都允都允许许通通过过 第一 第一 条条规则让规则让所有流出的信息看起所有流出的信息看起来来都是都是来来自防火自防火墙墙机器的 而机器的 而并并不不会会显显示出防火示出防火墙墙后面后面还还有有 一一个个局域局域网网 下面的命令下面的命令为为 FORWARDFORWARD 和和 POSTROUTINGPOSTROUTING 链链设设置缺省的策略 在使用置缺省的策略 在使用伪伪装装时时 有一 有一 个个缺省缺省的的 POSTROUTING DROPPOSTROUTING DROP 策略非常重要 否策略非常重要 否则则就可能有心就可能有心怀怀恶恶意的用意的用户户突破突破网网 关关后后伪伪装装自己的身自己的身份份 iptables iptables t filter t filter P FORWARD DROPP FORWARD DROP iptables iptables t nat t nat P POSTROUTING DROPP POSTROUTING DROP 下面的命令下面的命令为拨为拨号号连连接接设设置 置 它它可以可以动动态态地分配地分配 IPIP 地址 地址 iptables iptables t nat t nat A POSTROUTING A POSTROUTING o ppp0 o ppp0 j MASQUERADEj MASQUERADE 9 9 运运行服行服务务器器时时的情的情况况 有有时时也也会会把服把服务务器放置在防火器放置在防火墙墙后面 后面 这时这时 iptablesiptables 就需要知就需要知道道从哪儿从哪儿通通过数过数据包 据包 设设置置 如下所示 如下所示 iptables iptables t nat t nat A PREROUTING A PREROUTING i eth0 i eth0 p tcp p tcp dport 80 dport 80 j DNAT j DNAT to to 192 168 0 10 80192 168 0 10 80 iptables iptables t nat t nat A PREROUTING A PREROUTING i eth0 i eth0 p tcp p tcp dport 25 dport 25 j DNAT j DNAT to to 192 168 0 11 25192 168 0 11 25 1010 规则规则的保存的保存 到到现现在在为为止 所有的例子都是在命令行中止 所有的例子都是在命令行中进进行的 在行的 在测试测试新的新的规则时规则时 这这是一是一种很种很好的方好的方 式 但一旦式 但一旦测试结测试结果令人果令人满满意 就可以意 就可以将将它它们们保存保存为为脚本 可以使用脚本 可以使用 iptablesiptables save save 命令命令 来来实实现现 iptables iptables save iptablessave iptables scriptscript 信息包信息包过滤过滤表中的所有表中的所有规则规则都被保存在都被保存在文件文件 iptablesiptables scriptscript 中 无中 无论论何何时时再次引再次引导导系系统统 都可以使用都可以使用 iptablesiptables restorerestore 命令命令将规则将规则集集从从该该脚本脚本文件文件恢恢复复到信息包到信息包过滤过滤表 恢表 恢复复命令命令 如下所示 如下所示 iptables iptables restore iptablesrestore iptables scriptscript 如果愿意在每次引如果愿意在每次引导导系系统统时时自自动动恢恢复复该规则该规则集 集 则则可以可以将将上面指定的上面指定的这这条条命令放到任何一命令放到任何一 个个初始化初始化 ShellShell 脚本中 脚本中 下面的例子下面的例子并并不是一不是一个个完整的脚本 完整的脚本 它它只是描述了如何使用只是描述了如何使用变变量及提供了一些附加的量及提供了一些附加的规则规则 样样例 例 bin sh bin sh 为为变变量量赋赋值值 IPTABLES sbin iptablesIPTABLES sbin iptables LAN NET 192 168 1 0 24 LAN NET 192 168 1 0 24 IFACE eth0 IFACE eth0 LO IFACE lo LO IFACE lo LO IP 127 0 0 1 LO IP 127 0 0 1 加加载载所需的所需的内内核核 sbin modprobe ip conntrack sbin modprobe ip conntrack sbin modprobe iptable nat sbin modprobe iptable nat 缺省情缺省情况况下 下 IPIP 转转发发都都处处于不可用于不可用状态状态 将将其其设设置置为为可用可用状态状态 echo 1 proc sys net ipv4 ip forwardecho 1 proc sys net ipv4 ip