Linux安全应用-iptables防火墙(PPT-30张)课件

1、RHEL6_Linux安全应用轻舞飞扬第六章 iptables防火墙（一） 理论部分熟悉Linux防火墙的表、链结构理解数据包匹配的基本流程学会编写iptables规则技能展示本章结构iptables防火墙(一)iptables的表、链结构数据包控制的匹配流程添加、查看、删除规则规则的匹配条件Linux防火墙基础基本语法、控制类型编写防火墙规则netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”iptables位于/sbin/iptables，用来管理防火墙规则的工具称为Linux防火墙的“用户态” 上述2种称呼都可以表示Linux防火墙Linux包过滤防火墙

2、概述2-1包过滤的工作层次主要是网络层，针对IP数据包体现在对包内的IP地址、端口等信息的处理上Linux包过滤防火墙概述2-2链路层网络层传输层应用代理链路层网络层传输层应用层链路层网络层传输层应用层外部网络网络层防火墙受保护网络规则链规则的作用：对数据包进行过滤或处理链的作用：容纳各种防火墙规则链的分类依据：处理数据包的不同时机默认包括5种规则链INPUT：处理入站数据包OUTPUT：处理出站数据包FORWARD：处理转发数据包POSTROUTING链：在进行路由选择后处理数据包PREROUTING链：在进行路由选择前处理数据包iptables的表、链结构3-1规则表表的作用：容纳各种规则

3、链表的划分依据：防火墙规则的作用相似默认包括4个规则表raw表：确定是否对该数据包进行状态跟踪mangle表：为数据包设置标记nat表：修改数据包中的源、目标IP地址或端口filter表：确定是否放行该数据包（过滤）iptables的表、链结构3-2默认的表、链结构示意图iptables的表、链结构3-3filter 表第1条规则第2条规则第3条规则INPUT 链FORWARD 链OUTPUT 链mangle 表PREROUTING 链POSTROUTING 链INPUT 链OUTPUT 链FORWARD 链raw 表PREROUTING 链OUTPUT 链nat 表PREROUTING 链P

4、OSTROUTING 链OUTPUT 链规则表之间的顺序rawmanglenatfilter规则链之间的顺序入站：PREROUTINGINPUT出站：OUTPUTPOSTROUTING转发：PREROUTINGFORWARDPOSTROUTING规则链内的匹配顺序按顺序依次检查，匹配即停止（LOG策略例外）若找不到相匹配的规则，则按该链的默认策略处理数据包过滤的匹配流程2-1匹配流程示意图数据包过滤的匹配流程2-2本机的应用进程mangle：POSTROUTINGmangle：FORWARDraw：PREROUTINGraw：OUTPUTmangle：INPUT转发数据流向入站数据流向网络A网

5、络Bmangle：PREROUTINGnat：PREROUTINGnat：POSTROUTINGfilter：INPUTmangle：OUTPUTnat：OUTPUTfilter：OUTPUT路由选择filter：FORWARD路由选择出站数据流向请思考：Linux防火墙默认包括哪几个表、哪几种链？对于转发的数据包，会经过哪几种链的处理？在同一个规则链内，规则匹配的特点是什么？小结语法构成iptables -t 表名 选项 链名 条件 -j 控制类型iptables的基本语法2-1rootlocalhost # iptables -t filter -I INPUT -p icmp -j RE

6、JECTC:UsersAdministrator ping 192.168.4.254正在 Ping 192.168.4.254 具有 32 字节的数据:来自 192.168.4.254 的回复: 无法连到端口。来自 192.168.4.254 的回复: 无法连到端口。阻止ping测试几个注意事项不指定表名时，默认指filter表不指定链名时，默认指表内的所有链除非设置链的默认策略，否则必须指定匹配条件选项、链名、控制类型使用大写字母，其余均为小写数据包的常见控制类型ACCEPT：允许通过DROP：直接丢弃，不给出任何回应REJECT：拒绝通过，必要时会给出提示LOG：记录日志信息，然后传给下

7、一条规则继续匹配iptables的基本语法2-2添加新的规则-A：在链的末尾追加一条规则-I：在链的开头（或指定序号）插入一条规则iptables的管理选项5-1rootlocalhost # iptables -t filter -A INPUT -p tcp -j ACCEPTrootlocalhost # iptables -I INPUT -p udp -j ACCEPTrootlocalhost # iptables -I INPUT 2 -p icmp -j ACCEPT-p 用来指定协议查看规则列表-L：列出所有的规则条目-n：以数字形式显示地址、端口等信息-v：以更详细的方式显

8、示规则信息-line-numbers：查看规则时，显示规则的序号iptables的管理选项5-2rootlocalhost # iptables -L INPUT -line-numbersChain INPUT (policy ACCEPT)num target prot opt source destination1 ACCEPT udp - anywhere anywhere2 ACCEPT icmp - anywhere anywhere3 REJECT icmp - anywhere anywhere reject-with icmp-port-unreachable4 ACCEPT

9、 tcp - anywhere anywhererootlocalhost # iptables -n -L INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT udp - 0.0.0.0/0 0.0.0.0/0ACCEPT icmp - 0.0.0.0/0 0.0.0.0/0REJECT icmp - 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableACCEPT tcp - 0.0.0.0/0 0.0.0.0/0-n -L 可合写为 -nL删

10、除、清空规则-D：删除链内指定序号（或内容）的一条规则-F：清空所有的规则iptables的管理选项5-3rootlocalhost # iptables -D INPUT 3rootlocalhost # iptables -n -L INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT udp - 0.0.0.0/0 0.0.0.0/0ACCEPT icmp - 0.0.0.0/0 0.0.0.0/0ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0rootlocalhost # ip

11、tables -Frootlocalhost # iptables -t nat -Frootlocalhost # iptables -t mangle -Frootlocalhost # iptables -t raw -F清空所有表的所有链设置默认策略-P：为指定的链设置默认规则iptables的管理选项5-4rootlocalhost # iptables -t filter -P FORWARD DROProotlocalhost # iptables -P OUTPUT ACCEPT默认策略要么是ACCEPT、要么是DROP常用管理选项汇总iptables的管理选项5-5类别选项用

12、途添加新的规则-A在链的末尾追加一条规则-I在链的开头（或指定序号）插入一条规则查看规则列表-L列出所有的规则条目-n以数字形式显示地址、端口等信息-v以更详细的方式显示规则信息-line-numbers查看规则时，显示规则的序号删除、清空规则-D删除链内指定序号（或内容）的一条规则-F清空所有的规则设置默认策略-P为指定的链设置默认规则通用匹配可直接使用，不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件隐含匹配要求以特定的协议匹配作为前提包括端口、TCP标记、ICMP类型等条件显式匹配要求以“-m 扩展模块”的形式明确指出类型包括多端口、MAC地址、IP范围、数据包状态等条件规则

13、的匹配条件5-1常见的通用匹配条件协议匹配：-p 协议名地址匹配：-s 源地址、-d 目的地址接口匹配：-i 入站网卡、-o 出站网卡规则的匹配条件5-2rootlocalhost # iptables -I INPUT -p icmp -j DROProotlocalhost # iptables -A FORWARD -p ! icmp -j ACCEPT 叹号 ! 表示条件取反rootlocalhost # iptables -A FORWARD -s 192.168.1.11 -j REJECTrootlocalhost # iptables -I INPUT -s 10.20.30.

14、0/24 -j DROP rootlocalhost # iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP rootlocalhost # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROProotlocalhost # iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP外网接口常用的隐含匹配条件端口匹配：-sport 源端口、-dport 目的端口TCP标记匹配：-tcp-flags 检查范围 被设置的标记ICMP类型匹配：-icmp-type

15、ICMP类型规则的匹配条件5-3rootlocalhost # iptables -A FORWARD -s 192.168.4.0/24 -p udp -dport 53 -j ACCEPTrootlocalhost # iptables -A INPUT -p tcp -dport 20:21 -j ACCEPTrootlocalhost # iptables -I INPUT -i eth1 -p tcp -tcp-flags SYN,RST,ACK SYN -j DROProotlocalhost # iptables -I INPUT -i eth1 -p tcp -tcp-flag

16、s ! -syn -j ACCEPT丢弃SYN请求包，放行其他包rootlocalhost # iptables -A INPUT -p icmp -icmp-type 8 -j DROProotlocalhost # iptables -A INPUT -p icmp -icmp-type 0 -j ACCEPTrootlocalhost # iptables -A INPUT -p icmp -icmp-type 3 -j ACCEPTrootlocalhost # iptables -A INPUT -p icmp -j DROP8 请求，0 回显，3 不可达常用的显式匹配条件多端口匹配

17、：-m multiport -sports 源端口列表 -m multiport -dports 目的端口列表IP范围匹配：-m iprange -src-range IP范围MAC地址匹配：-m mac -mac-source MAC地址状态匹配：-m state -state 连接状态规则的匹配条件5-4rootlocalhost # iptables -A INPUT -p tcp -m multiport -dport 25,80,110,143 -j ACCEPTrootlocalhost # iptables -A FORWARD -p tcp -m iprange -src-ra

18、nge 192.168.4.21-192.168.4.28 -j ACCEPTrootlocalhost # iptables -A INPUT -m mac -mac-source 00:0c:29:c0:55:3f -j DROProotlocalhost # iptables -P INPUT DROProotlocalhost # iptables -I INPUT -p tcp -m multiport -dport 80 -j ACCEPTrootlocalhost # iptables -I INPUT -p tcp -m state -state ESTABLISHED,REL

19、ATED -j ACCEPT 常见匹配条件汇总规则的匹配条件5-5类别条件类型用法通用匹配协议匹配-p 协议名地址匹配-s 源地址、-d 目的地址接口匹配-i 入站网卡、-o 出站网卡隐含匹配端口匹配-sport 源端口、-dport 目的端口TCP标记匹配-tcp-flags 检查范围 被设置的标记ICMP类型匹配-icmp-type ICMP类型显式匹配多端口匹配-m multiport -sports | -dports 端口列表IP范围匹配-m iprange -src-range IP范围MAC地址匹配-m mac -mac-source MAC地址状态匹配-m state -sta

20、te 连接状态本章总结iptables防火墙(一)iptables的表、链结构数据包控制的匹配流程添加、查看、删除规则规则的匹配条件Linux防火墙基础基本语法、控制类型编写防火墙规则第六章 iptables防火墙（一） 上机部分实验环境为网关、Web服务器配置防火墙规则实验案例：基于IP、端口的控制4-1局域网段192.168.1.0/24网站服务器192.168.1.5InternetInternet测试用机172.16.16.172网关服务器eth0: 192.168.1.1eth1: 172.16.16.1需求描述为Web主机编写入站规则，允许ping，开放80端口为网关编写转发规则，

21、允许基本的上网访问实现思路Web主机：在filter表的INPUT链添加入站规则Linux网关：在filter表的FORWARD链添加转发规则实验案例：基于IP、端口的控制4-2学员练习1为网站服务器编写入站规则、默认策略测试入站访问控制的效果实验案例：基于IP、端口的控制4-330分钟完成学员练习2为网关服务器编写转发规则、默认策略测试转发控制的效果实验案例：基于IP、端口的控制4-450分钟完成1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。2、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。3、命运给你一个比别人低的起点是想告诉你，让你用你

22、的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。6、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。8、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受;有