短视频推广策划方案,seo网站排名优化培训教程,域名查询网中国万网,wordpress登录地址插件在当今数字化时代#xff0c;网络安全问题变得越来越重要。为了保护我们的网络免受恶意攻击和未经授权的访问#xff0c;我们需要使用一些工具来加强网络的安全性。其中#xff0c;iptables是一个强大而受欢迎的防火墙工具#xff0c;它可以帮助我们控制网络流量并保护网络… 在当今数字化时代网络安全问题变得越来越重要。为了保护我们的网络免受恶意攻击和未经授权的访问我们需要使用一些工具来加强网络的安全性。其中iptables是一个强大而受欢迎的防火墙工具它可以帮助我们控制网络流量并保护网络资源。 从逻辑上讲防火墙可以大体分为主机防火墙和网络防火墙。从物理上讲防火墙可以分为硬件防火墙和软件防火墙。
今天主要介绍的是如何通过iptables软件对本机的网络服务进行保护。
iptables概述
通过iptables可以对本机提供的网络服务 (FTP、WEB、EMAIL、DB…) 进行保护通过规则进行过滤。
iptables并不是真正的防火墙可以理解为一个客户端代理用户通过iptables这个代理将用户的安全设定执行到对应的安全框架中这个安全框架才是真正的防火墙这个框架的名字叫netfilter。
netfilter位于内核空间而iptables其实是一个命令行工具位于用户空间。
netfilter/iptables组成Linux平台下的包过滤防火墙。可以完成封包过滤、封包重定向和网络地址转换 (NAT) 等防火墙功能。
这是第一个要说的地方iptables和netfilter的关系是一个很容易让人搞不清的问题。很多人知道iptables却不知道netfilter。其实iptables只是Linux防火墙的管理工具而已位于/sbin/iptables目录下。
真正实现防火墙功能的是netfilter它是Linux内核中实现包过滤的内部结构。netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过防火墙与大多数的Linux软件一样这个包过滤防火墙是免费的它可以代替昂贵的商业防火墙解决方案完成封包过滤、封包重定向和网络地址转换 (NAT)等功能。
Netfilter是Linux操作系统核心层内部的一个数据包处理模块它具有如下功能:
网络地址转换(Network Address Translate)数据包内容修改数据包过滤的防火墙功能
所以说虽然启动iptables”服务”但是其实准确的来说iptables并没有一个守护进程所以并不能算是真正意义上的服务而应该算是内核提供的功能。
iptables基础
iptables是按照规则来办事的规则 (rules)其实就是网络管理员预定义的条件规则一般的定义为”如果数据包头符合这样的条件就这样处理这个数据包”规则存储在内核空间的信息包过滤表中这些规则分别指定了源地址、目的地址、传输协议 (如TCP、UDPICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时iptables就根据规则所定义的方法来处理这些数据包如放行 (accept) 、拒绝 (reject和丢弃(drop)等。配置防火墙的主要工作就是添加修改和删除这些规则。 到本机某进程的报文PREROUTING-INPUT
由本机转发的报文PREROUTING- FORWARD - POSTROUTING
由本机的某进程发出报文 (通常为响应报文)OUTPUT- POSTROUTING
链的概念
现在我们想象一下这些“关卡”在iptables中为什么被称作”链”呢?
我们知道防火墙的作用就在于对经过的报文匹配“规则”然后执行对应的“动作”所以当报文经过这些关卡的时候则必须匹配这个关卡上的规则但是这个关卡上可能不止有条规则而是有很多条规则当我们把这些规则串到一个链条上的时候就形成了“链”所以我们把每一个“关卡”想象成如下图中的模样 这样来说把他们称为“链”更为合适每个经过这个“关卡”的报文都要跟这条”链”上的规则进行匹配如果有符合条件的规则则执行规则对应的动作。
防火墙要达到防火的目的需要在内核中设置关卡所有进出的报文都要通过这些关卡经过检查后符合放行条件的才能放行符合阻拦条件的都被阻拦。在iptables中这些关卡称为链。之所以称为链是因为防火墙的作用在于对经过每一个关卡的报文匹配规则然后执行动作而这个关卡上可能不止一条规则当我们把多条规则串在一个链条上时就形成了链。
五条规则链
PREROUTING(路由前)INPUT(数据包流入口)FORWARD(转发管卡)OUTPUT(数据包出口)POSTROUTING(路由后)
表的概念
我们再想想另外一个问题我们对每个“链”上都放置了一串规则但是这些规则有些很相似比如A类规则都是对IP或者端口的过滤B类规则是修改报文那么这个时候我们是不是能把实现相同功能的规则放在一起呢必须能的。
我们把具有相同功能的规则的集合叫做“表”所以说不同功能的规则我们可以放置在不同的表中进行管理而iptables已经为我们定义了4种表每种表对应了不同的功能而我们定义的规则也都逃脱不了这4种功能的范围所以学习iptables之前我们必须先搞明白每种表的作用。
iptables为我们提供了如下规则的分类或者说iptables为我们提供了如下“表”
filter表负责过滤功能防火墙对应的内核模块为iptables _filternat表networkaddress translation网络地址转换功能对应的内核模块为iptable_natmangle表拆解报文做出修改并重新封装的功能对应的内核模块为iptable_mangleraw表关闭nat表上启用的连接追踪机制对应的内核模块为iptable_raw
也就是说我们自定义的所有规则都是这四种分类中的规则或者说所有规则都存在于这4张”表”中。
filter表
filter表用于过滤数据包是iptables默认的表。
$ sudo iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationnat表
nat表用于网络地址转换例如将内网IP地址转换为公网IP地址。
$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain INPUT (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain POSTROUTING (policy ACCEPT)
target prot opt source destinationmangle表
mangle表用于修改数据包的TTL生存时间、TOS服务类型等信息。
$ sudo iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destinationChain POSTROUTING (policy ACCEPT)
target prot opt source destinationraw表
raw表用于配置数据包的豁免规则例如不被连接追踪等。
$ sudo iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination表与链的关系
由于每条链所处位置不同需要发挥的功能不同包含的规则也不同。因此某些链并不会包含某些规则。
preroutinginputforwordoutputpostroutingrawYYmangleYYYYYfilterYYYnatYYYY
链的规则存放于哪些表中从链到表的对应关系:
PREROUTING的规则可以存在于: raw表mangle表nat表。INPUT的规则可以存在于: mangle表filter表nat表。FORWARD的规则可以存在于: mangle表filter表。OUTPUT的规则可以存在于: raw表mangle表nat表filter表。POSTROUTING的规则可以存在于: mangle表nat表。
表中的规则可以被哪些链使用(从表到链的对应关系)
raw表中的规则可以被哪些链使用PREROUTINGOUTPUTmangle表中的规则可以被哪些链使用:PREROUTINGINPUTFORWARDOUTPUTPOSTROUTINGnat表中的规则可以被哪些链使用:PREROUTINGINPUT,OUTPUTPOSTROUTINGfilter表中的规则可以被哪些链使用:INPUTFORWARDOUTPUT
数据包经过一条链时会将当前链的所有规则都匹配一遍匹配的时候会根据匹配规则依次执行。
iptables定义的4张表执行的优先级为raw mangle nat filter
规则
根据指定的匹配条件来匹配每个流经此处的报文一旦匹配成功则由规则后面指定的处理动作进行处理。
防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下从前到后进行过滤的。
防火墙如果根据设置的规则匹配上了规则即明确表明是阻止还是通过此时数据包就不在向下匹配新规则了。
如果数据包在所有规则中没有匹配到明确的规则是阻止还是通过从而会向下进行匹配直到匹配默认规则后得到明确的默认规则从而得出确认是阻止还是通过。
防火墙的默认规则是对应链里的所有规则执行完以后才会执行的(最后执行的规则)。
匹配条件
iptables可以根据不同的匹配条件来过滤网络数据包。iptables的匹配条件可以分为通用匹配条件和扩展匹配条件两种。
通用匹配条件
-p指定协议类型如TCP、UDP、ICMP等。-s指定源IP地址或地址段。-d指定目标IP地址或地址段。–sport指定源端口号。–dport指定目标端口号。-i指定数据包进入的网络接口。-o指定数据包输出的网络接口。
扩展匹配条件除了通用匹配条件其余可用于匹配的条件称为扩展配条件这些扩展匹配条件在netfilter中以模块的形式存在如果想使用这些条件则需要依赖对应的拓展模块。
扩展匹配条件包括
–mac-source指定源MAC地址。–mac-destination指定目标MAC地址。–state指定连接状态如NEW、ESTABLISHED、RELATED等。–tcp-flags指定TCP标志位。–icmp-type指定ICMP类型。–limit限制匹配规则的匹配次数。–comment为匹配规则添加注释。
处理动作
iptables规则的处理动作是指对匹配到的数据包所采取的操作。
常见的处理动作包括
ACCEPT允许数据包通过DROP直接丢弃数据包不给任何回应信息。。REJECT拒绝数据包通过必要时会给数据发送端一个相应的信息客户端刚请求就会收到拒绝的信息。SNAT源地址转换解决内网用户用同一个公网地址上网的问题。MASQUERADE是SNAT的一种特殊形式适用于动态的、临时会变的IP上。DNAT目标地址转换REDIRECT在本机做端口映射。LOG在/var/log/mesages文件中记录日志信息然后将数据包传递给下一条规则。即除了记录外不对数据包做任何其他操作仍然让下一条规则进行匹配
iptables的安装
iptables通常是Linux系统中自带的一部分一般情况下你不需要单独安装。但是如果你的系统中没有iptables或者你需要安装一个新版本的iptables那么你就需要手动安装。
在大多数基于Debian和Ubuntu的Linux发行版中你可以使用下面的命令来安装iptables
sudo apt-get update
sudo apt-get install iptables在基于Red Hat和CentOS的发行版中你可以使用下面的命令来安装iptables
sudo yum install iptables安装完成后你可以使用下面的命令来检查iptables是否安装成功
$ iptables --version
iptables v1.6.1这个命令会显示出iptables的版本信息如果你看到了版本信息那么就说明iptables已经成功安装了。
