赞
踩
iptables功能丰富,应用场景多样,本文介绍5种常用场景。
在配置新的iptables规则前,最好先将旧的配置和规则清除:
iptables -F
清除filter表规则
iptables -X
清除自定义链
iptables默认的chain策略为ACCEPT,放通所有流量,如果需要限制某些路径,再按需设置策略。
之前我一直觉得这样与ACL精神相违背,后来发现iptables的规则比我想象还要灵活很多,安全和易用可以兼得。下面的配置既可以保证安全,也可以避免起初在设置DROP策略时候,可能会由于人为失误等产生的无法连接的情况,维护起来也更为方便,删除策略不会对连通性产生风险。
具体策略如下:
如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号,使用stateful防火墙特有的状态监测:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
放通ping的流量和本地回环流量
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
禁止其他的流量和流量转发
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
这种设计与ACL的deny all 精神相符合,不过用起来确实会麻烦一点,为了完成基础通信,需要更多的配置。具体配置如下。
如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号: iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -i lo -j ACCEPT 为了保证yum或者apt的正常使用,正常连接各个镜像源,需要将DNS服务端口53和HTTP的默认80端口打开: iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 关闭filter三条默认链的所有流量,包括接收、转发和发出。 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP
另外,在chain中要特别注意每条规则的上下顺序,默认是由上往下匹配。而且如果你的target是ACCEPT或者DROP,那么匹配上该规则后,就不会再匹配下面的规则了,而如果是其他target,则会继续向下匹配。
当因为合规或者安全风险考虑,我们需要将某个或者某段IP的输入进行屏蔽,这时我们可以使用以下命令,将指定网卡中的ip源的包丢弃:
iptables -A INPUT -i eth0 -p tcp -s 192.168.8.0/24 -j DROP
以上命令设置将源地址段为192.168.8.0/24,且经过eth0的网卡的tcp的流量包丢弃。当然我们还可以设定源目端口或者限定特定IP,同样我们也可以限定本地发往的目的IP。
####场景二,网络地址转换(DNAT or SNAT)
在多网卡的场景下,我们经常需要将IP地址进行转换,以满足不同网络之间跨网络访问需求。iptables的nat表可以完成此类转换工作:
在此之前我们需要将Linux系统的转发功能打开:
echo "1">/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 33 -j DNAT --to 10.1.1.1:22
以上命令将192.168.0.1的33端口的包转发到10.1.1.1的22端口,因而我们可以通过192.168.0.1的33端口连接到10.1.1.1上的ssh服务,这种场景多见于堡垒机或者反向代理。
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.1 --sport 80 -j SNAT --to 10.1.1.1:8080
以上命令将源地址为192.168.0.1的80端口的流量转换为10.1.1.1的8080端口的流量,以达到源地址改变的效果,这种场景多见于内外网转换。
注:在进行DNAT时候,要保证后端的机器要有到Client的回程路由,且网关指向iptables所在机器,不然也无法完成。
利用iptables的limit模块,可以实现轻量的DDoS攻击防护。利用connlimit模块,可以防护CC攻击(一种低流量高连接的DDoS攻击)
- 通过自定义链的方式防止大流量攻击
iptables -N syn-flood
新建syn-flood自定义链
iptables -A INPUT -p tcp --syn -j syn-flood
将所有进入本机的流量全部使用自定义链tcp-syn去匹配
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
--limit 3/s表示每秒钟可以释放3个包的链接配额。
--limit-burst 6的意思是本机最多可存在6个封包。注意:这与session的概念是不同,一个session可以有无限个包。
iptables -A syn-flood -j DROP
当超过上个规则的限定的包,将被丢弃。该规则与上一个规则的关系类似以if,else的关系。
- 使用系统默认链的方式防止大流量攻击
iptables -A INPUT -p tcp --syn -m limit --limit 3/s --limit-burst 6 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
这里涉及到的参数与自定义链的参数的意思相同,效果也一致。
- 使用connlimit模块来防护CC攻击
iptables -A INPUT -i -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
允许每个IP最多15个初始连接,超过的丢弃
connlimit模块为扩展模板,需要另外编译安装
iptables提供灵活的日志记录功能,我们可以为每一个规则设置不同的日志标识。
- 为了方便,建议将iptables的日志与系统日志分开。
vim /etc/rsyslog.conf
kern.* /var/log/iptables.log
systemctl restart rsyslog
- 记录所有进入本机的80端口的日志
iptables -I INPUT -p tcp --dport 80 -j LOG
- 为日志添加级别,并添加标记
iptables使用 --log-level定义生成的日志级别,使用–log-prefix为每条规则添加标记。
iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '**http-test**' --log-level 4
注:日志级别如下
6)info
5)notice
4)warning
3)error
2)crit
1)alert
0)emerg或panic:导致系统几乎要死机
如果想要对包中的内容做检查,我们可以使用-m中的string模块,比如我们想要禁止内部员工登录淘宝,可以使用如下规则:
iptables -A OUTPUT -m string --algo bm --string "taobao.com" -j DROP
如果想对数据包中的某个字段进行匹配,比如打日志什么的,也可以使用string模块。不过该模块会对包中的所有内容都进行匹配,所以很容易“误杀”。
下面是官方文档的描述:
This patch by Emmanuel Roger winfield@freegates.be adds a new match that allows you to match a string anywhere in the packet.
点击这里,可以查看官方文档的详细描述。
iptables规则与路由规则类似,如果是用命令敲入的规则,只会保存到内存中,再开机的时候,规则都会消失。由于Ubuntu/Debian的发行版和RHEL/CentOS/fedora不同。在此也分成两类。
- Ubuntu默认没有iptables配置文件,需通过如下命令保存并生成配置文件
iptables-save > /etc/network/iptables.up.rules
- iptables配置文件路径及文件名建议为/etc/network/iptables.up.rules,因为执行iptables-apply默认指向该文件,也可以通过-w参数指定文件
- 在/etc/network/interfaces里写入如下配置
pre-up iptables-restore < /etc/network/iptables.up.rules
- 首先开启iptables开机启动
systemctl enable iptables
- 由于centos7之后,redhat推荐使用firewalld,因此需要stop和disable firewalld
systemctl stop firewalld
systemctl disable firewalld
另,如果出现发现不了iptables的unit的话,重新安装即可
yum install iptables-services
- centos7系统在安装完iptables之后,就会自动生成配置文件/etc/sysconfig/iptables
service iptables save
将配置保存到配置文件/etc/sysconfig/iptables
或者使用如下命令也可以
iptables-save > /etc/sysconfig/iptables
这样就将当前的配置全部导入到配置文件中,下次开机重启的时候,就会将iptables的规则生效。
http://seanlook.com/2014/02/26/iptables-example/
http://www.cnblogs.com/bangerlee/archive/2013/02/27/2935422.html
http://blog.chinaunix.net/uid-20152246-id-1974690.html
https://www.howtoing.com/enable-logging-in-iptables-on-linux
http://blog.51cto.com/babyshen/1966077
https://blog.csdn.net/foreverfriends/article/details/70227791
http://blog.51cto.com/qiangsh/1978835
https://blog.csdn.net/xiaocao12/article/details/54729887
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。