Linux網(wǎng)絡(luò)管理第13章Iptables應(yīng)用

1、Linux網(wǎng)絡(luò)管理第13章 Iptables應(yīng)用前章回顧理解PPP協(xié)議PPP服務(wù)器配置PPP客戶配置本章目標(biāo)理解防火墻模型IP防火墻的構(gòu)建原則使用Iptables命令防火墻的簡(jiǎn)介 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。它通過訪問控制機(jī)制，確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部請(qǐng)求可以訪問內(nèi)部服務(wù)。它可以根據(jù)網(wǎng)絡(luò)傳輸?shù)念愋蜎Q定IP包是否可以傳進(jìn)或傳出內(nèi)部網(wǎng)。防火墻通過審查經(jīng)過的每一個(gè)數(shù)據(jù)包，判斷它是否有相匹配的過濾規(guī)則，根據(jù)規(guī)則的先后順序進(jìn)行一一比較，直到滿足其中的一條規(guī)則為止，然后依據(jù)控制機(jī)制做出相應(yīng)的動(dòng)作。如果都不滿足，則將數(shù)據(jù)包丟

2、棄，從而保護(hù)網(wǎng)絡(luò)的安全。防火墻的簡(jiǎn)介通過使用防火墻可以實(shí)現(xiàn)以下功能： 可以保護(hù)易受攻擊的服務(wù)； 控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問； 集中管理內(nèi)網(wǎng)的安全性，降低管理成本； 提高網(wǎng)絡(luò)的保密性和私有性； 記錄網(wǎng)絡(luò)的使用狀態(tài)，為安全規(guī)劃和網(wǎng)絡(luò)維護(hù)提供依據(jù)。防火墻的分類 防火墻技術(shù)根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來講可分為包過濾防火墻和代理服務(wù)器兩種類型。防火墻的工作原理 1包過濾防火墻工作原理防火墻的工作原理 數(shù)據(jù)包從外網(wǎng)傳送到防火墻后，防火墻搶在IP層向TCP層傳送前，將數(shù)據(jù)包轉(zhuǎn)發(fā)給包檢查模塊進(jìn)行處理。 首先與第一個(gè)過濾規(guī)則比較。 如果與第一個(gè)模塊相同，則對(duì)它進(jìn)行審核，判斷是否轉(zhuǎn)發(fā)該

3、數(shù)據(jù)包，這時(shí)審核結(jié)果是轉(zhuǎn)發(fā)數(shù)據(jù)包，則將數(shù)據(jù)包發(fā)送到TCP層進(jìn)行處理，否則就將它丟棄。 如果與第一個(gè)過濾規(guī)則不同，則接著與第二個(gè)規(guī)則相比較，如果相同則對(duì)它進(jìn)行審核，過程與相同。 如果與第二個(gè)過濾規(guī)則不同，則繼續(xù)與下一個(gè)過濾規(guī)則比較，直到與所有過濾規(guī)則比較完成。要是所有過濾規(guī)則都不滿足，就將數(shù)據(jù)包丟棄。防火墻的工作原理2代理服務(wù)型防火墻工作原理代理服務(wù)型防火墻是在應(yīng)用層上實(shí)現(xiàn)防火墻功能的。它能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供與應(yīng)用相關(guān)的狀態(tài)和部分傳輸?shù)男畔?，它還能處理和管理信息。iptables簡(jiǎn)介netfilter/iptables（下文簡(jiǎn)稱為iptables）組成Linux平臺(tái)下的包過濾防

4、火墻，與大多數(shù)的Linux軟件一樣，這個(gè)包過濾防火墻是免費(fèi)的，它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 Iptables/netfilter包過濾防火墻其實(shí)是由兩個(gè)組件構(gòu)成的，一個(gè)是netfilter，一個(gè)是iptables。 iptables基礎(chǔ)規(guī)則（rules）鏈（chains）表（tables）iptables傳輸數(shù)據(jù)包的過程規(guī)則（rules） 規(guī)則（rules）其實(shí)就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般的定義為“如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過濾表中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)

5、議（如TCP、UDP、ICMP）和服務(wù)類型（如HTTP、FTP和SMTP）等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，iptables就根據(jù)規(guī)則所定義的方法來處理這些數(shù)據(jù)包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。 鏈（chains） 鏈（chains）是數(shù)據(jù)包傳播的路徑，每一條鏈其實(shí)就是眾多規(guī)則中的一個(gè)檢查清單，每一條鏈中可以有一條或數(shù)條規(guī)則。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)，iptables就會(huì)從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足，系統(tǒng)就會(huì)根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則iptables將繼續(xù)檢查

6、下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，iptables就會(huì)根據(jù)該鏈預(yù)先定義的默認(rèn)策略來處理數(shù)據(jù)包。 Input ouput forward表（tables）表（tables）提供特定的功能，iptables內(nèi)置了3個(gè)表，即filter表、nat表和mangle表，分別用于實(shí)現(xiàn)包過濾，網(wǎng)絡(luò)地址轉(zhuǎn)換和包重構(gòu)的功能。 1filter表2nat表3mangle表iptables傳輸數(shù)據(jù)包的過程 當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入網(wǎng)卡時(shí)，它首先進(jìn)入PREROUTING鏈，內(nèi)核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉(zhuǎn)送出去。 如果數(shù)據(jù)包就是進(jìn)入本機(jī)的，它就會(huì)沿著圖向下移動(dòng)，到達(dá)INPUT鏈。數(shù)據(jù)包到了INPUT鏈后，任何進(jìn)

7、程都會(huì)收到它。本機(jī)上運(yùn)行的程序可以發(fā)送數(shù)據(jù)包，這些數(shù)據(jù)包會(huì)經(jīng)過OUTPUT鏈，然后到達(dá)POSTROUTING鏈輸出。 如果數(shù)據(jù)包是要轉(zhuǎn)發(fā)出去的，且內(nèi)核允許轉(zhuǎn)發(fā)，數(shù)據(jù)包就會(huì)如圖10-4所示向右移動(dòng)，經(jīng)過FORWARD鏈，然后到達(dá)POSTROUTING鏈輸出。 關(guān)閉系統(tǒng)防火墻iptables命令格式iptables的使用關(guān)閉系統(tǒng)防火墻執(zhí)行“setup”命令啟動(dòng)文字模式配置實(shí)用程序，在“選擇一種工具”中選擇“防火墻配置”，然后選擇“運(yùn)行工具”按鈕 。出現(xiàn)防火墻的配置界面，將“安全級(jí)別”設(shè)為“禁用”，然后選擇“確定”即可。 iptables命令格式iptables的命令格式較為復(fù)雜，一般的格式如下：i

8、ptables -t表 -命令 匹配 操作1表選項(xiàng)表選項(xiàng)用于指定命令應(yīng)用于哪個(gè)iptables內(nèi)置表，iptables內(nèi)置包括filter表、nat表和mangle表。 iptables命令格式2命令選項(xiàng)命令說明-P或-policy 定義默認(rèn)策略-L或-list 查看iptables規(guī)則列表-A或append 在規(guī)則列表的最后增加1條規(guī)則-I或-insert 在指定的位置插入1條規(guī)則-D或-delete 從規(guī)則列表中刪除1條規(guī)則-R或-replace 替換規(guī)則列表中的某條規(guī)則-F或-flush 刪除表中所有規(guī)則-Z或-zero 將表中數(shù)據(jù)包計(jì)數(shù)器和流量計(jì)數(shù)器歸零iptables命令格式3匹配選

9、項(xiàng)匹配說明-i或-in-interface 指定數(shù)據(jù)包從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入，如ppp0、eth0和eth1等-o或-out-interface 指定數(shù)據(jù)包從哪塊網(wǎng)絡(luò)接口輸出，如ppp0、eth0和eth1等-p或-proto協(xié)議類型 指定數(shù)據(jù)包匹配的協(xié)議，如TCP、UDP和ICMP等-s或-source 指定數(shù)據(jù)包匹配的源地址-sport 指定數(shù)據(jù)包匹配的源端口號(hào)，可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口-d或-destination 指定數(shù)據(jù)包匹配的目標(biāo)地址-dport目標(biāo)端口號(hào)指定數(shù)據(jù)包匹配的目標(biāo)端口號(hào)，可以使用“起始端口號(hào):結(jié)束端口號(hào)”的格式指定一個(gè)范圍的端口iptabl

10、es命令格式4動(dòng)作選項(xiàng)動(dòng)作說明ACCEPT接受數(shù)據(jù)包DROP丟棄數(shù)據(jù)包REDIRECT將數(shù)據(jù)包重新轉(zhuǎn)向到本機(jī)或另一臺(tái)主機(jī)的某個(gè)端口，通常用功能實(shí)現(xiàn)透明代理或?qū)ν忾_放內(nèi)網(wǎng)某些服務(wù)SNAT源地址轉(zhuǎn)換，即改變數(shù)據(jù)包的源地址DNAT目標(biāo)地址轉(zhuǎn)換，即改變數(shù)據(jù)包的目的地址MASQUERADEIP偽裝，即是常說的NAT技術(shù)，MASQUERADE只能用于ADSL等撥號(hào)上網(wǎng)的IP偽裝，也就是主機(jī)的IP是由ISP分配動(dòng)態(tài)的；如果主機(jī)的IP地址是靜態(tài)固定的，就要使用SNATLOG日志功能，將符合規(guī)則的數(shù)據(jù)包的相關(guān)信息記錄在日志中，以便管理員的分析和排錯(cuò)iptables的使用 1定義默認(rèn)策略當(dāng)數(shù)據(jù)包不符合鏈中任一條規(guī)

11、則時(shí)，iptables將根據(jù)該鏈預(yù)先定義的默認(rèn)策略來處理數(shù)據(jù)包，默認(rèn)策略的定義格式如下。iptables -t表名 參數(shù)說明如下。 -t表名：指默認(rèn)策略將應(yīng)用于哪個(gè)表，可以使用filter、nat和mangle，如果沒有指定使用哪個(gè)表，iptables就默認(rèn)使用filter表。 ：定義默認(rèn)策略。 ：指默認(rèn)策略將應(yīng)用于哪個(gè)鏈，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。 ：處理數(shù)據(jù)包的動(dòng)作，可以使用ACCEPT（接受數(shù)據(jù)包）和DROP（丟棄數(shù)據(jù)包）。iptables的使用2查看iptables規(guī)則查看iptables規(guī)則的命令格式

12、為：iptables -t表名 鏈名參數(shù)說明如下。 -t表名：指查看哪個(gè)表的規(guī)則列表，表名用可以使用filter、nat和mangle，如果沒有指定使用哪個(gè)表，iptables就默認(rèn)查看filter表的規(guī)則列表。 ：查看指定表和指定鏈的規(guī)則列表。 鏈名：指查看指定表中哪個(gè)鏈的規(guī)則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING，如果不指明哪個(gè)鏈，則將查看某個(gè)表中所有鏈的規(guī)則列表。iptables的使用3增加、插入、刪除和替換規(guī)則相關(guān)規(guī)則定義的格式為：iptables -t表名 鏈名 規(guī)則編號(hào) -i | o 網(wǎng)卡名稱 -p 協(xié)議類

13、型 -s 源IP地址 | 源子網(wǎng) -sport 源端口號(hào) -d目標(biāo)IP地址 | 目標(biāo)子網(wǎng) -dport目標(biāo)端口號(hào) 參數(shù)說明如下。 -t表名：定義默認(rèn)策略將應(yīng)用于哪個(gè)表，可以使用filter、nat和mangle，如果沒有指定使用哪個(gè)表，iptables就默認(rèn)使用filter表。 -A：新增加一條規(guī)則，該規(guī)則將會(huì)增加到規(guī)則列表的最后一行，該參數(shù)不能使用規(guī)則編號(hào)。 -I：插入一條規(guī)則，原本該位置上的規(guī)則將會(huì)往后順序移動(dòng)，如果沒有指定規(guī)則編號(hào)，則在第一條規(guī)則前插入。 -D：從規(guī)則列表中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號(hào)加以刪除。iptables的使用 -R：替換某條規(guī)則，規(guī)則被替換并

14、不會(huì)改變順序，必須要指定替換的規(guī)則編號(hào)。 ：指定查看指定表中哪個(gè)鏈的規(guī)則列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。 規(guī)則編號(hào)：規(guī)則編號(hào)用于插入、刪除和替換規(guī)則時(shí)用，編號(hào)是按照規(guī)則列表的順序排列，規(guī)則列表中第一條規(guī)則的編號(hào)為1。 -i | o 網(wǎng)卡名稱：i是指定數(shù)據(jù)包從哪塊網(wǎng)卡進(jìn)入，o是指定數(shù)據(jù)包從哪塊網(wǎng)卡輸出。網(wǎng)卡名稱可以使用ppp0、eth0和eth1等。 -p 協(xié)議類型：可以指定規(guī)則應(yīng)用的協(xié)議，包含TCP、UDP和ICMP等。 -s 源IP地址 | 源子網(wǎng)：源主機(jī)的IP地址或子網(wǎng)地址。 -sport 源端口號(hào)：數(shù)據(jù)包的IP的源端口號(hào)。 -d目標(biāo)IP地址 | 目標(biāo)子網(wǎng)：目標(biāo)主機(jī)的IP地址或子網(wǎng)地址。 -dport目標(biāo)端口號(hào)：數(shù)據(jù)包的IP的目標(biāo)端口號(hào)。 ：處理數(shù)據(jù)包的動(dòng)作，各個(gè)動(dòng)作的詳細(xì)說明可以參考表10-3。iptables的使用4清除規(guī)則和計(jì)數(shù)器在新建規(guī)則時(shí)，往往需要清除原有的、舊的規(guī)則，以免它們影響新設(shè)定的規(guī)則。如果規(guī)則比較多，一條條刪除就會(huì)十分麻煩，這時(shí)可以使用iptables提供的