Linux安全檢測及防護(hù)-PPT06-V1.0

第六章iptables防火墻（一）——理論部分有哪些方法可以禁止root遠(yuǎn)程登錄SSH服務(wù)器？如何使用scp命令遠(yuǎn)程復(fù)制文件？TCPWrappers的策略配置文件是什么？課程回顧熟悉Linux防火墻的表、鏈結(jié)構(gòu)理解數(shù)據(jù)包匹配的基本流程學(xué)會編寫iptables規(guī)則技能展示本章結(jié)構(gòu)iptables防火墻(一)iptables的表、鏈結(jié)構(gòu)數(shù)據(jù)包控制的匹配流程添加、查看、刪除規(guī)則規(guī)則的匹配條件Linux防火墻基礎(chǔ)基本語法、控制類型編寫防火墻規(guī)則netfilter位于Linux內(nèi)核中的包過濾功能體系稱為Linux防火墻的“內(nèi)核態(tài)”iptables位于/sbin/iptables，用來管理防火墻規(guī)則的工具稱為Linux防火墻的“用戶態(tài)”——上述2種稱呼都可以表示Linux防火墻Linux包過濾防火墻概述2-1包過濾的工作層次主要是網(wǎng)絡(luò)層，針對IP數(shù)據(jù)包體現(xiàn)在對包內(nèi)的IP地址、端口等信息的處理上Linux包過濾防火墻概述2-2鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用代理鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層外部網(wǎng)絡(luò)網(wǎng)絡(luò)層防火墻受保護(hù)網(wǎng)絡(luò)規(guī)則鏈規(guī)則的作用：對數(shù)據(jù)包進(jìn)行過濾或處理鏈的作用：容納各種防火墻規(guī)則鏈的分類依據(jù)：處理數(shù)據(jù)包的不同時機默認(rèn)包括5種規(guī)則鏈INPUT：處理入站數(shù)據(jù)包OUTPUT：處理出站數(shù)據(jù)包FORWARD：處理轉(zhuǎn)發(fā)數(shù)據(jù)包POSTROUTING鏈：在進(jìn)行路由選擇后處理數(shù)據(jù)包PREROUTING鏈：在進(jìn)行路由選擇前處理數(shù)據(jù)包iptables的表、鏈結(jié)構(gòu)3-1規(guī)則表表的作用：容納各種規(guī)則鏈表的劃分依據(jù)：防火墻規(guī)則的作用相似默認(rèn)包括4個規(guī)則表raw表：確定是否對該數(shù)據(jù)包進(jìn)行狀態(tài)跟蹤mangle表：為數(shù)據(jù)包設(shè)置標(biāo)記nat表：修改數(shù)據(jù)包中的源、目標(biāo)IP地址或端口filter表：確定是否放行該數(shù)據(jù)包（過濾）iptables的表、鏈結(jié)構(gòu)3-2默認(rèn)的表、鏈結(jié)構(gòu)示意圖iptables的表、鏈結(jié)構(gòu)3-3filter

表第1條規(guī)則

第2條規(guī)則

第3條規(guī)則

……INPUT鏈……FORWARD鏈……OUTPUT鏈mangle表PREROUTING鏈……POSTROUTING鏈……INPUT鏈……OUTPUT鏈……FORWARD鏈……raw表PREROUTING鏈……OUTPUT鏈……nat表PREROUTING鏈……POSTROUTING鏈……OUTPUT鏈……規(guī)則表之間的順序raw

mangle

nat

filter規(guī)則鏈之間的順序入站：PREROUTING

INPUT出站：OUTPUT

POSTROUTING轉(zhuǎn)發(fā)：PREROUTING

FORWARD

POSTROUTING規(guī)則鏈內(nèi)的匹配順序按順序依次檢查，匹配即停止（LOG策略例外）若找不到相匹配的規(guī)則，則按該鏈的默認(rèn)策略處理數(shù)據(jù)包過濾的匹配流程2-1匹配流程示意圖數(shù)據(jù)包過濾的匹配流程2-2本機的應(yīng)用進(jìn)程mangle：POSTROUTINGmangle：FORWARDraw：PREROUTINGraw：OUTPUTmangle：INPUT轉(zhuǎn)發(fā)數(shù)據(jù)流向入站數(shù)據(jù)流向網(wǎng)絡(luò)A網(wǎng)絡(luò)Bmangle：PREROUTINGnat：PREROUTINGnat：POSTROUTINGfilter：INPUTmangle：OUTPUTnat：OUTPUTfilter：OUTPUT路

由

選

擇filter：FORWARD路

由

選

擇出站數(shù)據(jù)流向請思考：Linux防火墻默認(rèn)包括哪幾個表、哪幾種鏈？對于轉(zhuǎn)發(fā)的數(shù)據(jù)包，會經(jīng)過哪幾種鏈的處理？在同一個規(guī)則鏈內(nèi)，規(guī)則匹配的特點是什么？小結(jié)語法構(gòu)成iptables[-t表名]選項[鏈名][條件][-j控制類型]iptables的基本語法2-1[root@localhost~]#iptables-tfilter-IINPUT-picmp-jREJECTC:\Users\Administrator>ping192.168.4.254正在Ping192.168.4.254具有32字節(jié)的數(shù)據(jù):來自192.168.4.254的回復(fù):無法連到端口。來自192.168.4.254的回復(fù):無法連到端口。……阻止ping測試幾個注意事項不指定表名時，默認(rèn)指filter表不指定鏈名時，默認(rèn)指表內(nèi)的所有鏈除非設(shè)置鏈的默認(rèn)策略，否則必須指定匹配條件選項、鏈名、控制類型使用大寫字母，其余均為小寫數(shù)據(jù)包的常見控制類型ACCEPT：允許通過DROP：直接丟棄，不給出任何回應(yīng)REJECT：拒絕通過，必要時會給出提示LOG：記錄日志信息，然后傳給下一條規(guī)則繼續(xù)匹配iptables的基本語法2-2添加新的規(guī)則-A：在鏈的末尾追加一條規(guī)則-I：在鏈的開頭（或指定序號）插入一條規(guī)則iptables的管理選項5-1[root@localhost~]#iptables-tfilter-AINPUT-ptcp-jACCEPT[root@localhost~]#iptables-IINPUT-pudp-jACCEPT[root@localhost~]#iptables-IINPUT2-picmp-jACCEPT-p用來指定協(xié)議查看規(guī)則列表-L：列出所有的規(guī)則條目-n：以數(shù)字形式顯示地址、端口等信息-v：以更詳細(xì)的方式顯示規(guī)則信息--line-numbers：查看規(guī)則時，顯示規(guī)則的序號iptables的管理選項5-2[root@localhost~]#iptables-LINPUT--line-numbersChainINPUT(policyACCEPT)numtargetprotoptsourcedestination1ACCEPTudp--anywhereanywhere2ACCEPTicmp--anywhereanywhere3REJECTicmp--anywhereanywherereject-withicmp-port-unreachable4ACCEPTtcp--anywhereanywhere[root@localhost~]#iptables-n

-LINPUTChainINPUT(policyACCEPT)targetprotoptsourcedestinationACCEPTudp--0.0.0.0/00.0.0.0/0ACCEPTicmp--0.0.0.0/00.0.0.0/0REJECTicmp--0.0.0.0/00.0.0.0/0reject-withicmp-port-unreachableACCEPTtcp--0.0.0.0/00.0.0.0/0-n-L可合寫為-nL刪除、清空規(guī)則-D：刪除鏈內(nèi)指定序號（或內(nèi)容）的一條規(guī)則-F：清空所有的規(guī)則iptables的管理選項5-3[root@localhost~]#iptables-DINPUT3[root@localhost~]#iptables-n-LINPUTChainINPUT(policyACCEPT)targetprotoptsourcedestinationACCEPTudp--0.0.0.0/00.0.0.0/0ACCEPTicmp--0.0.0.0/00.0.0.0/0ACCEPTtcp--0.0.0.0/00.0.0.0/0[root@localhost~]#iptables-F[root@localhost~]#iptables-tnat-F[root@localhost~]#iptables-tmangle-F[root@localhost~]#iptables-traw-F清空所有表的所有鏈設(shè)置默認(rèn)策略-P：為指定的鏈設(shè)置默認(rèn)規(guī)則iptables的管理選項5-4[root@localhost~]#iptables-tfilter-PFORWARDDROP[root@localhost~]#iptables-POUTPUTACCEPT默認(rèn)策略要么是ACCEPT、要么是DROP常用管理選項匯總iptables的管理選項5-5類別選項用途添加新的規(guī)則-A在鏈的末尾追加一條規(guī)則-I在鏈的開頭（或指定序號）插入一條規(guī)則查看規(guī)則列表-L列出所有的規(guī)則條目-n以數(shù)字形式顯示地址、端口等信息-v以更詳細(xì)的方式顯示規(guī)則信息--line-numbers查看規(guī)則時，顯示規(guī)則的序號刪除、清空規(guī)則-D刪除鏈內(nèi)指定序號（或內(nèi)容）的一條規(guī)則-F清空所有的規(guī)則設(shè)置默認(rèn)策略-P為指定的鏈設(shè)置默認(rèn)規(guī)則通用匹配可直接使用，不依賴于其他條件或擴展包括網(wǎng)絡(luò)協(xié)議、IP地址、網(wǎng)絡(luò)接口等條件隱含匹配要求以特定的協(xié)議匹配作為前提包括端口、TCP標(biāo)記、ICMP類型等條件顯式匹配要求以“-m擴展模塊”的形式明確指出類型包括多端口、MAC地址、IP范圍、數(shù)據(jù)包狀態(tài)等條件規(guī)則的匹配條件5-1常見的通用匹配條件協(xié)議匹配：-p協(xié)議名地址匹配：-s源地址、-d目的地址接口匹配：-i入站網(wǎng)卡、-o出站網(wǎng)卡規(guī)則的匹配條件5-2[root@localhost~]#iptables-IINPUT-picmp-jDROP[root@localhost~]#iptables-AFORWARD-p!icmp-jACCEPT

嘆號!表示條件取反[root@localhost~]#iptables-AFORWARD-s192.168.1.11-jREJECT[root@localhost~]#iptables-IIN