您好,欢迎访问三七文档
Linux防火墙一、基本知识1、工作原理不阻止内部主动访问外部,但阻止外部主动访问内部。回应包不属于外主动访问内2、分类:分类一:硬件防火墙:思科、华3、天融信软件防火墙:windows防火墙ISA----升级到---TMG、iptables分类二(七层模型):应用网关防火墙:过滤应用层协议-------应用层包过滤防火墙:过滤IP、端口号、协议(tcp/udp)--------网络层Linux防火墙是典型的包过滤防火墙3、Linux包过滤防火墙概述Netfilter----内核级防火墙位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”-----框架,默认为空iptables位于/sbin/iptables,用来管理防火墙规则的工具------给框架写规则称为Linux防火墙的“用户态“包过滤的工作层次主要是网络层,针对IP数据包体现在对包内的IP地址、端口等信息的处理上4、Linux框架的四表五链四表raw:追踪流经防火墙的数据包,判断主动发出还是被动收回用于决定数据包是否被状态跟踪机制处理mangle:标记和标识,给数据包打标签对数据包进行特殊标记,结合这些标记可以在filter表中对数据包进行有选择性的处理nat:内外互访,网络防火墙,在网关上配置filter:过滤数据包,主机防火墙,在服务器主机上配置注:生成环境中raw和mangle不用,其功能用路由器替代五链PREROUTING:处理外部访问DMZ区的数据包POSTROUTING:处理LAN区访问WAN区的数据包OUTPUT:处理防火墙主动向外发送的数据包INPUT:处理进站的数据包FORWARD:转发链,处理源、目地址都不是防火墙,但必须流经防火墙的数据包注:内访外:先NAT再路由外访内:先路由再NAT5、QOS质量服务,所有流经路由器的数据包打标签,标明是什么包,然后排队有选择性的处理6、DHCP中继协议服务器上手动配置网关、IP,关闭不用的网卡yuminstalldhcp-yVim/etc/sysctl.conf(开启路由转发)sysctl-pvim/etc/sysconfig/dhcrelay#CommandlineoptionshereDHCRELAYARGS=#DHCPv4onlyINTERFACES=eth0eth1#DHCPv4onlyDHCPSERVERS=192.168.100.1(dhcp服务器地址)servicedhcrelayrestartchkconfigdhcrelayondhcrelay192.168.100.17、iptables的框架:表--链--规则二、主机防火墙(凡是未被明确允许的,一概拒绝)1、Linux防火墙开、关setup带*:开启不带*:关闭2、iptables命令的语法格式:iptables[-t表名]管理选项[链名][条件匹配][-j目标]iptables-tfilter-AINPUT-ptcp-s192.168.100.0/24--dport139-jACCEPT从serviceiptablesstartchkconfigiptableson1)管理选项查看规则:-nvLiptables-tfilter-nvL--line-numbers或iptables-nvL--line-numbers注:如果不写表名,默认查filter;清空规则后,默认允许ACCEPT;pktsbytes:这条规则一共处理了多少个数据包,以及多少字节in:从哪一个接口进来的out:从哪一个接口出去的--line-numbers显示序列号删除:-F(清除当前表中所有链的规则)iptables-tfilter-F-D删除指定行iptables-DINPUT3修改:-P:修改链的默认规则iptables-PINPUTDROP-A:在末尾添加规则iptables-tfilter-AINPUT-I:在行首添加规则iptables-tfilter-IINPUT添加到指定行iptables-IINPUT3-pudp-s192.168.100.0/24--dport137-jACCEPT.-R:修改现有规则iptables-IINPUT3-pudp-s192.168.100.0/24--dport1388-jACCEPT2)匹配条件协议:-pTCPUDPICMPIP:-s源地址允许访问的地址-d目标IPPort:--dport目标端口(d指目标destination)--sport源端口④多端口匹配使用“-mmultiport”结合“--sports源端口列表”或者“--dports目标端口列表”的形式多个端口之间使用逗号“,”分隔,连续的端口也可以使用“:”分隔-mmultiport--dports-mmultiport--sports(multi:多)-m加载扩展模块⑤IP地址范围匹配使用“-miprange”结合“--src-range源IP范围”或者“--dst-range目标IP范围”的形式以“-”符号连接起始IP地址、结束IP地址以连接Iptables-IINPUT-ptcp-miprange--src-range192.168.100.10-192.168.100.20--dport137-jACCEPT3)动作-jACCEPT允许DROP丢弃直接丢弃,ping的时候没反应REJECT拒绝在拒绝的同时回一个包,ping的时候提示:目标端口不可达4)防火墙规则导入、导出保存命令:iptables-save/etc/sysconfig/iptables还原命令:iptables-restore/etc/sysconfig/iptables3、实验先配置服务Dmz开启防火墙serviceiptablesstartchkconfigiptablesoniptables-Liptables-tfilter-Fiptables-PINPUTDROPiptables-Liptables-AINPUT-ptcp-s192.168.100.0/24--dport139-jACCEPTiptables-AINPUT-ptcp-s192.168.100.0/24--dport445-jACCEPTiptables-AINPUT-pudp-s192.168.100.0/24--dport137-jACCEPTiptables-AINPUT-pudp-s192.168.100.0/24--dport138-jACCEPTserviceiptablessave一定要记住serviceiptablesrestart防火墙规则保存位置:/etc/sysconfig/iptables内网所有服务策略:iptables-Fiptables-PINPUTDROPiptables-AINPUT-ptcp-mmultiport--dport139,445,20:21,2222:2225,53,80,3306,25,110,143,22-jACCEPTiptables-AINPUT-pudp-mmultiport--dport137,138,53-jACCEPTiptables-IINPUT-ptcp-mmultiport--sport25,110,143,80,53-jACCEPTiptables-AINPUT-ptcp-mmultiport--dport111,2049,875,32803,32769,892,662,2020-jACCEPTiptables-AINPUT-pudp-mmultiport--dport111,2049,875,32803,32769,892,662,2020-jACCEPTserviceiptablessaveserviceiptablesrestartiptables-nL
本文标题:iptables
链接地址:https://www.777doc.com/doc-2879274 .html