IPtables配置实践

IPtables配置实践

前言

在大企业中防火墙角色主要交给硬件来支持,效果自然没话说只是需要增加一点点成本,但对于大多数个人或者互联网公司来说选择系统自带的iptables或者第三方云防火墙似乎是更加合适的选择,通过一些合理的优化和灵活的配置,我们也可以很轻松实现硬件防火墙的部分功能,够用就好。

建立防火墙白名单机制很重要


更新历史

2015年07月24日 – 初稿

阅读原文 – http://wsgzao.github.io/post/iptables/

扩展阅读

防火墙与 NAT 服务器 – http://vbird.dic.ksu.edu.tw/linux_server/0250simple_firewall_3.php
Linux 防火墙和 iptables – http://liaoph.com/iptables/


基础知识

原理部分请参考扩展阅读

关闭iptables

/etc/init.d/iptables stop
chkconfig iptables off

 

基础语法

#规则的观察与清除

     iptables [-t tables] [-L] [-nv]

选项与参数:
-t :后面接 table ,例如 nat 或 filter ,若省略此项目,则使用默认的 filter
-L :列出目前的 table 的规则
-n :不进行 IP 与 HOSTNAME 的反查,显示讯息的速度会快很多!
-v :列出更多的信息,包括通过该规则的封包总位数、相关的网络接口等

     iptables [-t tables] [-FXZ]

选项与参数:
-F :清除所有的已订定的规则;
-X :杀掉所有使用者 "自定义" 的 chain (应该说的是 tables )啰;
-Z :将所有的 chain 的计数与流量统计都归零


#封包的基础比对:IP, 网域及接口装置

    iptables [-AI 链名] [-io 网络接口] [-p 协议] [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]

选项与参数:
-AI 链名:针对某的链进行规则的 "插入" 或 "累加"
    -A :新增加一条规则,该规则增加在原本规则的最后面。例如原本已经有四条规则,
         使用 -A 就可以加上第五条规则!
    -I :插入一条规则。如果没有指定此规则的顺序,默认是插入变成第一条规则。
         例如原本有四条规则,使用 -I 则该规则变成第一条,而原本四条变成 2~5 号
    链 :有 INPUT, OUTPUT, FORWARD 等,此链名称又与 -io 有关,请看底下。

-io 网络接口:设定封包进出的接口规范
    -i :封包所进入的那个网络接口,例如 eth0, lo 等接口。需与 INPUT 链配合;
    -o :封包所传出的那个网络接口,需与 OUTPUT 链配合;

-p 协定:设定此规则适用于哪种封包格式
   主要的封包格式有: tcp, udp, icmp 及 all 。

-s 来源 IP/网域:设定此规则之封包的来源项目,可指定单纯的 IP 或包括网域,例如:
   IP  :192.168.0.100
   网域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。
   若规范为『不许』时,则加上 ! 即可,例如:
   -s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源;

-d 目标 IP/网域:同 -s ,只不过这里指的是目标的 IP 或网域。

-j :后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)

#TCP, UDP 的规则比对:针对端口设定

    iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s 来源IP/网域] [--sport 埠口范围] [-d 目标IP/网域] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]

选项与参数:
--sport 埠口范围:限制来源的端口号码,端口号码可以是连续的,例如 1024:65535
--dport 埠口范围:限制目标的端口号码。

#iptables 外挂模块:mac 与 state

    iptables -A INPUT [-m state] [--state 状态]

选项与参数:
-m :一些 iptables 的外挂模块,主要常见的有:
     state :状态模块
     mac   :网络卡硬件地址 (hardware address)
--state :一些封包的状态,主要有:
     INVALID    :无效的封包,例如数据破损的封包状态
     ESTABLISHED:已经联机成功的联机状态;
     NEW        :想要新建立联机的封包状态;
     RELATED    :这个最常用!表示这个封包是与我们主机发送出去的封包有关


#ICMP 封包规则的比对:针对是否响应 ping 来设计

    iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT

选项与参数:
--icmp-type :后面必须要接 ICMP 的封包类型,也可以使用代号,
              例如 8  代表 echo request 的意思。

 

配置iptables白名单机制

配置iptables白名单是相对简单有效的管理手段

#清除所有规则(慎用)
iptables -F
iptables -X
iptables -Z

#查看iptable和行号
iptables -nL --line-number

#保存当前防火墙配置
service iptables save

#手动编辑防火墙策略
vi /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Fri Jul 24 09:42:09 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#开放本地和Ping
-A INPUT -i lo -j ACCEPT  
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT
#配置内网白名单
-A INPUT -s 10.0.0.0/8 -j ACCEPT
-A INPUT -s 172.16.0.0/12 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT
#配置外网白名单
-A INPUT -s 180.168.36.198 -j ACCEPT 
-A INPUT -s 180.168.34.218 -j ACCEPT 
-A INPUT -s 222.73.202.251 -j ACCEPT 
#控制端口
-A INPUT -p tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp --dport 22 -j ACCEPT
#拒绝其它
-A INPUT -j DROP 
-A FORWARD -j DROP 
#开放出口
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Fri Jul 24 09:40:16 2015 

#重启生效
service iptables restart

#复查结果

iptables -nL --line-number

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
3    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
4    ACCEPT     all  --  10.0.0.0/8           0.0.0.0/0           
5    ACCEPT     all  --  172.16.0.0/12        0.0.0.0/0           
6    ACCEPT     all  --  192.168.0.0/16       0.0.0.0/0           
7    ACCEPT     all  --  180.168.36.198       0.0.0.0/0           
8    ACCEPT     all  --  180.168.34.218       0.0.0.0/0           
9    ACCEPT     all  --  222.73.202.251       0.0.0.0/0           
10   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
12   DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

设置crontab脚本

便于运维集中化管理扩展

vi /root/start_iptables.sh

#!/bin/bash
#0 0 * * * /root/start_iptables.sh

#清除配置
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -F
/sbin/iptables -X
#开放本地和Ping
/sbin/iptables -A INPUT -i lo -j ACCEPT  
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
/sbin/iptables -A INPUT -p icmp -j ACCEPT
#配置内网白名单
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
#配置外网白名单
/sbin/iptables -A INPUT -s 180.168.36.198 -j ACCEPT 
/sbin/iptables -A INPUT -s 180.168.34.218 -j ACCEPT 
/sbin/iptables -A INPUT -s 222.73.202.251 -j ACCEPT 
#控制端口
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#拒绝其它
/sbin/iptables -A INPUT -j DROP 
/sbin/iptables -A FORWARD -j DROP 
#开放出口
/sbin/iptables -A OUTPUT -j ACCEPT 


chmod 755 /root/start_iptables.sh
crontab -e
0 0 * * * /root/start_iptables.sh

via: http://wsgzao.github.io/

iptables的基本操作

系统环境:Debian 6 32-bit
iptables版本:1.4.8

iptables -N cracker
创建一个名为cracker的新链

iptables -A INPUT
在INPUT链的最末尾添加一条规则

iptables -I INPUT 3
在INPUT链的第三条规则处插入一条规则(如果不指定插入的位置,则插到INPUT链的最前面,即成为INPUT链的第一条规则)

iptables -R INPUT 3
替换INPUT链中的第三条规则

iptables -D INPUT 3
删除INPUT链中的第三条规则

iptables -F
清空iptables定义的所有规则

iptables -F cracker
清空cracker链中的所有规则

iptables -X
删除所有自定义链(前提是所有自定义链中的规则已清空)

iptables -X cracker
删除自定义链cracker(前提是当前链中的所有规则已清空)

iptables -L -vn –line-numbers
以数字的方式详细显示各条规则的统计数据,并显示各条规则的编号

iptables -L INPUT -vn –line-numbers
以数字的方式详细INPUT链中各条规则的统计数据,并显示各条规则的编号

iptables -Z
清空iptables统计数据

iptables -Z INPUT
清空INPUT链中的统计数据

iptables -P
设置链的默认动作

iptables-save > /etc/firewall
将当前内存中的iptables规则保存到/etc/firewall文件中

iptables-restore 将/etc/firewall文件中的iptables规则加载到内存中

iptables规则实例:
iptables -P INPUT ACCEPT
将INPUT链的默认target设为ACCEPT

iptables -A INPUT -d 11.11.11.11 -m state –state INVALID -j DROP
将所有目的地址为11.11.11.11且状态为INVALID的数据包直接丢弃

iptables -A INPUT -i lo -j ACCEPT
接受所有来自lo接口的数据包

iptables -A INPUT -j cracker
将所有数据直接交个cracker链

iptables -A INPUT -d 11.11.11.11 -p icmp –icmp-type echo-request -m state –state NEW -j ACCEPT
接受所有目的地址为11.11.11.11且协议为icmp、icmp类型为echo-request、连接状态为NEW的数据包

iptables -A INPUT -d 11.11.11.11 -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT
接受所有目的地址为11.11.11.11且协议为tcp、目的端口为22、连接状态为NEW的数据包

iptables -A INPUT -d 11.11.11.11 -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT
接受所有目的地址为11.11.11.11且协议为tcp、目的端口为80、连接状态为NEW的数据包

iptables -A INPUT -d 11.11.11.11 -m state –state RELATED,ESTABLISHED -j ACCEPT
接受所有目的地址为11.11.11.11且连接状态为RELATED或ESTABLISHED的数据包(此规则放在倒数第三条,放在前面会影响recent、limit等模块的效果)

iptables -A INPUT -j LOG –log-prefix “GOD-IN: ”
对所有通过INPUT链的数据生成日志,且日志前缀为”GOD-IN”,日志等级为warn(warn也是默认等级,对应的数字为4),被LOG的数据包会继续向下匹配规则(此规则放在倒数第二条,方便记录所有丢弃的数据包)

iptables -A INPUT -j DROP
对于所有通过INPUT链的数据包执行丢弃动作(因默认target的统计不准,所以我一般将此规则加到INPUT链的末尾,这样所有数据包就不会匹配INPUT链的默认target了)

iptables -A OUTPUT -s 11.11.11.11 -m state –state INVALID -j DROP
丢弃所有源为11.11.11.11且状态为INVALID的数据包

iptables -A OUTPUT -o lo -j ACCEPT
允许所有来自lo接口的数据包出去

iptables -A OUTPUT -s 11.11.11.11 -p icmp -m state –state NEW -m icmp –icmp-type 8 -j ACCEPT
允许所有源为11.11.11.11且协议为icmp、icmp类型为echo-request、状态为NEW的数据包出去

iptables -A OUTPUT -s 11.11.11.11 -p tcp -m state –state NEW -m tcp –dport 25 -j ACCEPT
允许所有源为11.11.11.11且协议为tcp、目的端口为25、状态为NEW的数据包出去

iptables -A OUTPUT -s 11.11.11.11 -p tcp -m state –state NEW -m udp –dport 53 -j ACCEPT
允许所有源为11.11.11.11且协议为udp、目的端口为53、状态为NEW的数据包出去

iptables -A OUTPUT -s 11.11.11.11 -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT
允许所有源为11.11.11.11且协议为tcp、目的端口为80、状态为NEW的数据包出去

iptables -A OUTPUT -s 11.11.11.11 -m state –state RELATED,ESTABLISHED -j ACCEPT
允许所有源为11.11.11.11且状态为RELATED或ESTABLISHED的数据包出去

iptables -A OUTPUT -j LOG –log-prefix “GOD-OUT: ”
对所有通过OUTPUT链的数据生成日志,且日志前缀为”GOD-OUT”,日志等级为warn

iptables -A OUTPUT -j DROP
对于所有通过OUTPUT链的数据包执行丢弃动作

查看连接跟踪状态:
cat /proc/net/nf_conntrack

iptables1.4.8之前的某些比较老版本为
cat /proc/net/ip_conntrack

备注:
1.iptables是按顺序向下执行的,如果一个数据包匹配了ACCEPT、DROP、REJECT等动作,就不会再向下去匹配其他的规则了
2.发送连接重置包比直接将数据包丢弃要好,因为如果是直接丢弃数据包的话客户端并不知道具体网络状况,基于TCP协议的重发和超时机制,客户端就会不停地等待和重发加重服务器的负担