3.规则表
(1)表的作用:容纳各种规则链
(2)表的划分依据:防火墙规则的作用相似
4.4个规则表
(1)raw表:确定是否对该数据包进行状态跟踪
(2)mangle表:为数据包设置标记
(3)nat表:修改数据包中的源、目标IP地址或端口
(4)filter表:确定是否放行该数据包(过滤)
三、数据包过滤的匹配流程
1.规则表之间的顺序
raw> mangle > nat > filter
2.规则链之间的顺序
(1)入站: PREROUTING→INPUT
(2)出站: OUTPUT→POSTROUTING
(3)转发: PREROUTING→FORWARD→POSTROUTING
3.规则链内的匹配顺序
(1)按顺序依次检查,匹配即停止(LOG策略例外)
(2)若找不到相匹配的规则,则按该链的默认策略处理
四、安全技术和防火墙
1.安全技术
(1)入侵检测系统(Intrusion Detection Systems)
特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
(2)入侵防御系统(Intrusion Prevention System)
以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)
(3)防火墙( FireWall )
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.
2.防火墙的分类
(1)按保护范围划分
1)主机防火墙:服务范围为当前一台主机
2)网络防火墙:服务范围为防火墙一侧的局域网
(2)按实现方式划分
1)硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等
2)软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront
(3)按网络协议划分
1)网络层防火墙:OSI模型下四层,又称为包过滤防火墙
2)应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
(4)包过滤防火墙
网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制列表(ACL),通过检查数据流中每个数据的源地址,目的地址,所用端口号和协议状态等因素,或他们的组合来确定是否 允许该数据包通过。
优点:对用户来说透明,处理速度快且易于维护缺点:无法检查应用层数据,如病毒等。
缺点:无法检查应用层数据,如病毒等。
(5)应用层防火墙
应用层防火墙/代理服务型防火墙,也称为代理服务器(Proxy Server),将所有跨越防火墙的网络通信链路分为两段,内外网用户的访问都是通过代理服务器上的“链接”来实现优点:在应用层对数据进行检查,比较安全。
缺点:增加防火墙的负载。
提示:现实生产环境中所使用的防火墙一般都是二者结合体,即先检查网络数据,通过之后再送到应用层去检查。
3.防火墙工具介绍
(1)iptables
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。
(2)firewalld
从CentOS 7 版开始引入了新的前端管理工具
1)软件包:
①firewalld
②firewalld-config
2)管理工具:
①firewall-cmd 命令行工具
②firewall-config 图形工作
(3) nftables
此软件是CentOS 8 新特性,Nftables最初在法国巴黎的Netfilter Workshop 2008上发表,然后由长期的netfilter核心团队成员和项目负责人Patrick McHardy于2009年3月发布。它在2013年末合并到Linux内核中,自2014年以来已在内核3.13中可用。
它重用了netfilter框架的许多部分,例如连接跟踪和NAT功能。它还保留了命名法和基本iptables设计的几个部分,例如表,链和规则。就像iptables一样,表充当链的容器,并且链包含单独的规则,这些规则可以执行操作,例如丢弃数据包,移至下一个规则或跳至新链。
从用户的角度来看,nftables添加了一个名为nft的新工具,该工具替代了iptables,arptables和ebtables中的所有其他工具。从体系结构的角度来看,它还替换了内核中处理数据包过滤规则集运行时评估的那些部分。
(4)netfilter中五个勾子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。
由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。
提示:从 Linux kernel 4.2 版以后,Netfilter 在prerouting 前加了一个 ingress 勾子函数。可以使用这个新的入口挂钩来过滤来自第2层的流量,这个新挂钩比预路由要早,基本上是 tc 命令(流量控制工具)的替代品。
五、iptables
1.iptables的组成概述
Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,也因此获得广泛的应用。
netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
netfilter/iptables关系:
netfilter:属于“内核态”又称内核空间(kernel space)的防火墙功能体系。linux 好多东西都是内核态 用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables :属于“用户态”(User Space, 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
2.iptables组成
(1)五个表table:filter、nat、mangle、raw、security
1)filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表
2)nat:network address translation 地址转换规则表
3)mangle:修改数据标记位规则表
4)raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
5)security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现
(2)4条链:OUTPUT、FORWARD、PREROUTING、POSTROUTING
1)OUTPUT: 处理出站数据包,一般不在此链上做配置。
2)FORWARD: 处理转发数据包,匹配流经本机的数据包。
3)PREROUTING链: 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
4)POSTROUTING链: 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
3.数据包的常见控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中,最常用的几种控制类型如下
(1) ACCEPT:允许数据包通过。
(2) DROP:直接丢弃数据包,不给出任何回 应信息。
(3)REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息。
(4)LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。
(5) SNAT:修改数据包的源地址。
(6)DNAT:修改数据包的目的地址。
(7)MASQUERADE:伪装成一个非固定公网IP地址。
4.添加、查看、删除规则等基本操作
管理选项 | 用法示例 |
-A | 在指定链末尾追加一条 iptables -A INPUT (操作) |
-I | 在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT (操作) |
-P | 指定默认规则 iptables -P OUTPUT ACCEPT (操作) |
-D | 删除 iptables -t nat -D INPUT 2 (操作) |
-p | 服务名称 |
-R | 修改、替换某一条规则 iptables -t nat -R INPUT (操作) |
-L | 查看 iptables -t nat -L (查看) |
-n | 所有字段以数字形式显示(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n,iptables -nL,iptables -vnL (查看) |
-v | 查看时显示更详细信息,常跟-L一起使用 (查看) |
–line-number | 规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number |
-F | 清除链中所有规则 iptables -F (操作) |
-X | 清空自定义链的规则,不影响其他链 iptables -X |
-Z | 清空链的计数器(匹配到的数据包的大小和总和)iptables -Z |
-S | 看链的所有规则或者某个链的规则/某个具体规则后面跟编号 |
关闭防火墙
systemctl stop firewalld.service
systemctl disable firewalld.service
systemctl disable --now firewalld.service
开机不自启 并且立即关闭
systemctl enable --now firewalld.service
开机自启 并且立即开启
安装并启动
yum -y install iptables iptables-services
systemctl start iptables.service
systemctl enable iptables.service
iptables -L INPUT --line-numbers
iptables -vnL INPUT --line-numbers
iptables -nL INPUT
iptables -vnL INPUT
