一、安全技术和防火墙
1.安全技术
- 入侵检测系统(lntrusion Detection Systems)
- 入侵防御系统(lntrusion Prevention System)
- 防火墙(Firewalld)
- 防水墙(Waterwall)
2.防火墙分类
- 按保护范围划分:
主机防火墙:服务范围为当前一台主机
网络防火墙:服务范围为防火墙一侧的局域网
- 按实现方式划分:
硬件防火墙:在专用硬件级别实现部分功能的防火墙
软件防火墙:运行于通用硬件平台之上的防火墙的应用软件
- 按网络协议划分:
网络层防火墙:OSI模型下四层,又称为包过滤防火墙
应用层防火墙/代理服务器:proxy 代理网关,OSI模型七层
二、Linux防火墙的基本认识
1.Netfilter
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中。
2.防火墙工具
- iptables
- firewalld
- nftables
3.Netfilter中五个钩子函数和报文流向
Netfilter在内核中选取五个位置放了五个hook function勾子函数——INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING ,而这五个hook function向用户开放,用户可以通过一个命令工具iptables向其写入规则。
三种报文流向:
- 流入本机:PREROUTING --> INPUT-->用户空间进程(访问我的服务)
- 流出本机:用户空间进程 -->OUTPUT--> POSTROUTING(穿过我)
- 转发:PREROUTING --> FORWARD --> POSTROUTING(分摊流量)
三、iptables
1.iptables概述
iptables是Linux系统的防火墙, IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
iptables 属于“用户态”(User Space, 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
2.iptables的表、链结构(四表五链)
表中有链,链中有规则
- 表的作用:规定了如何处理数据包
- 链的作用:容纳各种防火墙规则
- 规则的作用:对数据包进行过滤或处理
四表
ptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
| 表名 | 作用 |
|---|---|
| raw | 是否跟踪数据流量 |
| mangle | 是否标记数据流量 |
| nat | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口 |
| filter | (是防火墙的默认表)负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链:PREROUTING、POSTROUTING、OUTPUT |
五链
| 链名 | 作用 |
|---|---|
| input | 处理需要进入本机的流量 |
| output | 处理从本机出来的流量,一般不在此链上做配置 |
| forward | 处理需要被本机转发的流量 |
| prerouting | 处理在路由判断前的数据,在不明确是给本机的数据还是转发给别的机器的数据前就进行处理 |
| postrouting | 处理在路由判断后的数据包,明确是给自己还是给别人的数据后 进行处理 |
内核中数据包的传输过程
1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去;
2.如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达;
3.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
3.实际操作
iptables语法
命令格式:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
点击查看代码
管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等;
匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;
控制类型:指的是数据包的处理方式,如允许、拒绝、丢弃等。
`注意事项:`
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
- 管理选项
| 管理选项 | 用法示例 |
|---|---|
| -A | 在指定链末尾追加一条 iptables -A INPUT (操作) |
| -I | 在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT 编号(操作) |
| -P | 指定默认规则 iptables -P OUTPUT ACCEPT (操作) |
| -D | 删除 iptables -t nat -D INPUT 2 (操作) |
| -p | 服务名称 icmp tcp-R修改、替换某一条规则 iptables -t nat -R INPUT (操作) |
| -L | 查看 iptables -t nat -L (查看) |
| -n | 所有字段以数字形式显示(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n,iptables -nL,iptables -vnL (查看) |
| -v | 查看时显示更详细信息,常跟-L一起使用 (查看) |
| --line-number | 规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number |
| -F | 清除链中所有规则 iptables -F (操作) |
| -N | 新加自定义链-X清空自定义链的规则,不影响其他链 iptables -X |
| -Z | 清空链的计数器(匹配到的数据包的大小和总和)iptables -Z |
| -S | 看链的所有规则或者某个链的规则/某个具体规则后面跟编号 |
- 匹配条件
| 通用匹配 | |
|---|---|
| 协议匹配 | -p 协议名 |
| 地址匹配 | -s 源地址、-d目的地址 【可以是IP、网段、域名、空(任何地址)】 |
| 接口匹配 | -i入站网卡、-o出站网卡 |
| 端口号匹配 | --sport 指定源端口号 、--dport 指定目的端口号 |
- 控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables 防火墙体系中,最常用的几种控制类型如下:
| 控制类型 | 作用ACCEPT允许数据包通过 |
|---|---|
| DROP | 直接丢弃数据包,不给出任何回应信息 |
| REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应信息 |
| LOG | 在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则 |
| SNAT | 修改数据包的源地址 |
| DNAT | 修改数据包的目的地址 |
| MASQUERADE | 伪装成一个非固定公网IP地址 |
防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助 动作,并没有真正处理数据包。
查看规则表
iptables -vnL
iptables -vnL --line-numbers
点击查看代码
[root@node1 ~]# iptables -vnL //查看规则表,L写最后
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) //input链,默认规则允许
pkts bytes target prot opt in out source destination //规则
#包数 字节数 目标地址 协议 进 出 源地址 目的地址
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@node1 ~]# iptables -vnL --line-numbers //显示各条规则在链内的顺序号