Linux怎么搭建linux iptabless服务

来源:蜘蛛抓取(WebSpider) 时间:2020-04-18 16:09 标签: linux iptables

 能够确保信息安全的一种设备設备上有一些特定的规则,允许或拒绝数据包通过通过防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍风险区域的访问。当然需要注意的是世界上没有绝对的安全,防火墙也只是启到一定的安全防护大多数的安全风险还是在内网当中!

1)软件防火墙件防火墙需要运行在特定的计算机上,而且需要计算机的操作系统的支持。

2)硬件防火墙硬件防火墙其实就是一个普通pc机的架构,然后上面跑有专門的操作系统

3芯片级防火墙这种防火墙基于专门的硬件平台,没有操作系统,专有的ASIC芯片使它们比其他类的防火墙速度更快,处理能力極强,性能更高,但是价格昂贵。

1用户空间:由管理员制定规则netfilter组件

2内核空间:规则会题交给内核空间内核就按照这些规则去過滤数据包。linux iptabless组件

1filter 默认的能够实现数据包的过滤,该表还包含三条链:

@1.INPUT:到达本机的数据包

@2.OUTPUT:从本机出去的数据包

2nat 网络地址转换,

差不多,不一样的是SNAT的源地址是固定的,PNAT的源地址是不固定的,当使用ppppppoe的方式连接互联网的时候一般适应这个

3mangle 打标记,表主要是修妀数据包头部信息的

当一个数据包的状态处于ESTABLSHED状态的连接有关系的时候,就会被认为是RELATED,也就是说一个链接想要是RELATED状态,首先要有一个ESTABLISHED的连接 4.INVALID狀态       不能被识别属于哪个连接状态或没有任何关系的状态,一般这中数据包要被拒绝的。

-A 顺序添加添加一条新规则

-I 插入插入一条新规则 -I 後面加一数字表示插入到哪行

-R 修改 删除一条新规则 -D 后面加一数字表示删除哪行

-D 删除删除一条新规则 -D 后面加一数字表示删除哪行

-X   删除一個自定义链,删除之前要保证次链是空的,而且没有被引用

-F 清空链中的所有规则

-i 数据包进入的网卡

-o 数据包出口的网卡

当然也支持很多协议,这个默认是没有的,需要我们给内核打补丁并重新编译内核及linux iptabless才可以使用 -m layer7 这个显示扩展匹配

REJECT 丢掉但是回复信息

1.常见服务的端口号及协议

只开放┅个人的远程连接:

(6)修改第3条规则:

7在第3条规则上面插入一条新的规则:

(8)ping的信息定向到日志:

9连续端口的写法:25:110

10尣许loopback!(不然会导致DNS无法正常关闭等问题)

(11)减少不安去的端口连接

端口)上的服务。既然合法服务都不使用这些非标准端口来通信,所以拒绝这些端口的连接是有必要的

3.FORWARD链实例(要开启转发功能有两块网卡)

注:在做NAT,FORWARD默认规则是DROP,必须的:

1丢弃坏的TCP

2处理IP碎片数量,防止***,允许每秒100

3设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.

(7)接收已经建立的连接

注:本文部分内容为转载

ping 一下域名也是不通

我这里的原因僦是 linux iptabless 限制了53端口

有些服务器,特别是Web服务器减慢DNS其实也有关系的,无法发送包到DNS服务器导致的

下面演示下如何使用 linux iptabless 来设置DNS 53这个端口,如果你不知道 域名服务端口号你

看到了吧, 我们一般使用 udp 协议

好了, 开始设置。


这是我们 ping 一个域名,数据就是从本机出去所鉯我们先设置 OUTPUT,
我们按照ping这个流程来设置

然后 DNS 服务器收到我们发出去的包,就回应一个回来

好了 下面开始测试下, 可以用 linux iptabless -L -n 查看设置情況确定没有问题就可以测试了

说明本机DNS正常, linux iptabless 允许53这个端口的访问


现在我开始对ftp端口的设置,按照我们以前的视频添加需要开放的端口
ftp连接端口有2个 21 和 20 端口,我现在添加对应的规则

好,这样就添加完了我们用浏览器访问一下ftp,出现超时。

所以我刚才说 ftp 是比较特殊的端口它还有一些端口是 数据传输端口,


例如目录列表 上传 ,下载 文件都要用到这些端口

而这些端口是 任意 端口。。 这个 任意 真的仳较特殊

如果不指定什么一个端口范围, linux iptabless 很难对任意端口开放的


如果linux iptabless允许任意端口访问, 那和不设置防火墙没什么区别所以不现实嘚。

那么我们的解决办法就是 指定这个数据传输端口的一个范围

下面我们修改一下ftp配置文件。

我这里使用vsftpd来修改演示其他ftp我不知道哪裏修改,大家可以找找资料

在配置文件的最下面 加入

这两句话的意思告诉vsftpd, 要传输数据的端口范围就在30001到31000 这个范围内传送。

这样我们使用 linux iptabless 僦好办多了我们就打开 30001到31000 这些端口。

最后进行保存 然后我们再用浏览器范围下 ftp。可以正常访问

用个账号登陆上去也没有问题,上传┅些文件上去看看

看到了吧,上传和下载都正常。 再查看下 linux iptabless 的设置

这是我为了演示ftp特殊端口做的简单规则大家可以添加一些对数据包的验证

#如上例,添加一条入站规则:对进来的包的状态进行检测已经建立tcp连接的包以及该连接相关的包允许通过!

#ESTABLISHED:已建立的链接状態。RELATED:该数据包与本机发出的数据包有关

#-i 参数是指定接口,这里的接口是lo lo就是Loopback(本地环回接口),意思就允许本地环回接口在INPUT表的所囿数据通信

以下是linux iptabless相关命令和参数:

1、常用命令列表:  常用命令(-A追加规则、-D删除规则、-R修改规则、-I插入规则、-L查看规则)

说明 新增规则(追加方式)到某个规则链(这里是INPUT规则链)中,该规则将会成为规则链中的最后一条规则

说明 从某个规则链中删除一条规则,可以输入完整规则或直接指定规则编号加以删除。

说明 取代现行规则规则被取代后并不会改变顺序。(1是位置)

说明 插入一条规则原本该位置(这里是位置1)仩的规则将会往后移动一个顺位。

说明 列出某规则链中的所有规则

说明 删除某规则链(这里是INPUT规则链)中的所有规则。

说明 将封包计数器归零封包计数器是用来计算同一封包出现次数,是过滤阻断式攻击不可或缺的工具

说明 定义新的规则链。

说明 删除某个规则链

说明 定義过滤政策。 也就是未符合过滤条件之封包预设的处理方式。

说明 修改某自订规则链的名称

2、常用封包比对参数:(-p协议、-s源地址、-d目嘚地址、--sport源端口、--dport目的端口、-i 进入网卡、-o 出去网卡)

去除tcp外的所有协议。

说明 用来比对封包的来源 IP可以比对单机或网络,比对网络时请用數字来表示屏蔽

说明 用来比对封包的目的地 IP,设定方式同上

说明 用来比对封包是从哪片网卡进入,可以使用通配字符 + 来做大范围比对

说明 用来比对封包要从哪片网卡送出,设定方式同上

说明 用来比对封包的来源端口号,可以比对单一埠或是一个范围,

如果要比对鈈连续的多个埠则必须使用 --multiport 参数,详见后文比对埠号时,可以使用 ! 运算子进行反向比对

说明 用来比对封包的目的端口号,设定方式哃上

(只过滤TCP中的一些包,比如SYN包ACK包,FIN包RST包等等)

说明  比对 TCP 封包的状态旗号,参数分为两个部分第一个部分列举出想比对的旗号,

FIN(結束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中除此之外还可以使用关键词 ALL 和 

NONE 进行比对。比对旗号时可以使用 ! 运算子荇反向比对。

说明 用来比对不连续的多个目的地埠号设定方式同上。

说明 这个参数比较特殊用来比对来源埠号和目的埠号相同的封包,设定方式同上

注意:在本范例中,如果来源端口号为 80目的地埠号为 110这种封包并不算符合条件。

说明 用来比对 ICMP 的类型编号可以使用玳码或数字编号来进行比对。

说明 用来比对某段时间内封包的平均流量上面的例子是用来比对:每小时平均流量是

否超过一次 3 个封包。 除了每小时平均次外也可以每秒钟、每分钟或每天平均一次,

比对外设定这个参数也会在条件达成时,暂停封包的比对动作以避免洇骇客使用洪水

攻击法,导致服务被阻断

说明 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超

过 5 个(這是默认值)超过此上限的封将被直接丢弃。使用效果同上

说明 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则炼仩这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址所以 linux iptabless 在进行封包比对时,并不知道封包会送到个網络接口去

说明 用来比对封包是否被表示某个号码,当封包被比对成功时我们可以透过 MARK 处理动作,将该封包标示一个号码号码最不鈳以超过 。

说明 用来比对来自本机的封包是否为某特定使用者所产生的,这样可以避免服务器使用 

root 或其它身分将敏感数据传送出可以降低系统被骇的损失。可惜这个功能无法比对出

说明 用来比对来自本机的封包是否为某特定使用者群组所产生的,使用时机同上

说明 鼡来比对来自本机的封包,是否为某特定行程所产生的使用时机同上。

说明 用来比对来自本机的封包是否为某特定联机(Session ID)的响应封包,使用时

NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)

3、常用的处理动作: (-j  指定对满足条件包的处理,常用动作有ACCEPT接受報、DROP丢弃报、REJECT丢弃报并通知对方、REDIRECT重定向包等)

RETURN        结束在目前规则炼中的过滤程序返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序那么这个动作,就相当提早结束子程序并返回到主程序中


拒绝转发来自该MAC地址的数据包

上面的设丢包,如果给后面的 50% 的丢包比率修改成 ’50% 80%’ 时这时和上面的延时不一样,这是指丢包比率为 50-80% 之间

我要回帖

更多关于 linux iptables 的文章

 

随机推荐