iptables/netfilter
netfilter: kernel framework,位于内核中的协议框架
iptables 是规则管理命令行工具
四表:filter, nat, mangle, raw
五链:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
iptables
子命令:
链:-F, -X, -N, -E, -Z, -P, -L
规则:-A, -I, -D, -R
-j TARGET:
ACCEPT, DROP, REJECT, RETURN, LOG, MARK, DNAT, SNAT, MASQUEARDE, ...
匹配标准:
- 通用匹配:-s, -d, -p, -i, -o
- 扩展匹配
- 隐含扩展:
- -p tcp: --dport, --sport, --tcp-flags, --syn (--tcp-flags SYN,ACK,FIN,RST SYN)
- -p udp: --dport, --sport
- -p icmp: --icmp-type
- 显式扩展: -m
iptables:
显式扩展:
multiport扩展、iprange扩展、string扩展、time扩展、connlimit扩展、limit扩展、state扩展
必须显式指明使用的扩展模块(rpm -ql iptables | grep ".so"或rpm -ql iptables | grep "[[:lower:]]+.so$")
CentOS 6: man iptables
CentOS 7: man iptables-extensions
1、multiport扩展 (--dport/--sport指明端口时必须是单个的或连续的)
以离散方式定义多端口匹配;最多指定15个端口;
[!] --source-ports,--sports port[,port|,port:port]...:指明多个源端口;
[!] --destination-ports,--dports port[,port|,port:port]...:指明多个离散的目标端口;
[!] --ports port[,port|,port:port]...:既能匹配源端口,也能匹配目标端口
-m multiport 示例
# iptables -A INPUT -d 192.168.184.142 -p tcp --dport 22 -j ACCEPT //放行22号端口
# iptables -A OUTPUT -s 192.168.184.142 -p tcp --sport 22 -j ACCEPT
# iptables -P INPUT DROP //修改表的默认策略
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
此时web服务是无法响应的,下面演示一次性定义开放22和80端口
# iptables -I INPUT -s 192.168.184.0/24 -d 192.168.184.142 -p tcp -m multiport --dports 22,80 -j ACCEPT 入栈
// -s 指定源IP,这里指的是一个网段,-m 指是使用显式扩展,--dports指定多个离散端口
# iptables -I OUTPUT -d 192.168.184.0/24 -s 192.168.184.142 -p tcp -m multiport --sports 22,80 -j ACCEPT
# iptables -D INPUT 2
# iptables -D OUTPUT 2
此时的80端口也可以访问了
2、iprange扩展 ip范围
指明连续的(但一般是不能扩展为整个网络)ip地址范围时使用;
[!] --src-range from[-to]:指明连续的源IP地址范围;
[!] --dst-range from[-to]:指明连续的目标IP地址范围;
iprange示例
# iptables -I INPUT -d 192.168.184.142 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 192.168.184.1-192.168.184.150 -j ACCEPT
# iptables -I OUTPUT -s 192.168.184.142 -p tcp -m multiport --sports 22:23,80 -m iprange --dst-range 192.168.184.1-192.168.184.150 -j ACCEPT
//连续端口之间用冒号隔开:22:23,不连续的用80隔开
# iptables -D INPUT 2
# iptables -D OUTPUT 2
3、string扩展
功能:基于字符串匹配去检查协议传输单元中的内容
1、任何通过网络传输的数据都必定是可以被流式化的数据,
2、数据通过网络传输时,会被封装上各种首部,
string可以检查在网络上发送的每一个报文,报文虽然编码,却可以匹配编码中是否出现了string指定的字符串的。
iptables工作在网络层和传输层,却可以通过string扩展去检查所传输的内容中是否有要匹配的字符串的
检查报文中出现的字符串;
--algo {bm|kmp} 指明字符串比对算法,必须给定算法
bm = Boyer-Moore
kmp = Knuth-Pratt-Morris
[!] --string pattern 指明字符串是什么
string示例
在web服务器的web页面文件中定义一个bad.html
# vim /var/www/html/bad.html
This is a movie page. //网页内容,如果用户请求的网页中包含movie,那么就拒绝
一般来说当用户请求一个网页,他请求的报文中一般不包含非法内容,因为只有网页响应的时候,网页上的内容有可能包含非法内容,所以应该在output规则上添加规则,同时应该放在output定义的80规则上面,因为如果放在80下面,那么响应报文被80规则匹配到以后直接就发送出去了
未定义之前是可以被访问的
# iptables -I OUTPUT -m string --algo bm --string 'movie' -j REJECT //下图未做修改
142的默认网页可以查看
但是带有movie的网页无法查看
请求可以进来,但由于含有movie字符串,所以web服务器并不响应
4、time扩展
根据报文到达的时间与指定的时间范围进行匹配;
#man iptables-extensions 即可查看下面的用法
- --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
- --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
- --timestart hh:mm[:ss]
- --timestop hh:mm[:ss]
- [!] --monthdays day[,day...]
- [!] --weekdays day[,day...]
从0点到23点之间不允许访问,因为Linux系统用的是CST时间,这里既然拒绝就直接在请求上即INPUT上拒绝,同时同类规则匹配范围小的放前面,所以放在INPUT第一条规则
# iptables -I INPUT -d 192.168.184.142 -p tcp --dport 80 -m time --timestart 00:00 --timestop 23:59 -j REJECT
此时在浏览器中输入192.168.184.142就不再提供web服务了
5、connlimit扩展
根据每客户端IP(也可以是地址块)做并发连接数数量匹配;即对每个IP可以对服务器同时发送请求的数量的限制。
--connlimit-above n:连接的数量大于n
--connlimit-upto n: 连接的数量小于等于n
默认策略是拒绝, 使用--connlimit-upto来允许,默认是允许,使用--connlimit-above允许
限制ssh的并发链接数,放在INPUT链上ssh服务即22号端口的规则的上面
# iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT
6、limit扩展
基于收发报文的速率做检查;
令牌桶过滤器 令牌桶算法 https://jinnianshilongnian.iteye.com/blog/2305117 https://blog.csdn.net/SunnyYoona/article/details/51228456#commentBox
--limit rate[/second|/minute|/hour|/day] //表示每秒钟/分钟/小时/天多少个 30/minute:表示每两秒响应一个请求
--limit-burst number 表示未响应前的峰值即第一次响应可以一次性响应多少个请求
示例
- 0:echo-reply 回显应答
- 8: echo-request 回显请求
# iptables -A OUTPUT -s 192.168.184.144 -p icmp --icmp-type 8 -j ACCEPT ping别的主机,先从本主机出去,目标地址不知道,ping请求是8
# iptables -A INPUT -d 192.168.184.144 -p icmp --icmp-type 0 -j ACCEPT ping别的主机,要接受ping后的报文,目标地址是本机,报文类型是回显应答
以上是只能本机ping别的主机,别的主机无法ping本主机,下面就定义规则为限制别的主机ping本主机的速率
# iptables -A INPUT -d 192.168.184.142 -p icmp --icmp-type 0 -m limit --limit-burst 5 --limit 30/minute -j ACCEPT //响应请求的速率
//-s源地址省略,表示所有主机可以ping本主机;别的主机ping本主机,请求类型为8,表示回显请求;limit:表示做速率限制,--limit-burst 5:表示第一次可以一次性响应5个请求;--limit 30/minute:表示每两秒一个,
# iptables -A OUTPUT -s 192.168.184.142 -p icmp --icmp-type 8 -j ACCEPT //响应请求后,从本机响应的报文不再做限制,只要ping进来就能响应
# ping -W 1 192.168.184.142 //使用-W表示ping每隔1秒钟向外发一个包
7、state扩展 状态扩展 (重要)
根据连接追踪机制检查连接的状态,对链接做出匹配检查;
连接追踪是iptables在内核内部找一段内核空间,并在这段内核空间中记录下来此前每一个源地址,和这个源地址访问的目标地址(目标地址一般是本机地址),然后给每一个源地址和目标地址的链接记录下来,并在后面记录一个倒计时的计时器(可以记录的非常详细,比如包括协议、源端口、目标端口等),这个内存空间是在内核中,所以这个内核比较小
链接与链接之间的状态,跟tcp、udp、icmp协议无关,是iptables自己在内核中的一个功能
调整连接追踪功能所能够容纳的最大连接数量:
/proc/sys/net/nf_conntrack_max
已经追踪到并记录下的连接:
/proc/net/nf_conntrack
不同协议或连接类型追的时长:
/proc/sys/net/netfilter/
可追踪的连接状态:
NEW:新发出的请求;连接追踪模板中不存此连接相关的信息条目,因此,将其识别为第一次发出的请求;
ESTABLISHED:NEW状态之后,连接追踪模板中为其建立的条目失效之前,这段期间内所进行的通信的状态;
RELATED:相关的连接;如ftp协议的命令连接与数据连接之间的关系;
INVALIED:无法识别的连接;
RELATED:一个新的链接请求发起时本来是NEW,但是对ftp这样的应用来讲,数据链接是与一个已存在的命令链接或控制链接是相互关联的,因此在这种场景中,数据链接新发起的链接状态可以识别为NEW,实际上更多在nf_conntrack_ftp打开以后被识别成RELATED请求,不过RELATED这个链接请求建立完成后,后续的传输过程中都是ESTABLISHED。
--state STATE1,STATE2,... --state NEW,ESTABLISHED
示例
对22和80端口只能是响应,不能去请求。所以对NEW状态的应该放行,因为别的主机可能请求服务器,对于ESTABLISHED也应该放行,因为这是响应。但是对于响应的只能放行ESTABLISHED状态的
# iptables -I INPUT -d 192.168.184.142 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
//--state NEW,ESTABLISHED 这里是入栈的链接,放行22端口的NEW和ESTABLISHED两种状态
# iptables -I OUTPUT -s 192.168.184.142 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT //出去的报文,只放行状态为ESTABLISHED
像放行22号端口一样放行80端口,就直接修改上面的规则
# iptables -I INPUT -d 192.168.184.142 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -I OUTPUT -s 192.168.184.142 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
下面把两个端口合二为一
# iptables -I INPUT -d 192.168.184.142 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -I OUTPUT -s 192.168.184.142 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
如果别的主机ping本主机?
# iptables -A INPUT -d 192.168.184.142 -p icmp --icmp-type 0 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -s 192.168.184.142 -p icmp --icmp-type 8 -m state --state ESTABLISHED -j ACCEPT
此时ping就可以建立链接了
从以上可以发现无论是tcp协议还是icmp协议,或者无论是22号端口或者80端口,只要允许进入INPUT,都要放行,所以可以在OUTPUT上定义一条规则,这条规则不定义端口、协议、源IP和目标IP,只定义链接状态ESTABLISHED。
# iptables -I OUTPUT -m state --state ESTABLISHED -j ACCEPT //此时这里只定义链接状态
一条规则就可以直接对N条规则直接放行,这就是规则优化
可以假设入栈的只要是ESTABLISHED状态的,就说明此前访问过,那么所有ESTABLISHED状态就可以统统放行,只要对NEW状态不放行就可以。
# iptables -I INPUT -m state --state ESTABLISHED -j ACCEPT //无论tcp、icmp协议的请求,只要是已经建立的链接,只要被第一条匹配到直接通过
# iptables -I INPUT 2 -d 192.168.184.142 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
问题:如何开放被动模式的ftp服务?
对21号端口开放NEW和ESTABLISHED,因为命令链接一般是通过21号端口实现,由于数据链接工作在非固定的随机端口上,
所以只需要检查这个链接的状态是不是为RELATED就可以了,如果是RELATED,无论是入栈还是出栈直接放行就可以。
(1) 装载ftp追踪时的专用的模块:
/lib/modules/3.10.0-693.el7.x86_64/kernel/net
/lib/modules/3.10.0-693.el7.x86_64/kernel/net/netfilter
# modprobe nf_conntrack_ftp //装载模块
# lsmod //可以查看装载的模块
(2) 放行请求报文:
命令连接:NEW, ESTABLISHED
数据连接:RELATED, ESTABLISHED
(数据刚建立链接时的状态叫RELATED,这个只是第一次建立数据链接时,而且不叫新连接,而是RELATED链接,而不是NEW,命令链接才是NEW)
ftp专用放行规则
# iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT //放行的命令链接
# iptables -A INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT //放行的数据链接,不再限制端口
(3) 放行响应报文:
ESTABLISEHD
# iptables -A OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT //出栈放行
示例
1、安装vsftpd软件并启动
# yum install vsftpd -y
# cp /etc/issue /var/ftp/pub/ //cp文件到vsftp的默认下
# systemctl start vsftpd //启动ftp服务
# ss -tunl //查看21号端口是否启动
2、关闭防火墙并清空规则,下图是已经配置的iptables规则链,可以先保存
# iptables-save > /root/iptables.1
修改成下图的样子
可以在浏览器中访问ftp服务
3、添加规则链
# iptables-restore < /root/iptables.1 //把之前保存的规则重新导入,这里换成了141服务器,在文件中修改IP即可
# modprobe nf_conntrack_ftp //装载ftp模块
# lsmod | grep ftp
nf_conntrack_ftp 18638 0
nf_conntrack 133387 3 xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4
# iptables -R INPUT 2 -d 192.168.184.141 -p tcp -m multiport --dport 21,22,80 -m state --state NEW -j ACCEPT
//这里直接修改了INPUT的第二条规则,即在--dport上添加了21号端口,这是放行(进栈)的命令链接,是NEW状态
# iptables -R INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
//RELATED无法确定是tcp的哪个端口,而且只有用到RELATED功能的才会检查RELATED状态,所以很少用,所以直接把第一条规则改为ESTABLISHED和RELATED都放行
出栈的无论什么协议、什么IP、什么端口只要是ESTABLISHED状态全都放行,所以无需再改,所以ftp服务就可以访问了
命令链接和数据链接的区别?
一个新的链接请求发起时本来是NEW,但是对ftp这样的应用来讲,数据链接是与一个已存在的命令链接或控制链接是相互关联的,因此在这种场景中,数据链接新发起的链接状态可以识别为NEW,实际上更多在nf_conntrack_ftp打开以后被识别成RELATED请求,不过RELATED这个链接请求建立完成后,后续的传输过程中都是ESTABLISHED。