iptables书写思路顺序
1.协议 icmp
2.哪个功能和目标:过滤,拒绝
3.数据包流向:外到内
4.哪个链适合:越早越好,INPUT
5.源地址和目标地址
练习1.禁止某些主机或网络访问本机
禁止192.168.56.14网段的主机ping本主机
iptables -t filter -A INPUT -p icmp -s 192.168.56.14 -d 192.168.56.11 -j DROP
watch -n 1 'iptables -t filter -L -v -n' 实时查看包统计
禁止192.168.56.1访问本机网页
iptables -t filter -A INPUT -p tcp -s 192.168.56.1 -d 192.168.56.14 --dport 80 -j DROP
练习2.练习filter的各类匹配规则写法
对filter的规则优先级按从低到高为:首先使用通策略,其次对外开放80端口访问,最后禁止破解方的IP,
查看和导出规则,监控包统计
iptables -L -n -v -x
iptables-save > /etc/sysconfig/iptables
cat /etc/sysconfig/iptables
watch -n 1 'iptables -t filter -L -nxv --line-numbers'
清空filter表
iptables -F
iptables -Z
清空filter表前先设置默认策略,否则登录不了
添加ssh远程访问规则
iptables -t filter -A INPUT -p tcp -i eth0 -s 192.168.56.0/24 -d 192.168.56.14 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -o eth0 -s 192.168.56.14 -d 192.168.56.0/24 --sport 22 -j ACCEPT
添加filter表默认规则
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
更正规则ssh访问规则
iptables -t filter -R OUTPUT 1 -s 192.168.56.14 -d 192.168.56.0/24 -o eth0 -p tcp --sport 22 -j ACCEPT
添加回环接口访问
iptables -t filter -I INPUT 1 -i lo -j ACCEPT
iptables -t filter -I OUTPUT 1 -o lo -j ACCEPT
禁止基于非法TCP标志位的连接
iptables -t filter -I INPUT -p tcp --tcp-flags all all -j DROP
iptables -t filter -I INPUT -p tcp --tcp-flags all none -j DROP
放行ssh第一次握手,如果启用连接追踪功能,新写法更简洁
iptables -t filter -I INPUT 3 -p tcp --dport 22 --tcp-flags syn,ack,rst,fin syn -j ACCEPT
iptables -t filter -R INPUT 3 -p tcp --dport 22 --syn -j ACCEPT 简单写法
放行DNS查询
iptables -t filter -A OUTPUT -p udp -s 192.168.8.14 --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp -d 192.168.8.14 --dport 53 -j ACCEPT
dig -t A www.baidu.com @192.168.8.1
开放ping
iptables -t filter -I INPUT 3 -p icmp -d 192.168.56.14 -j ACCEPT
iptables -t filter -I OUTPUT -p icmp -s 192.168.56.14 -j ACCEPT
只允许自己ping别人,不允许别人自己
iptables -t filter -D INPUT 3
iptables -t filter -D OUTPUT 1
iptables -t filter -A OUTPUT -p icmp --icmp-type 8 -s 192.168.56.14 -j ACCEPT
iptables -t filter -I INPUT 3 -p icmp --icmp-type 0 -d 192.168.56.14 -j ACCEPT
同时只开放ssh和web访问
iptables -t filter -I INPUT -p tcp -m multiport --dports 22,80 -d 192.168.56.14 -j ACCEPT
iptables -t filter -I OUTPUT -p tcp -m multiport --sports 22,80 -s 192.168.56.14 -j ACCEPT
iptables -t filter -D INPUT 2 执行多次
iptables -t filter -D OUTPUT 2 执行多次
允许一批连续IP的主机对本机的telnet
iptables -t filter -A INPUT -p tcp --dport 23 -m iprange --src-range 192.168.56.1-192.168.56.100 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 23 -m iprange --dst-range 192.168.56.1-192.168.56.100 -j ACCEPT
禁止访问敏感网页,含sex字眼的
[root@node1 ~]# cd /var/www/html
[root@node1 html]# echo "this is a sex page" > test.html
http://192.168.56.14/test.html
iptables -t filter -I OUTPUT -p tcp --sport 80 -m string --algo kmp --string "sex" -j DROP
http://192.168.56.14/test.html 注意缓存问题
禁止周一、二、四、五的8:20到18:40访问web服务器
iptables -t filter -I INPUT -p tcp --dport 80 -m time --timestart 08:20 --timestop 18:40 --weekdays Mon,Tue,Thu,Fri -j DROP
iptables -t filter -D INPUT 1 测试完,删掉它
访问本机ssh服务,每IP不能超过4个并发
iptables -t filter -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 4 -j DROP
限制外部每分钟发20个ping包(允许超出5个包)到本机
iptables -t filter -A INPUT -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 5 -j ACCEPT
iptables -t filter -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
使用连接追踪功能改写只允许ssh和http连接进来
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -F
iptables -t filter -A INPUT -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
iptables -t filter -I INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -I OUTPUT -m state --state ESTABLISHED -j ACCEPT 放行所有的响应,效率超高
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
使用连接追踪功能放行ping
iptables -t filter -A INPUT -p icmp --icmp-type 8 -j ACCEPT
注意这里不用再增加响应的放行规则,因为上一步的规则已经做了
使用连接追踪功能放行ftp服务
安装vfstpd
yum -y install vsftpd
service vsftpd start
装载内核支持模块:
cd /lib/modules/2.6.32-358.el6.x86_64/kernel/net/netfilter/
ls *ftp*
nf_conntrack_ftp.ko nf_conntrack_tftp.ko
modprobe nf_conntrack_ftp
添加规则:
放行21端口的NEW状态连接、放行所有ESTABLISH和RELATED状态的请求报文、放行ESTABLISH和RELATED状态的响应报文
iptables -t filter -R INPUT 2 -p tcp -m multiport --dports 22,80,21 -m state --state NEW -j ACCEPT
iptables -t filter -R INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -R OUTPUT 1 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
测试:
ftp://192.168.56.14/
用自定义规则的方式,禁止一批连续IP的主机对本机的web访问
设置默认规则放通
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -F
添加web自定义规则
iptables -t filter -N http_in
iptables -t filter -A http_in -p tcp -d 192.168.56.14 --dport 80 -m iprange --src-range 192.168.56.1-192.168.56.100 -j DROP
iptables -t filter -A http_in -p tcp -d 192.168.56.14 --dport 80 -m state --state NEW -j ACCEPT
iptables -t filter -A http_in -j RETURN 在自定义链中无法匹配时返回主链
在INPUT链放行所有已建立连接
iptables -t filter -A INPUT -m state --state established -j ACCEPT
添加ssh自定义规则
iptables -t filter -N ssh_in
iptables -t filter -A ssh_in -p tcp -d 192.168.56.14 --dport 22 -m state --state NEW -j ACCEPT
在OUTPUT链放行所有已建立连接
iptables -t filter -A OUTPUT -m state --state established -j ACCEPT
在INPUT上调用http_in链
iptables -t filter -A INPUT -p tcp -d 192.168.56.14 --dport 80 -j http_in
在INPUT上调用ssh_in链
iptables -t filter -A INPUT -p tcp -d 192.168.56.14 --dport 22 -j ssh_in
设置默认规则禁止
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
测试:
curl
-i 显示响应头部和实体
-I 显示响应头部
-dump 显示响应实体
curl -I http://192.168.56.14/test.html
删除http_in自定义链的顺序
iptables -t filter -D INPUT 2
iptables -t filter -F http_in
iptables -t filter -X http_in
重命名自定义链
iptables -t filter -N http_in
iptables -t filter -E http_in web_in
练习3:安装telnet服务
安装并启动服务
yum -y install xinetd
yum -y install telnet-server
yum -y install telnet
vim /etc/xinetd.d/telnet
disable = no
service xinetd start
更改telnet服务端口号:
vim /etc/services
telnet 23/tcp
telnet 23/udp
更多/etc/xinetd.d/telnet选项说明
# 先针对对内的较为松散的限制来设定
bind = 210.45.160.17 只允许经由这个适配卡的封包进来
only_from = 210.45.160.0/24 只允许 210.45.160.0/24 这个网段的主机联机进来使用 telnet 的服务
only_from = .edu.cn <==重复设定,只有教育网才能联机!
no_access = 192.168.25.{10,26} <==不许这些 PC 登入
access_times = 1:00-9:00 20:00-23:59 <==每天只有这两个时段开放服务
练习4:配置主机作为路由网关
环境:
网络A
客户端c:192.168.60.20/24
路由网关r的地址1: 192.168.60.11/24
网络B
服务端s:192.168.56.20/24
路由网关r的地址2:192.168.56.11/24
要求c能访问s提供的服务:http、ssh、ftp
配置s:
清空filter表,以及删除自定义链,然后设置网络属性
ifconfig | less
ifconfig eth1 down
ifconfig eth2 down
ifconfig eth0 192.168.56.20/24 up
route -n
route del -net default
route add -net default gw 192.168.56.11 dev eth0
安装并启动服务
yum -y install httpd
yum -y install vsftpd
service httpd start
service vsftpd start
配置c
清空filter表,以及删除自定义链,然后设置网络属性
ip addr show
ip addr del 192.168.60.15/24 dev eth2
ip addr add 192.168.60.20/24 dev eth2
ip link set eth0 down
ip link set eth1 down
ip route show
ip route del default
ip route add default via 192.168.60.11 dev eth2
如果无法访问远程ssh,用ssh -v user@ip来检查问题所在。
如果是gss的问题,则去掉本ssh客户端中的GSS认证
vi /etc/ssh/ssh_config
设置GSSAPIAuthentication no
如果是dns反解析的问题,则取消ssh服务器端的dns解析配置
vim /etc/ssh/sshd_config
UseDNS no
配置r
清空filter表,以及删除自定义链,然后设置网络属性
修改内核中关于转发的参数
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p
cat /proc/sys/net/ipv4/ip_forward
添加转发规则
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -m state --state established,related -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 80 -d 192.168.56.20 -m state --state new -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 22 -d 192.168.56.20 -m state --state new -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 21 -d 192.168.56.20 -m state --state new -j ACCEPT
加载ftp连接追踪模块
lsmod | grep nf_conntrack_ftp
临时生效:
cd /lib/modules/2.6.32-358.el6.x86_64/kernel/net/netfilter/
ls *ftp*
modprobe nf_conntrack_ftp
永久生效:
vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
在客户端c上验证:
ssh fedora@192.168.56.20
curl -i http://192.168.56.20
lftp 192.168.56.20 (匿名账号)
练习5:内网与公网的服务能互相访问
内网主机 h1:192.168.56.20/24,网关192.168.56.11
公网主机 h2:192.168.60.20/24,无网关,但与h1的网关主机在同一网络
网关主机:
地址1: 192.168.56.11
地址2: 192.168.60.11
1.内网访问公网的http服务
配置h1:
ifconfig eth0 192.168.56.20/24 up
route add -net default gw 192.168.56.11 dev eth0
配置h2:
ip addr add 192.168.60.20/24 dev eth2
ip route del default
service httpd start
配置网关r:
iptables -t nat -A POSTROUTING -s 192.168.56.0/24 -j SNAT --to-source 192.168.60.11
优化:如果网关的公网ip经常变化(家里通过ADSL拨号上网,每次拨号得到的公网IP都不同)则上面语句改写为
iptables -t nat -A POSTROUTING -s 192.168.56.0/24 -j MASQUERADE
测试:
h1通过http访问h2上的web,在h2上的web虚拟主机访问日志看到来源ip为h1的映射公网地址192.168.60.11即是正确
补充:
在原来"1.内网访问公网的http服务"的基础上做限制,只允许访问公网的http服务,且开放时间为周一、二、四、五的8:20到18:40
增加filter规则
iptables -t filter -A FORWARD -p tcp -s 192.168.56.0/24 --dport 80 -m time --timestart 08:20 --timestop 18:40 --weekdays Mon,Tue,Thu,Fri -j DROP
iptables -t filter -P FORWARD ACCEPT
2.公网访问内网的http服务
配置h1:
ifconfig eth0 192.168.56.20/24 up
route add -net default gw 192.168.56.11 dev eth0
service httpd start
配置h2:
ip addr add 192.168.60.20/24 dev eth2
ip route del default
配置网关r:
iptables -t nat -A PREROUTING -p tcp -d 192.168.60.11 --dport 80 -j DNAT --to-destination 192.168.56.20:80
测试:
h2通过http访问h1上的web,在h1上的web虚拟主机访问日志看到来源ip为h2的公网地址192.168.60.20即是正确