RHEL6Linux安全应用.ppt

RHEL6__Linux轻舞飞扬轻舞飞扬第六章第六章 iptables防火墙（一）防火墙（一）—— 理论部分熟悉Linux防火墙的表、链结构理解数据包匹配的基本流程学会编写iptables规则技能展示本章结构iptables防火墙防火墙(一一)iptables的表、链结构的表、链结构数据包控制的匹配流程数据包控制的匹配流程添加、查看、删除规则添加、查看、删除规则规则的匹配条件规则的匹配条件Linux防火墙基础防火墙基础基本语法、控制类型基本语法、控制类型编写防火墙规则编写防火墙规则netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”iptables位于/sbin/iptables，用来管理防火墙规则的工具称为Linux防火墙的“用户态”—— 上述2种称呼都可以表示Linux防火墙Linux包过滤防火墙概述2-1包过滤的工作层次主要是网络层，针对IP数据包体现在对包内的IP地址、端口等信息的处理上Linux包过滤防火墙概述2-2链路层链路层网络层网络层传输层传输层应用代理应用代理链路层链路层网络层网络层传输层传输层应用层应用层链路层链路层网络层网络层传输层传输层应用层应用层外部网络外部网络网络层防火墙网络层防火墙受保护网络受保护网络规则链规则的作用：对数据包进行过滤或处理链的作用：容纳各种防火墙规则链的分类依据：处理数据包的不同时机默认包括5种规则链INPUT：处理入站数据包OUTPUT：处理出站数据包FORWARD：处理转发数据包POSTROUTING链：在进行路由选择后处理数据包PREROUTING链：在进行路由选择前处理数据包iptables的表、链结构3-1规则表表的作用：容纳各种规则链表的划分依据：防火墙规则的作用相似默认包括4个规则表raw表：确定是否对该数据包进行状态跟踪mangle表：为数据包设置标记nat表：修改数据包中的源、目标IP地址或端口filter表：确定是否放行该数据包（过滤）iptables的表、链结构3-2默认的表、链结构示意图iptables的表、链结构3-3filter 表第1条规则第2条规则第3条规则……INPUT 链……FORWARD 链……OUTPUT 链mangle 表表PREROUTING 链……POSTROUTING 链……INPUT 链……OUTPUT 链……FORWARD 链……raw 表表PREROUTING 链……OUTPUT 链……nat 表表PREROUTING 链……POSTROUTING 链……OUTPUT 链……规则表之间的顺序rawmanglenatfilter规则链之间的顺序入站：PREROUTINGINPUT出站：OUTPUTPOSTROUTING转发：PREROUTINGFORWARDPOSTROUTING规则链内的匹配顺序按顺序依次检查，匹配即停止（LOG策略例外）若找不到相匹配的规则，则按该链的默认策略处理数据包过滤的匹配流程2-1匹配流程示意图数据包过滤的匹配流程2-2本机的应用进程本机的应用进程mangle：POSTROUTINGmangle：FORWARDraw：PREROUTINGraw：OUTPUTmangle：INPUT转发数据流向入站数据流向网络A网络Bmangle：PREROUTINGnat：：PREROUTINGnat：：POSTROUTINGfilter：：INPUTmangle：OUTPUTnat：OUTPUTfilter：：OUTPUT路由选择filter：：FORWARD路由选择出站数据流向请思考：Linux防火墙默认包括哪几个表、哪几种链？对于转发的数据包，会经过哪几种链的处理？在同一个规则链内，规则匹配的特点是什么？小结语法构成iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]iptables的基本语法2-1[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECTC:\Users\Administrator> ping 192.168.4.254正在 Ping 192.168.4.254 具有 32 字节的数据:来自 192.168.4.254 的回复: 无法连到端口。

来自 192.168.4.254 的回复: 无法连到端口……阻止阻止pingping测试测试v几个注意事项几个注意事项§不指定表名时，默认指不指定表名时，默认指filter表表§不指定链名时，默认指表内的所有链不指定链名时，默认指表内的所有链§除非设置链的默认策略，否则必须指定匹配条件除非设置链的默认策略，否则必须指定匹配条件§选项、链名、控制类型使用大写字母，其余均为小写选项、链名、控制类型使用大写字母，其余均为小写数据包的常见控制类型ACCEPT：允许通过DROP：直接丢弃，不给出任何回应REJECT：拒绝通过，必要时会给出提示LOG：记录日志信息，然后传给下一条规则继续匹配iptables的基本语法2-2添加新的规则-A：在链的末尾追加一条规则-I：在链的开头（或指定序号）插入一条规则iptables的管理选项5-1[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT-p -p 用来指定协议用来指定协议查看规则列表-L：列出所有的规则条目-n：以数字形式显示地址、端口等信息-v：以更详细的方式显示规则信息--line-numbers：查看规则时，显示规则的序号iptables的管理选项5-2[root@localhost ~]# iptables -L INPUT --line-numbersChain INPUT (policy ACCEPT)num target prot opt source destination1 ACCEPT udp -- anywhere anywhere2 ACCEPT icmp -- anywhere anywhere3 REJECT icmp -- anywhere anywhere reject-with icmp-port-unreachable4 ACCEPT tcp -- anywhere anywhere[root@localhost ~]# iptables -n -L INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT udp -- 0.0.0.0/0 0.0.0.0/0ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0REJECT icmp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0-n -L -n -L 可合写为可合写为 -nL-nL删除、清空规则-D：删除链内指定序号（或内容）的一条规则-F：清空所有的规则iptables的管理选项5-3[root@localhost ~]# iptables -D INPUT 3[root@localhost ~]# iptables -n -L INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT udp -- 0.0.0.0/0 0.0.0.0/0ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0[root@localhost ~]# iptables -F[root@localhost ~]# iptables -t nat -F[root@localhost ~]# iptables -t mangle -F[root@localhost ~]# iptables -t raw -F清空所有表的所有链清空所有表的所有链设置默认策略-P：为指定的链设置默认规则iptables的管理选项5-4[root@localhost ~]# iptables -t filter -P FORWARD DROP[root@localhost ~]# iptables -P OUTPUT ACCEPT默认策略要么是默认策略要么是ACCEPTACCEPT、要么是、要么是DROPDROP常用管理选项汇总iptables的管理选项5-5类别类别选项选项用途用途添加新的规则添加新的规则-A-A在链的末尾追加一条规则在链的末尾追加一条规则-I-I在链的开头（或指定序号）插入一条规则在链的开头（或指定序号）插入一条规则查看规则列表查看规则列表-L-L列出所有的规则条目列出所有的规则条目-n-n以数字形式显示地址、端口等信息以数字形式显示地址、端口等信息-v-v以更详细的方式显示规则信息以更详细的方式显示规则信息--line-numbers--line-numbers查看规则时，显示规则的序号查看规则时，显示规则的序号删除、清空规则删除、清空规则-D-D删除链内指定序号（或内容）的一条规则删除链内指定序号（或内容）的一条规则-F-F清空所有的规则清空所有的规则设置默认策略设置默认策略-P-P为指定的链设置默认规则为指定的链设置默认规则通用匹配可直接使用，不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件隐含匹配要求以特定的协议匹配作为前提包括端口、TCP标记、ICMP类型等条件显式匹配要求以“-m 扩展模块”的形式明确指出类型包括多端口、MAC地址、IP范围、数据包状态等条件规则的匹配条件5-1常见的通用匹配条件协议匹配：-p 协议名地址匹配：-s 源地址、-d 目的地址接口匹配：-i 入站网卡、-o 出站网卡规则的匹配条件5-2[root@localhost ~]# iptables -I INPUT -p icmp -j DROP[root@localhost ~]# iptables -A FORWARD -p ! icmp -j ACCEPT 叹号叹号 ! ! 表示条件取反表示条件取反[root@localhost ~]# iptables -A FORWARD -s 192.168.1.11 -j REJECT[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP [root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP [root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP外网接口外网接口常用的隐含匹配条件端口匹配：--sport 源端口、--dport 目的端口TCP标记匹配：--tcp-flags 检查范围 被设置的标记ICMP类型匹配：--icmp-type ICMP类型规则的匹配条件5-3[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT[root@localhost ~]# iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP[root@localhost ~]# iptables -I INPUT -i eth1 -p tcp --tcp-flags ! --syn -j ACCEPT丢弃丢弃SYNSYN请求包，放行请求包，放行其他包其他包[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT[root@localhost ~]# iptables -A INPUT -p icmp -j DROP8 8 请求，请求，0 0 回显，回显，3 3 不可达不可达常用的显式匹配条件多端口匹配：-m multiport --sports 源端口列表 -m multiport --dports 目的端口列表IP范围匹配：-m iprange --src-range IP范围MAC地址匹配：-m mac --mac-source MAC地址状态匹配：-m state --state 连接状态规则的匹配条件5-4[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP[root@localhost ~]# iptables -P INPUT DROP[root@localhost ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 常见匹配条件汇总规则的匹配条件5-5类别类别条件类型条件类型用法用法通用匹配通用匹配协议匹配协议匹配-p -p 协议名协议名地址匹配地址匹配-s -s 源地址、源地址、-d -d 目的地址目的地址接口匹配接口匹配-i -i 入站网卡、入站网卡、-o -o 出站网卡出站网卡隐含匹配隐含匹配端口匹配端口匹配--sport --sport 源端口、源端口、--dport --dport 目的端口目的端口TCPTCP标记匹配标记匹配--tcp-flags --tcp-flags 检查范围检查范围 被设置的标记被设置的标记ICMPICMP类型匹配类型匹配--icmp-type ICMP--icmp-type ICMP类型类型显式匹配显式匹配多端口匹配多端口匹配-m multiport --sports | --dports -m multiport --sports | --dports 端口列表端口列表IPIP范围匹配范围匹配-m iprange --src-range IP-m iprange --src-range IP范围范围MACMAC地址匹配地址匹配-m mac --mac-source MAC-m mac --mac-source MAC地址地址状态匹配状态匹配-m state --state -m state --state 连接状态连接状态本章总结iptables防火墙防火墙(一一)iptables的表、链结构的表、链结构数据包控制的匹配流程数据包控制的匹配流程添加、查看、删除规则添加、查看、删除规则规则的匹配条件规则的匹配条件Linux防火墙基础防火墙基础基本语法、控制类型基本语法、控制类型编写防火墙规则编写防火墙规则第六章第六章 iptables防火墙（一）防火墙（一）—— 上机部分实验环境为网关、Web服务器配置防火墙规则实验案例：基于IP、端口的控制4-1局域网段192.168.1.0/24网站服务器192.168.1.5InternetInternet测试用机172.16.16.172网关服务器eth0: 192.168.1.1eth1: 172.16.16.1需求描述为Web主机编写入站规则，允许ping，开放80端口为网关编写转发规则，允许基本的上网访问实现思路Web主机：在filter表的INPUT链添加入站规则Linux网关：在filter表的FORWARD链添加转发规则实验案例：基于IP、端口的控制4-2学员练习1为网站服务器编写入站规则、默认策略测试入站访问控制的效果实验案例：基于IP、端口的控制4-33030分钟完成分钟完成学员练习2为网关服务器编写转发规则、默认策略测试转发控制的效果实验案例：基于IP、端口的控制4-45050分钟完成分钟完成。