Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1175396
  • 博文数量: 150
  • 博客积分: 2739
  • 博客等级: 少校
  • 技术积分: 2392
  • 用 户 组: 普通用户
  • 注册时间: 2010-12-07 12:28
文章分类

全部博文(150)

文章存档

2015年(2)

2014年(16)

2013年(10)

2012年(58)

2011年(64)

分类: LINUX

2011-08-19 21:11:43

今天总结的是有关Linux的防火墙

netfilter : 数据过滤。在Linux的内核中有5hook functions, chains()

五个规则链: PREROUTING, INPUT , FORWARD, OUTPUT, POSTROUTING

三表:

filter: 允许不允许

NAT:地址转换

manale:修改报文原数据

三表五链的关系

filter: INPUT,FORWARD,OUTPUT

nat: PREROUTING, OUTPUT, POSTROUTING

mangle: PERROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

   

自己定义的链只有和内核中的链接起来才能生效,也只能删除自己的定义的链,内核中的不能删。

 

iptables/netfiler : iptables 是定义规则,netfiler是过滤的

定义规则:

   iptables –L –n 查看表  -v 显示详细信息

  iptables [ -t table ] COMMAND chain CRETIRIA –j ACTION

           -T table 定义哪个表 ,默认是filter

    COMMAND: 命令:

           链管理命令: -p 设定默认策略

              例: iptables –P INPUT {DROP|ACCEPT}

                -F 清空规则链

               例: iptable –t nat –F PREROUTING

                -N 新建一条链

               例:iptables –N inbound_tcp_web

                -X 删除用户自定义的空链

                 

                -E  重命名自定义的链

                

                -Z  清空链及链中的计数器

                  例: iptables –Z

                      规则管理命令:

                           -A 在当前规则的最后追加

                           -I num 把当前规则插入到第几条

                           -R num 修改第几条规则

                           -D num 删除第几条规则

                       查看命令:

                             -L –n –v ( -v ,-vv,-vvv)  -x –line-numbers; -n 是不用反向解析,-v 详细信息, -x 不用转换精确显示字节大小, --line-numbers 显示行号

 

 

 

CRETIRIA:匹配标准(通用匹配,扩展匹配)

             通用匹配:

                -s, -src , --source :匹配源地址

                 IP, NETWORK/NETMASK, 0..0.0.0/0.0.0.0

-d 匹配目标地址

-p tcp|udp|icmp 匹配协议

-i eth0 流入接口

-o     流出接口

              扩展匹配:(隐含扩展,显式扩展)

                   隐含扩展:

                            -p tcp

                              --dport

                              --sport

                             --tcp-flags检查的标志位  必须为1 标志位  (   SYN,ACK,FIN,PSH,RST,URG)

        例: -tcp-flags SYN,ACK,FIN,RST,SYN 缩写: tcp-flags –syn 常用写法

                  -p udp

                     --dport

                     --sport

                  -p icmp

                    --icmp-type

       ping出的数据包echo-request数字为 8 ,回应的echo-reply 数字为0

               显式扩展

                     -p tcp –m multiport –dports 21,23,80

                            -m指定模块

            -j ACTION 如何处理

               DROP 丢弃,REJECT 拒绝,ACCEPT 接受,custom_chain 转向链, DNAT, SNAT,目标源地址转换,MASOUERADE,REDIRECT,MARK,

 

例:iptables –t filter –R INPUT 1 –s 172.16.0.0./16 –p udp –dport 53 –j REJECT

例:iptables –t filter –A OUTPUT –s 172.16.100.1 –d 172.16.0.0/16 –p tcp –sport 22 –j ACCPET

例:iptables –P

 

  状态检查:

         state

         NEW  新建立的链接

         ESTABLISHED    已建立的链接              

         RELATED

         INVALID      

例:iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT    (state 有两个杠)   

: iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

: iptables –A INPUT –p icmp  –icmp-type 0 –j ACCEPT  (icmp-type 有两个杠)

  由于127.0.0.1是个特殊的地址,需要手动加入才能ping通的,否则ping不通

  重启iptales的所有的规则失效,保存方法: service iptables save 位置:/etc/sysconfig/iptables 手动开启:iptables-save > /etc/sysconfig/iptables.2  iptables-restore < /etc/sysconfig/iptables.2  

 

/proc/sys/net/ipv4/ip_forward  路由功能   

route  [-v]  [-A  family]  add  [-net|-host] target [netmask Nm] [gw Gw]  增加路由格式

route  [-v]  [-A  family]  del  [-net|-host] target [gw Gw] [netmask Nm]   删除路由

 route –v 显示路由信息

Nat的转换:

   源地址转换:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 172.16.0.1

   外网地址是静态的用此方法,如果是动态的用以下地址

MASQUERADE地址伪装:

 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 

 

阻止80

     #iptables –P FORWARD DROP

     # iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEP

目标地址转换:

   iptables -t nat -A PREROUTING -d 192.168.0.100 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.1



开放ftp:


     iptables –A INPUT –d 172.16.0.1 –p tcp –m state –state ESTABLISHED,RELATED –j ACCEPT


     加载模块”ip_conntrack_ftp ip_nat_ftp”或者编辑/etc/sysconfig/iptables-config的IPTABLES_MODULES中写入“ip_conntrack_ftp ip_nat_ftp”


  加载模块:modprobe ip_conntarck_ftp ; modprobe ip_nat_ftp

 


iptables脚本写法:


       #/bin/bash


       modprobe ip_conntrack_ftp


       modprobe ip_nat_ftp


       iptables –t filter –F


       iptables –t nat –F


       iptables –t mangle –F


       


       iptables –p INPUT DROP


       iptables –p OUTPUT DROP


       iptables –p RORWARD DROP


 这是一些需用关闭常见攻击漏洞

iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP

iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN              -j DROP

iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST              -j DROP

iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST              -j DROP

iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,FIN FIN                  -j DROP

iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG                  -j DROP


 保存之后,将名字写在/etc/rc.local中。

l7-filter软件的使用: 网站:sourceforge.net

    有内核和补丁组成

配置:环境:2.6 linux kernel ;  iptables source, i7-filter kernel;


 所需软件:iptables-1.4.6.tar.bz2 l7-protocols- linux-2.6.28.10.tar.gz netfilter-layer7-v2.22.tar.gz

iptables -A INPUT -m layer7 --l7proto ftp -j REJECT

iptables –A FORWARD –s 192.168.0.0/24 –m layer7 –l7proto qq –j REJECT

iptables –t filter –A FORWARD –s 192.168.0.0/24 –m layer7 –l7-proto qq –j REJECT

hash –r 清空命令缓存 –d name删除某个特定缓存命令


 

阅读(682) | 评论(0) | 转发(0) |
0

上一篇:配置远程访问服务

下一篇:MySQL常用命令

给主人留下些什么吧!~~