Chinaunix首页 | 论坛 | 博客
  • 博客访问: 39110
  • 博文数量: 8
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 50
  • 用 户 组: 普通用户
  • 注册时间: 2014-12-31 17:14
文章分类

全部博文(8)

文章存档

2016年(1)

2015年(7)

我的朋友

分类: 网络与安全

2015-05-02 15:09:05

服务器通常会安装防火墙,Iptables为比较常用的免费防火墙,Iptables能够提供数据包过滤,网络地址转换(NAT)等功能.在Debian上手工配置Iptables的资料比较少,本文做一个详细的介绍.

第一步,首先确定你的系统已经安装Iptables.打开SSH终端,输入
whereis iptables
如果能看到如下类似信息,说明你已经安装了iptables
iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz
如果不是这个提示,或者没有任何提示,那你的Debian上可能没有安装iptables
请使用如下命令安装:
apt-get install iptables

第二步:查看Iptables目前的配置信息
可以使用如下命令查看
iptables -L
如果你是第一次安装配置iptables,你可能会看到如下结果:

Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

这个结果,也就是防火墙充许所有的请求,就如没有设置防火墙一样.

第三步:配置Iptables
配置Iptables,我们先把一个基本的Iptables的规则文章保存起来,这个规则文章做为测试用
vim /etc/iptables.test.rules
然后在这个文章中输入如下规则内容。

*filter
# 允许回环网卡
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# 允许已建立的或相关连的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allows all outbound traffic
# 允许所有本机向外的访问(选这个的话就把其它OUTPUT规则删除即可)
#-A OUTPUT -j ACCEPT

# 允许ssh:22 http:80 https:443 ftp:21(20000-20500)端口进入访问
-A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -p tcp -s 0/0 --sport 20000:20500 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

#允许本地DNS(udp 53端口)和ntp(udp 123端口)访问外网
-A OUTPUT -p udp -d 8.8.8.8 --dport 53 -j ACCEPT
-A OUTPUT -p udp -d 8.8.4.4 --dport 53 -j ACCEPT
#-A OUTPUT -p udp --dport 123 -j ACCEPT

# 允许PING(不允许的话把下面那个删了就可以)
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

#记录接收数据包被拒绝(log-level=7)的日志,最高记录频率为5条/分钟,日志可通过dmesg或syslog查看
#-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# 禁止其它未允许的规则访问:
-A OUTPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
COMMIT

保存本文件,使之生效,注意,iptables不需要重启,加载一次规则就成:
iptables-restore < /etc/iptables.test.rules

第四步:保存生效的配置,让系统重启的时候自动加载有效配置
编辑创建如下文件:
vim /etc/network/if-pre-up.d/iptables
添加如下内容:
#!/bin/bash
/sbin/iptables-restore < /etc/iptables.test.rules
最后,设置可执行仅限
chmod +x /etc/network/if-pre-up.d/iptables


详解:
:INPUT ACCEPT [0:0]
# 该规则表示INPUT(进)表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD(转)表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT(出)表默认策略是ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
#REJECT 是用来返回一个错误的包来回应匹配包,其他的等价于DROP,所以它是一个拒绝TARGET,在规则的结束。这个TARGET仅仅用在INPUT,FORWARD和OUTPUT链和用户自定义的链,下列选项是用来定义返回错误的结果的:
icmp-host-unreachable
icmp-port-unreachable

-m state --state <状态> 有数种状态,状态有: ? INVALID:无效的封包,例如数据破损的封包状态 ? ESTABLISHED:已经联机成功的联机状态; ? NEW:想要新建立联机的封包状态; ? RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关, 可能是响应封包或者是联机成功之后的传送封包!这个状态很常被设定,因为设定了他之后,只要未来由本机发送出去的封包,即使我们没有设定封包的 INPUT 规则,该有关的封包还是可以进入我们主机, 可以简化相当多的设定规则

第五:其它
如果你想设置某ip段可以访问所有服务,你需要在iptables.test.rules文件中加入-A INPUT -m iprange --src-range 192.168.1.1-192.168.1.199 -j ACCEPT,然后从第三步再设置一次。

在Linux上,iptables是用于建立和维护IP包过滤规则表的管理工具,实际过滤工作由内核的netfilter模块负责。
规则表有几种(最常用的是filter表),每个表中可以包含若干规则链,每个规则链包含一组规则,每条规则定义一个匹配条件和处理动作。
常用的规则链:
INPUT: 处理从外部发给本机的网络包;
FORWARD: 处理从外部发来,需要转发到外部的网络包;
OUTPUT: 处理从本机发往外部的网络包;
常用的处理动作:
ACCEPT: 通过;
DROP: 抛弃;
QUEUE: 通过,并加入用户空间的队列中;
RETURN: 停止后续规则检查,直接转到默认处理;
分析一个实际的网络防火墙过滤表:
-A INPUT -i lo -j ACCEPT
-A INPUT表示加入INPUT链,对应接收数据包;-i lo表示来自本机网络接口(localhost);-j ACCEPT表示处理动作为接受。整条规则表示所有本机发给自己的数据包可以通过。
-A INPUT -i !lo -d 127.0.0.0/8 -j REJECT
-i !lo表示非localhost的其他网络接口,-d 127.0.0.0/8 表示网络地址的匹配,使用网络掩码255.0.0.0(255的二进制有8个1,如果是掩码255.255.255.0,对应的数字为24)处理后与 127.0.0.0相同。整条规则表示不是来自本机,且IP地址以127开头的数据包全部丢弃;
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-m表示match,state –state ESTABLISHED,RELATED表示状态为已有连接通道上的网络包;
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-p对应网络协议,–dport对应端口号;两条规则表示接受http(80端口),https(443端口)的tcp包;
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
SSH协议使用22端口,这条规则表示接收新建SSH连接的数据包;
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
–icmp-type 8对应 echo-request(ping),此条规则表示允许外部的ping命令;
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
记录接收数据包被拒绝(log-level=7)的日志,最高记录频率为5条/分钟,日志可通过dmesg或syslog查看
-A INPUT -j REJECT
-A FORWARD -j REJECT
-A OUTPUT -j ACCEPT
最后放一组默认规则:未匹配的所有接收数据包,拒绝;所有转发数据包,拒绝;所有外发数据包,允许;
如果要在android下通过iptables技术来控制app的网络访问权限,大致规则为:
-A OUTPUT -m owner --uid-owner [app-uid] -j REJECT
阅读(2305) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~