iptables防火墙高级应用-nianzong-ChinaUnix博客

运维之道

首页　| 　博文目录　| 　关于我

nianzong

博客访问： 2504027
博文数量： 540
博客积分： 11289
博客等级：上将
技术积分： 6160
用户组：普通用户
注册时间： 2008-02-11 20:27

个人简介

潜龙勿用,见龙在田

文章分类

全部博文（540）

java（1）
php/perl（1）
团队建设（0）
jboss（3）
数据结构初级知识（1）
SVN版本管理（2）
文学（12）

散文（0）

诗歌欣赏（10）
电脑硬件（1）
英语学习（9）
人生（18）

private（1）
职场（12）
Nginx（21）
Web加速专题（4）

Squid（1）
Mail（11）

POSTFIX（4）

Sendmail（4）

Qmail（2）
MySQL（41）

Memcached（7）

MySQL Replicatio（9）

MySQL-Proxy（2）
Cisco&网络技术（12）

网络技术基本概念（4）

CCIE（0）

CCNP（0）

CCNA（0）

Cisco网络技术（0）

负载均衡技术（2）

Network（0）
Cluster & LB & H（15）

HA（2）

LVS（7）
备份存储（13）
IT运维（81）

大阿里大淘宝（15）

自动安装部署（5）

性能测试/分析/优（9）

zabbix（2）

云里雾里之云计算（1）

网站运维架构探讨（10）

Vmware（3）

DNS（8）

性能监控（0）

服务器架站、硬件（8）

Nagios（6）

Cacti（1）
项目管理相关（3）
Security（4）
Tomcat（8）
Apache（14）
Oracle（0）
Unix（0）

Solaris（0）

AIX（0）
IT认证（1）

Cisco（0）

LPI（0）

RHCE（1）
音乐（3）
Windows（12）

WindowsServer200（1）

WindowsXP（7）
健康养生（22）

气功养生（7）

太极拳（7）
Linux（187）

vps（2）

Linux_kernel（7）

RHEL/CentOS（11）

Debian/Ubuntu（6）

OpenSource（1）

System Admin（71）

LinuxOSDownload（5）

BASH Shell（61）

Iptables（11）

Linux_Security（10）
未分配的博文（28）

文章存档

2018年（2）

2013年（5）

2012年（24）

2011年（104）

2010年（60）

2009年（217）

2008年（128）

我的朋友

最近访客

推荐博文

iptables防火墙高级应用

分类：

2008-02-13 13:39:11

IPtables与防火墙

单机型 firewall 将Server藏在LAN中--DNAT

　

iptables 跟 ipchains 是无法同时使用,如果您已经使用 ipchains ,要改用 iptables 时,要先将 ipchains 的 modules 移除,在载入 iptables 的 module , 才可以使用 iptables !!

1.先检查是否载入 ipchains module

lsmod | grep ipchains

2.如果有的话,要移除 ipchains

/etc/rc.d/init.d/ipchains stop ( or ipchains -F )
rmmod ipchains

3.再检查是否有成功移除

lsmod | grep ipchains

4.载入 iptable module

modprobe ip_tables

　

--------------------------------------------------------------------------------

防止别人用ACK、SYN、FIN等等的封包来扫瞄 Linux

iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

　

--------------------------------------------------------------------------------

NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

不过此时 ftp 会无法正常运作,必须另外再加上

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

另外可以配合 proxy server,强制每台 client 端均透过 proxy 连线

iptables -t nat -I PREROUTING -i eth0 -p tcp -s 192.168.0.0/255.255.255.0 -d 192.168.0.113 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128

　

　

--------------------------------------------------------------------------------

限制连线条件

iptables -A FORWARD -p TCP -s 11.22.33.44 -d 44.33.22.11 -j DROP

从 11.22.33.44 的 port 1024-65535 连线到 44.33.22.11 的 port 80 ,一律档掉!!

iptables -A FORWARD -p TCP -s 11.22.33.44 --sport 1024:65535 -d 44.33.22.11 --dport www -j DROP

　

--------------------------------------------------------------------------------

防止 port scan

# NMAP FIN/URG/PSH
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP

# Another Xmas Tree
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

# Null Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP

# SYN/RST
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

# SYN/FIN -- Scan(possibly)
iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

　

--------------------------------------------------------------------------------

防止 sync flood 攻击的设定:

iptables -N synfoold
iptables -A synfoold -p tcp --syn -m limit --limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -m state --state NEW -j synfoold

不过流量一大就不太好了!!

所以可以调整时间与次数的触发值

iptables -N ping
iptables -A ping -p icmp --icmp-type echo-request -m limit --limit 1/second -j RETURN
iptables -A ping -p icmp -j REJECT
iptables -I INPUT -p icmp --icmp-type echo-request -m state --state NEW -j ping

关闭主机的 icmp echo request

或者是直接设定主机不回应 echo request

  /proc/sys/net/ipv4/icmp_echo_ignore_all

--------------------------------------------------------------------------------

  其他 iptables 的 sample

  # 挂入相关 module
  modprobe ip_tables
  modprobe ip_conntrack
  modprobe ip_conntrack_ftp
  modprobe ip_conntrack_irc

  # 先清成空白
  iptables -F
  iptables -X
  iptables -F -t nat
  iptables -X -t mangle

  # 把 FORWARD 关闭
  iptables -P FORWARD DROP

  # 这是打开让自己网域可以方便连结，也就是该网域不设防

  iptables -A INPUT -p all -s 192.168.0.0/255.255.255.0 -j ACCEPT

  # 允许相关连结服务

  iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
  iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --dport 113 -j ACCEPT

  iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

  上面是打开允许 port 20、21、22、23、25、53、110、113 等服务才能够
  被外面所连线。

  port 20、21 : ftp 使用的。
  port 22 : ssh 连线
  port 23 : telnet 连线。方便使用，其实不开放比较安全。
  port 25 : sendmail 使用。让信件可以寄进来。
  port 53 : dns 使用。dns 需要打开 udp 使用。
  port 110 : pop3 使用
  port 113 : auth 身份确认。打开是让一些使用该 113 确认身份的主机
         不至于反查时会卡住很久。

  最后一行是对于主动连线或者是不合法连线，一律通通拒绝掉。

  这个 script 内容，很适用只允许外面连结特定的 port 服务，剩下的其余
  port 就拒绝外面主动建立的连线。

　

(以上部分转载自网路上的 news ,来自小州兄的大作,可惜小编一直抽不出时间完整的整理 iptables ...残廿...)

　

以下是小编针对单一防护型的 server , 所撰写的 iptables ,其目的只有防护自己,如果您的情形也是如此,可以直接採用,只需要修改哪些 port 要开放就可以了!!

#!/bin/sh
# Sep,30,2002 Mon Anderson add for testing

# load modules if necessary
modprobe ip_tables
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp
# modprobe ip_conntrack_irc

# disable all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# define default policy
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# allow all localhost
iptables -A INPUT -i lo -j ACCEPT

# allow ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -i eth0 -p tcp --dport 23 -j ACCEPT
# iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -d 192.168.0.229 -j ACCEPT

# log
# iptables -A INPUT -p tcp -d 0.0.0.0/24 -j LOG --log-prefix "DROP_AAA__ " --log-level info
# iptables -A INPUT -p tcp --dport 1:65535 -j LOG --log-prefix "DROP_BBB__ " --log-level info

# allow old connection and deny new connection
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

如果用 iptables -L ,会得到以下结果

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere state INVALID,NEW

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Lokkit-0-50-INPUT (0 references)
target prot opt source destination

另外,使用 iptables -t nat -L ,会得到以下结果

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

以上的 script , 用来保护单机型的 server ,应该是足够了!!

--------------------------------------------------------------------------------

将 Server 藏在 LAN 中--DNAT 的实作

  看完单机型的 firewall , 接着就来看看如何利用 iptables 实作 firewall , 将需要保护的 server 藏到 LAN , 透过 firewall 实作 DNAT 的方式来保护!!

架构图如下 :

　

将 WWW Server 藏到 192.168.0.1 , 但是希望 Internet 的其他 user ,输入能够看到 192.168.0.1 的网页内容

　

#!/bin/sh
# Dec,11,2002 Wed Anderson add for testing

# load modules if necessary
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

# disable all chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# disable forward chain
# iptables -P FORWARD DROPecho "1" > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

# alloe all localhost
iptables -A INPUT -i lo -j ACCEPT

# allow specical IP
# iptables -A INPUT -p tcp -d 192.168.0.1 -j ACCEPT

# allow ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

# allow http
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

# allow old connection and deny new connection
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP

# setup DMZ -- DNAT
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 11.22.33.44 --dport 80 -j DNAT --to-destination 192.168.0.1:80

# open DMZ goto Internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
　

　

至于 WWW Server , 只要将 Default Gateway 指向 192.168.0.254 即可以,此时就可以从 Internet 上,输入连结到 LAN 上的 WWW Server 了!!

其他如果需要 FTP Server, Mail Server,则依照需要的 port 开放就可以了!!

阅读(1302) | 评论(0) | 转发(0) |

上一篇：iptables整休模块链表结构图

下一篇：MemCached 压力测试

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6