Analyse approfondie de la façon d'utiliser iptables sous CentOS

1 : Avant-propos

Les pare-feu, pour parler franchement, sont utilisés pour mettre en œuvre des fonctions de contrôle d'accès sous Linux. Ils se divisent en deux types : les pare-feu matériels ou logiciels. Quel que soit le réseau dans lequel vous vous trouvez, l'endroit où fonctionne le pare-feu doit être en périphérie du réseau. Notre tâche est de définir le fonctionnement du pare-feu. Il s'agit des politiques et des règles du pare-feu, afin qu'il puisse détecter l'IP et les données entrant et sortant du réseau.

À l'heure actuelle, les pare-feu les plus courants sur le marché comprennent les pare-feu de couche 3 et 4, appelés pare-feu de couche réseau, et les pare-feu de couche 7, qui sont en fait des passerelles au niveau de la couche proxy.

Pour le modèle à sept couches de TCP/IP, nous savons que la troisième couche est la couche réseau, et le pare-feu à trois couches détectera l'adresse source et l'adresse de destination au niveau de cette couche. Mais pour un pare-feu à sept couches, quel que soit votre port source ou port de destination, votre adresse source ou votre adresse de destination, toutes vos informations seront vérifiées. Par conséquent, en termes de principes de conception, les pare-feu à sept couches sont plus sécurisés, mais cela se traduit par une efficacité moindre. Les solutions de pare-feu habituelles sur le marché sont donc une combinaison des deux. Et comme nous devons tous accéder via le port contrôlé par le pare-feu, l'efficacité du pare-feu est devenue le contrôle le plus important sur la quantité de données auxquelles les utilisateurs peuvent accéder. Une mauvaise configuration peut même devenir un goulot d'étranglement pour le trafic.

2 : L'histoire et le principe de fonctionnement d'iptables

1. Développement d'iptables :

Le prédécesseur d'iptables s'appelle ipfirewall (ère du noyau 1.x). Il s'agit d'un simple outil de contrôle d'accès que l'auteur a transplanté de freeBSD et peut fonctionner dans le noyau pour détecter les paquets de données. Cependant, la fonction de travail d'ipfirewall est extrêmement limitée (il doit mettre toutes les règles dans le noyau pour que les règles puissent s'exécuter, et le mettre dans le noyau est généralement extrêmement difficile). Lorsque le noyau s'est développé vers les 2. Fonctions de contrôle d'accès.

Ce sont des outils qui fonctionnent dans l'espace utilisateur et définissent des règles, et ne sont pas eux-mêmes des pare-feu. Les règles qu'ils définissent peuvent être lues par netfilter dans l'espace noyau et permettent au pare-feu de fonctionner. L'endroit où il est placé dans le noyau doit être un emplacement spécifique, où passe la pile de protocole tcp/ip. L'endroit où doit passer la pile de protocole tcp/ip et où les règles de lecture peuvent être implémentées s'appelle netfilter (Network filter)

.

L'auteur a sélectionné un total de 5 emplacements dans l'espace du noyau,

1. Dans l'espace noyau : provenant d'une interface réseau et allant vers une autre interface réseau

2. Les paquets de données circulent du noyau vers l'espace utilisateur

3. Les paquets de données sortent de l'espace utilisateur

4. Entrez/quittez l'interface réseau externe de cette machine

5. Entrez/quittez l'interface du réseau local

2. Mécanisme de fonctionnement d'iptables

D'après le développement ci-dessus, nous savons que l'auteur a choisi 5 emplacements comme lieux de contrôle, mais avez-vous découvert qu'en fait, les trois premiers emplacements peuvent fondamentalement bloquer complètement le chemin, mais pourquoi ont-ils été placés à l'entrée et à la sortie ? si je reste coincé à l'intérieur après avoir passé le niveau ? Étant donné que les décisions de routage n'ont pas encore été prises pour les paquets de données et que l'on ne sait pas encore où vont les données, il n'existe aucun moyen de mettre en œuvre un filtrage des données lors de l'importation et de l'exportation. Par conséquent, il est nécessaire de définir le niveau de transfert dans l'espace noyau, le niveau d'entrée dans l'espace utilisateur et le niveau de sortie de l'espace utilisateur. Alors, s’ils ne servent à rien, pourquoi les place-t-on ? Parce que lorsque nous faisons du NAT et du DNAT, la traduction de l'adresse cible doit être traduite avant le routage. Il faut donc définir le point de contrôle à l’interface du réseau externe puis du réseau interne. ​ ​

Ces cinq positions sont aussi appelées cinq fonctions de crochet, également appelées cinq chaînes de règles.

1.PREROUTING (avant le routage)

2.INPUT (entrée du flux de paquets)

3.FORWARD (Carte de gestion Forward)

4.OUTPUT (exportation de paquets de données)

5.POSTROUTING (après routage)

Ce sont les cinq chaînes de règles spécifiées par NetFilter. Tout paquet de données qui passe par cette machine passera certainement par l'une de ces cinq chaînes. ​

3. Stratégie de pare-feu

Les politiques de pare-feu sont généralement divisées en deux types, l'une est appelée politique de « pass » et l'autre est appelée politique de « blocage ». Dans la politique de pass, la porte est fermée par défaut et il est nécessaire de définir qui peut. entrer. La stratégie de blocage est que la porte est ouverte, mais vous devez avoir une authentification d'identité, sinon vous ne pouvez pas entrer. Il faut donc définir, laisser entrer ceux qui entrent et laisser sortir ceux qui sortent, donc ouvrir c'est permettre à tous, et bloquer c'est choisir. Lorsque nous définissons la politique, nous devons définir respectivement plusieurs fonctions, notamment : définir les politiques autorisées ou non dans le paquet de données, la fonction de filtrage et l'option nat qui définit la fonction de traduction d'adresse. Afin de permettre à ces fonctions de fonctionner en alternance, nous avons formulé la définition de « table » pour définir et distinguer diverses fonctions de travail et méthodes de traitement.

Nous utilisons actuellement trois fonctions :

1.filter définit ce qui est autorisé ou non

2.nat définit la traduction d'adresse

Fonction 3.mangle : modifie les données originales du message

Nous modifions les données originales du message pour modifier le TTL. Il est possible de démonter les métadonnées du paquet de données et de marquer/modifier le contenu à l'intérieur. Les balises de pare-feu sont en fait implémentées par mangle.

Petite extension :

Pour les filtres, généralement cela ne peut se faire que sur 3 chaînes : INPUT, FORWARD, OUTPUT

Pour le NAT, généralement cela ne peut se faire que sur 3 chaînes : PREROUTING, OUTPUT, POSTROUTING

Mangle peut réaliser les 5 chaînes : PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

iptables/netfilter (ce logiciel) fonctionne dans l'espace utilisateur. Il peut faire prendre effet aux règles. Ce n'est pas un service en soi, et les règles prennent effet immédiatement. Et notre iptables est désormais transformé en un service qui peut être démarré et arrêté. Si elles sont démarrées, les règles prendront effet directement ; si elles sont arrêtées, les règles seront révoquées.

iptables prend également en charge la définition de votre propre chaîne. Mais la chaîne que vous définissez doit être associée à une chaîne spécifique. Dans un paramètre de niveau, spécifiez que lorsqu'il y a des données, accédez à une chaîne spécifique pour le traitement, puis revenez une fois cette chaîne traitée. Continuez ensuite à vérifier la chaîne spécifique.

Remarque : L'ordre des règles est très critique. Plus les règles sont strictes, plus elles doivent être placées haut. Lors de la vérification des règles, elles sont vérifiées de haut en bas.

Trois. Comment rédiger les règles :

La façon dont iptables définit les règles est plus compliquée :

Format : iptables [-t table] Chaîne de COMMANDES CRETIRIA -j ACTION

-t table : 3 filtres nat mangle

COMMANDE : Définir comment gérer les règles

chain : spécifiez sur quelle chaîne votre prochaine règle fonctionnera. Cela peut être omis lors de la définition de la stratégie

.

CRETIRIA : Préciser les critères de correspondance

-j ACTION : Préciser comment traiter

Par exemple : 172.16.0.0/24 n'est pas autorisé à accéder.

iptables -t filtre -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

Bien sûr, si vous souhaitez refuser de manière plus approfondie :

iptables -t filtre -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v #Afficher les informations détaillées des règles définies

Quatre : Explication détaillée COMMANDE :

1.Commandes de gestion de la chaîne (celles-ci sont efficaces immédiatement)

-P : Définir la politique par défaut (définir si la porte par défaut est fermée ou ouverte)

Il n'existe généralement que deux stratégies par défaut

iptables -P INPUT (DROP | ACCEPT) La valeur par défaut est désactivée/la valeur par défaut est activée

Par exemple :

iptables -P INPUT DROP Ceci rejette la règle par défaut. Et aucune action n'est définie, donc toutes les règles concernant les connexions externes, y compris les connexions Xshell, et les connexions distantes sont rejetées.

-F : FLASH, efface la chaîne de règles (notez les droits de gestion de chaque chaîne)

iptables -t nat -F PRÉROUTAGE

iptables -t nat -F efface toutes les chaînes de la table nat

-N:NEW aide les utilisateurs à créer une nouvelle chaîne

iptables -N inbound_tcp_web indique qu'il est attaché à la table TCP pour vérifier le Web.

-X : utilisé pour supprimer les liens vides définis par l'utilisateur

La méthode d'utilisation est la même que -N, mais les liens à l'intérieur doivent être effacés avant la suppression

-E : Utilisé pour renommer la chaîne, principalement utilisé pour renommer les chaînes définies par l'utilisateur

-E ancien nom nouveau nom

-Z : Effacer la chaîne et les compteurs des règles par défaut dans la chaîne (il y a deux compteurs, combien de paquets et d'octets correspondent)

iptables -Z : Effacer

2. Commandes de gestion des règles

-A : Ajouter, ajouter une règle à la fin de la chaîne actuelle

-I num : Insérer, insérer la règle actuelle dans quel numéro.

-I 3 : Insérer comme troisième élément

-R num : Rejoue quelle règle remplacer/modifier

Format : iptables -R 3…………

-D num : supprimer, préciser clairement quelle règle supprimer

3. Visualisez la commande de gestion «-L»

Ajouter des sous-commandes

-n : affiche l'adresse IP sous forme numérique. Il affichera l'adresse IP directement. Si -n n'est pas ajouté, l'adresse IP sera résolue de manière inverse dans le nom d'hôte.

-v : Afficher des informations détaillées

-vv

-vvv : Plus il y en a, plus c'est détaillé

-x : Afficher la valeur exacte sur le compteur sans conversion d'unité

--line-numbers : Afficher les numéros de ligne des règles

-t nat : Afficher des informations sur tous les niveaux

Five : Explication détaillée des critères de correspondance

1. Correspondance universelle : correspondance de l'adresse source et de l'adresse cible

-s : Spécifiez comme adresse source à correspondre, le nom d'hôte ne peut pas être spécifié ici, il doit être IP

IP | IP/MASQUE | 0.0.0.0/0.0.0.0

Et l'adresse peut être inversée, ajoutez un "!" pour indiquer sauf quelle IP

-d : indique l'adresse cible correspondante

-p : utilisé pour faire correspondre les protocoles (il y a généralement 3 protocoles ici, TCP/UDP/ICMP)

-i eth0 : données provenant de cette carte réseau

Inflow est généralement utilisé pour INPUT et PREROUTING

-o eth0 : Données sortant de cette carte réseau

Outflow est généralement sur OUTPUT et POSTROUTING

2.Correspondance étendue

2.1 Extension implicite : extension du protocole

-p tcp : Une extension du protocole TCP. Il existe généralement trois types d'extensions

--dport XX-XX : Spécifiez le port cible. Plusieurs ports non consécutifs ne peuvent pas être spécifiés. Un seul port peut être spécifié, par exemple

.

--dport 21 ou --dport 21-23 (cela signifie 21,22,23)

--sport : Spécifiez le port source

--tcp-fiags : indicateurs TCP (SYN, ACK, FIN, PSH, RST, URG)

Pour cela, il doit généralement être suivi de deux paramètres :

1. Vérifiez le drapeau

2. Bit de drapeau qui doit être 1

--tcpflags syn,ack,fin,rst syn = --syn

signifie vérifier ces 4 bits, syn doit être 1 parmi ces 4 bits, et les autres doivent être 0. Cela signifie donc qu'il est utilisé pour détecter le premier paquet de la négociation à trois. Pour ce genre de paquet qui correspond spécifiquement au premier paquet dont SYN est 1, il existe aussi une abréviation appelée --syn

-p udp : extension du protocole UDP

-déport-

-Sport-

-p icmp : extension du message de données icmp

            --icmp-type :

echo-request (requête d'écho), généralement représenté par 8

Donc --icmp-type 8 correspond à la demande de paquets d'écho

echo-reply (paquet de données de réponse) est généralement représenté par 0

2.2 Expansion explicite (-m)

Développez divers modules

-m multiport : indique l'activation de l'extension multiport

Après cela, nous pouvons activer par exemple --dports 21,23,80

Six : Explication détaillée-j ACTION ACTIONS couramment utilisées :

DROP : Jeter tranquillement

Généralement, nous utilisons DROP pour cacher notre identité et masquer notre liste chaînée

REJETER : exprimer son rejet

ACCEPTER : Accepter

custom_chain : passer à une chaîne personnalisée

DNAT

SNAT

MASQUERADE : masquage de l'adresse source

REDIRECT : Redirection : principalement utilisé pour implémenter la redirection de port

MARQUE : marque de pare-feu

RETOUR：Retour

Utilisez return après l'exécution de la chaîne personnalisée pour revenir à la chaîne de règles d'origine.

Question d'exercice 1 :

Tant qu'il provient du segment de réseau 172.16.0.0/16, il est autorisé à accéder au service SSHD de mon 172.16.100.1 local

Analyse : Tout d'abord, elle doit être définie dans la table d'autorisation. Parce qu'il n'est pas nécessaire de faire une traduction d'adresse NAT, etc., vérifiez notre service SSHD. Sur le port 22, le mécanisme de traitement est l'acceptation. Pour cette table, il doit y avoir deux règles, une d'avant en arrière, pour savoir si nous l'autorisons. ou le refuser, pour accéder aux services locaux, il est préférable de le définir sur la chaîne INPUT, puis de définir OUTPUT. (La fin initiale de la séance est définie en premier), donc la règle ajoutée est :

La définition entre : iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT

Défini : iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT

Changez la politique par défaut en DROP :

iptables -P INPUT DROP

iptables -P GOUTTE DE SORTIE

iptables -P FORWARD DROP

Seven : Détection d'état : est une extension explicite utilisée pour détecter la relation de connexion entre les sessions. Avec la détection, nous pouvons réaliser l'expansion des fonctions inter-sessions

.

Qu'est-ce que la détection de statut ? Pour l'ensemble du protocole TCP, il s'agit d'un protocole de connexion. Dans la prise de contact à trois, la première prise de contact est appelée NOUVELLE connexion. À partir de la deuxième prise de contact, l'accusé de réception est 1, ce qui correspond à une transmission de données normale. La troisième poignée de main de TCP est appelée connexions établies (ESTABLISHED). Il existe également un état assez étrange, tel que : SYN=1 ACK=1 RST=1. Pour ce genre de chose que nous ne pouvons pas reconnaître, nous l'appelons tous INVALID. méconnu. Il existe également un quatrième type, une fonctionnalité ancienne de FTP. Chaque port est indépendant. Les ports 21 et 20 vont et reviennent entre eux. Nous appelons cette relation pour RELATED.

Nous avons donc quatre états au total :

NOUVEAU

ÉTABLI

RELATED

INVALIDE

Nous pouvons donc ajouter la détection de statut aux questions d'exercice tout à l'heure. Par exemple, seuls ceux ayant le statut NEW et ESTABLISHED sont autorisés à entrer, et seuls les statuts ESTABLISHED sont autorisés à sortir. Cela peut fournir un bon mécanisme de contrôle pour les chevaux de Troie de rebond les plus courants.​

Extensions pour les questions pratiques :

Ceux qui entrent refusent l'autorisation de sortir, ceux qui entrent ne laissent entrer que les ÉTABLIS, et ceux qui sortent ne laissent sortir que les ÉTABLIS. Les règles par défaut utilisent toutes le refus

iptables -L -n --line-number : affiche la ligne où se trouve la règle précédente

Réécrire INPUT

iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -m state --state NOUVEAU, ÉTABLI -j ACCEPT

iptables -R OUTPUT 1 -m state --state ESTABLISHED -j ACCEPT

Si vous souhaitez libérer un autre port 80 à ce moment-là, comment pouvez-vous le libérer ?

iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT

Question d'exercice 2 :

Et si nous nous autorisons à envoyer un ping aux autres, mais que les autres ne peuvent pas nous envoyer un ping ?

Analyse : Pour le protocole ping, ce qui entre est 8 (ping) et ce qui sort est 0 (réponse). Afin d'atteindre notre objectif, nous avons besoin de 8 pour sortir et permettre à 0 d'entrer

.

Sur le port sortant : iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

Sur le port entrant : iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

Petite extension : 127.0.0.1 est particulière, il faut la définir clairement

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPTER

iptables -A SORTIE -s 127.0.0.1 -d 127.0.0.1 -j ACCEPTER

Huit : Mise en œuvre du SNAT et du DNAT

Étant donné que nos adresses IP sont désormais rares et ont été allouées, nous devons effectuer une traduction d'adresses pour économiser nos ressources IP restantes. Alors, comment implémenter la traduction d'adresses NAT via iptables ?

1. Conversion SNAT basée sur l'adresse d'origine

La conversion basée sur l'adresse d'origine est généralement utilisée lorsqu'un grand nombre d'utilisateurs de notre réseau interne accèdent à Internet via un port réseau externe. À l'heure actuelle, nous convertissons notre adresse réseau interne en une adresse IP de réseau externe et nous pouvons nous connecter à d'autres réseaux externes. . Fonctions IP.

Il faut donc définir comment convertir en iptables :

Style défini :

Par exemple, nous devons maintenant convertir toutes les adresses IP du segment de réseau 192.168.10.0 en l'adresse réseau externe supposée de 172.16.100.1 lors du passage :

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1

De cette façon, toute personne du réseau local qui tente d'accéder au réseau via la carte réseau sera convertie en IP 172.16.100.1.

Et si le 172.16.100.1 n'est pas corrigé ?

Nous savons tous que lorsque nous utilisons China Unicom ou China Telecom pour accéder à Internet, une adresse IP externe est généralement générée de manière aléatoire à chaque fois que vous allumez l'ordinateur, ce qui signifie que l'adresse du réseau externe est modifiée de manière dynamique. À ce stade, nous devons changer l'adresse du réseau externe en MASQUERADE (camouflage dynamique) : il peut trouver automatiquement l'adresse du réseau externe et la remplacer automatiquement par l'adresse du réseau externe correcte. Nous devons donc le configurer comme ceci :

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

Remarque ici : le masquage d’adresse ne s’applique pas à tous les lieux.

2.Conversion d'adresse cible DNAT

Pour la traduction d'adresse cible, le sens du flux de données va de l'extérieur vers l'intérieur. L'extérieur est le client et l'intérieur est le serveur. Grâce à la traduction d'adresse cible, nous pouvons permettre à l'adresse IP extérieure d'accéder à différents serveurs de notre serveur via notre réseau externe. IP, mais nos services sont placés sur différents serveurs du serveur intranet.

Comment effectuer une conversion d'adresse cible ? :

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2

La conversion de l'adresse cible doit être effectuée avant d'atteindre la carte réseau, elle doit donc être effectuée en position PREROUTING

9 : Contrôler le stockage et l'ouverture des règles

Remarque : tout le contenu que vous définissez sera invalide au redémarrage. Si nous voulons qu'il prenne effet, nous devons utiliser une commande pour le sauvegarder

.

1.service iptables save commande

Il sera enregistré dans le fichier /etc/sysconfig/iptables

2.commande iptables-save

iptables-save > /etc/sysconfig/iptables

3.commande iptables-restore

Lors du démarrage, il chargera automatiquement /etc/sysconfig/iptabels

S'il ne peut pas être chargé ou n'est pas chargé au démarrage et que vous souhaitez qu'un fichier de configuration écrit par vous-même (supposé être iptables.2) prenne effet manuellement :

iptables-restore /etc/sysconfig/iptables.2

Ensuite, vous avez terminé d'appliquer manuellement les règles définies dans iptables

Dix : Résumé

Iptables est un outil très important. C'est un paramètre presque nécessaire sur chaque pare-feu. C'est également quelque chose que nous devons configurer pour de nombreuses raisons lorsque nous construisons un grand réseau. Bien apprendre Iptables peut nous donner une compréhension plus approfondie de la structure de l'ensemble du réseau. En même temps, nous pouvons également avoir une compréhension approfondie de la direction des données dans l'espace du noyau et de la sécurité de Linux. Lorsque nous apprenons, nous essayons de combiner divers projets et expériences pour le compléter. Cela vous sera très utile pour approfondir la configuration d'iptables et diverses techniques.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!