>백엔드 개발 >PHP 튜토리얼 >iptables에 대한 자세한 설명

iptables에 대한 자세한 설명

WBOY
WBOY원래의
2016-07-29 09:15:021847검색

1: 서문
직설적으로 말하면 방화벽은 Linux에서 액세스 제어 기능을 구현하는 데 사용됩니다. 방화벽은 하드웨어 방화벽과 소프트웨어 방화벽의 두 가지 유형으로 나뉩니다. 어떤 네트워크에 있든 방화벽이 작동하는 장소는 네트워크 가장자리에 있어야 합니다. 우리의 임무는 방화벽이 작동하는 방식을 정의하는 것입니다. 이는 방화벽의 정책과 규칙으로, 네트워크에 들어오고 나가는 IP와 데이터를 감지할 수 있습니다.

현재 시중에 나와 있는 보다 일반적인 방화벽에는 네트워크 계층 방화벽이라고 하는 계층 3 및 계층 4 방화벽과 실제로 프록시 계층의 게이트웨이인 계층 7 방화벽이 있습니다.

TCP/IP의 7계층 모델의 경우 세 번째 계층이 네트워크 계층이고 3계층 방화벽이 이 계층에서 소스 주소와 대상 주소를 감지한다는 것을 알고 있습니다. 그러나 7계층 방화벽의 경우 소스 포트나 대상 포트, 소스 주소 또는 대상 주소가 무엇이든 상관없이 모든 사항이 확인됩니다. 따라서 설계 원칙상 7계층 방화벽이 더 안전하지만 효율성이 떨어지는 결과를 낳습니다. 따라서 시중에 나와 있는 일반적인 방화벽 솔루션은 이 두 가지를 조합한 것입니다. 그리고 우리 모두는 방화벽이 제어하는 ​​포트를 통해 접속해야 하기 때문에 방화벽의 효율성은 사용자가 접속할 수 있는 데이터의 양을 결정하는 가장 중요한 요소가 되었습니다. 구성이 좋지 않으면 트래픽 문제가 발생할 수도 있습니다. 병목. 2: iptables의 역사와 작동 원리
1. iptables의 개발:

iptables의 전신은 ipfirewall(커널 1.x 시대)이라고 불리며, freeBSD에서 포팅되었습니다. 작성자. 데이터 패킷을 감지하고 커널에서 작동할 수 있는 간단한 액세스 제어 도구입니다. 그러나 ipfirewall의 작동 기능은 극히 제한적입니다(규칙이 실행될 수 있으려면 모든 규칙을 커널에 넣어야 하며, 일반적으로 커널에 넣는 것은 매우 어렵습니다). 커널이 2. 접근 제어 기능으로 개발되었을 때.

사용자 공간에서 작동하고 규칙을 정의하는 도구이지 방화벽 자체는 아닙니다. 그들이 정의한 규칙은 커널 공간의 netfilter로 읽을 수 있으며 방화벽이 작동하도록 허용합니다. 커널에 삽입되는 위치는 tcp/ip 프로토콜 스택이 통과하는 특정 위치여야 합니다. tcp/ip 프로토콜 스택이 통과해야 하고 읽기 규칙을 구현할 수 있는 곳을 netfilter(네트워크 필터)라고 합니다.

2.iptables의 작동 메커니즘
<code>作者一共在内核空间中选择了5个位置,
1.内核空间中:从一个网络接口进来,到另一个网络接口去的
2.数据包从内核流入用户空间的
3.数据包从用户空间流出的
4.进入/离开本机的外网接口
5.进入/离开本机的内网接口
</code>

에서 위의 전개를 통해 작성자가 통제 장소로 5곳을 선택한 것을 알 수 있는데, 실제로 처음 3곳은 기본적으로 경로를 완전히 차단할 수 있는데 왜 입구와 출구에 체크포인트를 설치했는지 알고 계셨나요? 나중에 내부적으로 문제가 발생하면 어떻게 해야 합니까? 데이터 패킷에 대한 라우팅 결정이 아직 이루어지지 않았고 데이터가 어디로 가는지 알 수 없기 때문에 가져오기 및 내보내기 시 데이터 필터링을 구현할 방법이 없습니다. 따라서 커널 공간에서의 포워딩 레벨, 사용자 공간에 진입하기 위한 레벨, 사용자 공간에서 나가기 위한 레벨을 설정하는 것이 필요하다. 그렇다면 쓸모가 없다면 왜 배치합니까? NAT 및 DNAT를 수행할 때 라우팅 전에 대상 주소 변환이 변환되어야 하기 때문입니다. 따라서 외부 네트워크의 인터페이스에 체크포인트를 설정한 다음 내부 네트워크의 인터페이스에 체크포인트를 설정해야 합니다.

이 다섯 가지 위치는 다섯 가지 후크 기능, 다섯 가지 규칙 체인이라고도 합니다.

1.라우팅 전(라우팅 전)

2.INPUT(패킷 흐름 항목)
3.FORWARD (전방관리카드)
4.OUTPUT(데이터 패킷 내보내기)
5.포스트라우팅(라우팅 후)
이는 NetFilter가 지정하는 5개의 규칙 체인입니다. 이 시스템을 통과하는 모든 데이터 패킷은 이 5개의 체인 중 하나를 통과해야 합니다.

3. 방화벽 전략

방화벽 전략은 크게 두 가지로 나뉘는데, 하나는 '통과' 전략이고, 다른 하나는 '차단' 전략이라고 합니다. 기본적으로 누가 입장할 수 있는지 정의해야 합니다. 차단 전략은 문은 열려 있지만 신원 인증이 있어야 하고, 그렇지 않으면 들어갈 수 없다는 것입니다. 그래서 우리는 들어오는 사람은 들어오게 하고 나가는 사람은 나가게 한다는 것을 정의해야 합니다. 따라서 열린다는 것은 모두를 허용하는 것을 의미하고 차단하는 것은 선택하는 것을 의미합니다. 정책을 정의할 때 데이터 패킷에서 허용되거나 허용되지 않는 정책 정의, 필터 기능 및 주소 변환 기능을 정의하는 nat 옵션을 포함하여 여러 기능을 각각 정의해야 합니다. 이러한 기능이 교대로 작동할 수 있도록 다양한 작동 기능과 처리 방법을 정의하고 구별하기 위해 "테이블"의 정의를 공식화했습니다.

현재 세 가지 기능을 사용하고 있습니다.

1. 필터는 허용되는 것과 허용되지 않는 것을 정의합니다

2.nat는 주소 변환을 정의합니다
3. Mangle 기능 : 메시지 원본 데이터 수정

메시지 원본 데이터를 수정하여 TTL을 수정합니다. 데이터 패킷의 메타데이터를 분해하고 내부 내용을 표시/수정하는 것이 가능합니다. 방화벽 태그는 실제로 mangle로 구현됩니다.

小扩展:
对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT
对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

iptables/netfilter(这款软件)是工作在用户空间的,它可以让规则进行生效的,本身不是一种服务,而且规则是立即生效的。而我们iptables现在被做成了一个服务,可以进行启动,停止的。启动,则将规则直接生效,停止,则将规则撤销。

iptables还支持自己定义链。但是自己定义的链,必须是跟某种特定的链关联起来的。在一个关卡设定,指定当有数据的时候专门去找某个特定的链来处理,当那个链处理完之后,再返回。接着在特定的链中继续检查。

注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。

三.规则的写法:

<code>iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
    -t table :3个filter nat mangle
    COMMAND:定义如何对规则进行管理
    chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
    CRETIRIA:指定匹配标准
    -j ACTION :指定如何进行处理

比如:不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
当然你如果想拒绝的更彻底:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v   #查看定义规则的详细信息
</code>

四:详解COMMAND:

1.链管理命令(这都是立即生效的)
-P :设置默认策略的(设定默认门是关着的还是开着的)
默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有链
-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空

2.规则管理命令
-A:追加,在当前链的最后新增一个规则
-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条
-R num:Replays替换/修改第几条规则
格式:iptables -R 3 …………
-D num:删除,明确指定删除第几条规则

3.查看管理命令 “-L”
附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
–line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息

五:详解匹配标准

1.通用匹配:源地址目标地址的匹配
-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反,加一个“!”表示除了哪个IP之外
-d:表示匹配目标地址
-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)
-i eth0:从这块网卡流入的数据
流入一般用在INPUT和PREROUTING上
-o eth0:从这块网卡流出的数据
流出一般在OUTPUT和POSTROUTING上

2.扩展匹配
2.1隐含扩展:对协议的扩展
-p tcp :TCP协议的扩展。一般有三种扩展
–dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
–dport 21 或者 –dport 21-23 (此时表示21,22,23)
–sport:指定源端口
–tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)
对于它,一般要跟两个参数:
1.检查的标志位
2.必须为1的标志位
–tcpflags syn,ack,fin,rst syn = –syn
表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn
-p udp:UDP协议的扩展
–dport
–sport
-p icmp:icmp数据报文的扩展
–icmp-type:
echo-request(请求回显),一般用8 来表示
所以 –icmp-type 8 匹配请求回显数据包
echo-reply (响应的数据包)一般用0来表示

2.2显式扩展(-m)
扩展各种模块
-m multiport:表示启用多端口扩展
之后我们就可以启用比如 –dports 21,23,80

六:详解-j ACTION

<code>常用的ACTION:
DROP:悄悄丢弃
    一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表
REJECT:明示拒绝
ACCEPT:接受
    custom_chain:转向一个自定义的链
DNAT
SNAT
MASQUERADE:源地址伪装
REDIRECT:重定向:主要用于实现端口重定向
MARK:打防火墙标记的
RETURN:返回
    在自定义链执行完毕后使用返回,来返回原规则链。
</code>

练习题1:
只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务
分析:首先肯定是在允许表中定义的。因为不需要做NAT地址转换之类的,然后查看我们SSHD服务,在22号端口上,处理机制是接受,对于这个表,需要有一来一回两个规则,如果我们允许也好,拒绝也好,对于访问本机服务,我们最好是定义在INPUT链上,而OUTPUT再予以定义就好。(会话的初始端先定义),所以加规则就是:
定义进来的: iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp –dport 22 -j ACCEPT
定义出去的: iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp –dport 22 -j ACCEPT
将默认策略改成DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

七:状态检测:

<code>是一种显式扩展,用于检测会话之间的连接关系的,有了检测我们可以实现会话间功能的扩展
    什么是状态检测?对于整个TCP协议来讲,它是一个有连接的协议,三次握手中,第一次握手,我们就叫NEW连接,而从第二次握手以后的,ack都为1,这是正常的数据传输,和tcp的第二次第三次握手,叫做已建立的连接(ESTABLISHED),还有一种状态,比较诡异的,比如:SYN=1 ACK=1 RST=1,对于这种我们无法识别的,我们都称之为INVALID无法识别的。还有第四种,FTP这种古老的拥有的特征,每个端口都是独立的,21号和20号端口都是一去一回,他们之间是有关系的,这种关系我们称之为RELATED。
所以我们的状态一共有四种:
    NEW
    ESTABLISHED
    RELATED
    INVALID

所以我们对于刚才的练习题,可以增加状态检测。比如进来的只允许状态为NEW和ESTABLISHED的进来,出去只允许ESTABLISHED的状态出去,这就可以将比较常见的反弹式木马有很好的控制机制。
</code>

对于练习题的扩展:
进来的拒绝出去的允许,进来的只允许ESTABLISHED进来,出去只允许ESTABLISHED出去。默认规则都使用拒绝
iptables -L -n –line-number :查看之前的规则位于第几行
改写INPUT
iptables -R INPUT 2 -s 172.16.0.0/16 -d 172.16.100.1 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -R OUTPUT 1 -m state –state ESTABLISHED -j ACCEPT

<code>此时如果想再放行一个80端口如何放行呢?
    iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -R INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j ACCEPT
</code>

练习题2:
假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?
分析:对于ping这个协议,进来的为8(ping),出去的为0(响应).我们为了达到目的,需要8出去,允许0进来

在出去的端口上:iptables -A OUTPUT -p icmp –icmp-type 8 -j ACCEPT
在进来的端口上:iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT

小扩展:对于127.0.0.1比较特殊,我们需要明确定义它
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

八:SNAT和DNAT的实现

<code>由于我们现在IP地址十分紧俏,已经分配完了,这就导致我们必须要进行地址转换,来节约我们仅剩的一点IP资源。那么通过iptables如何实现NAT的地址转换呢?
</code>

1.SNAT基于原地址的转换
基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。
所以我们在iptables中就要定义到底如何转换:
定义的样式:
比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to-source 172.16.100.1
这样,只要是来自本地网络的试图通过网卡访问网络的,都会被统统转换成172.16.100.1这个IP.
那么,如果172.16.100.1不是固定的怎么办?
我们都知道当我们使用联通或者电信上网的时候,一般它都会在每次你开机的时候随机生成一个外网的IP,意思就是外网地址是动态变换的。这时我们就要将外网地址换成 MASQUERADE(动态伪装):它可以实现自动寻找到外网地址,而自动将其改为正确的外网地址。所以,我们就需要这样设置:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
这里要注意:地址伪装并不适用于所有的地方。

2.DNAT目标地址转换
对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器,而我们的服务却放在内网服务器的不同的服务器上。

<code>如何做目标地址转换呢?:
    iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2
    目标地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上
</code>

九:控制规则的存放以及开启

<code>注意:你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来
1.service iptables save 命令
    它会保存在/etc/sysconfig/iptables这个文件中
2.iptables-save 命令
    iptables-save > /etc/sysconfig/iptables

3.iptables-restore 命令
        开机的时候,它会自动加载/etc/sysconfig/iptabels
        如果开机不能加载或者没有加载,而你想让一个自己写的配置文件(假设为iptables.2)手动生效的话:
        iptables-restore < /etc/sysconfig/iptables.2
        则完成了将iptables中定义的规则手动生效
</code>

十:总结
Iptables是一个非常重要的工具,它是每一个防火墙上几乎必备的设置,也是我们在做大型网络的时候,为了很多原因而必须要设置的。学好Iptables,可以让我们对整个网络的结构有一个比较深刻的了解,同时,我们还能够将内核空间中数据的走向以及linux的安全给掌握的非常透彻。我们在学习的时候,尽量能结合着各种各样的项目,实验来完成,这样对你加深iptables的配置,以及各种技巧有非常大的帮助。

转载
原文地址:http://blog.chinaunix.net/uid-26495963-id-3279216.html

以上就介绍了iptables详解,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:PHP 세션 관리다음 기사:PHP 세션 관리