防火墙原理以及iptables重要实践

防火墙

  • 主机间通信大致过程:

    1. 请求报文由客户端IP+PORT和服务器端IP+PORT构成。当客户端网络地址和服务端地址在同一网段时,不需要经由路由转发,可以直接到目标服务器,再经由服务器端口请求道所需资源;
    2. 当服务器端和客户端不在同一网段时。目标IP和源IP是不会改变的,会经由互联网中的路由器,按照其的路由表,指向该路由器的下一跳主机,知道找到服务器端所在网段。

      • 当Linux主机充当路由器时,接收到报文请求之后,判断目标IP是不是本地的IP地址,如果是,则发往内核空间拆开IP封装,再拆开端口地址封装,交由目标端口,有监听该端口的进程进行处理。
      • 当不是本地的IP,并且打开了核心转发功能(ip_forward),那么,就会交给其他网卡,并且根据相应的路由表进行转发
  • 防火墙的工作原理:

    • 由于主机之间的通信,需要IP和端口两个数据,那么我们可以在端口之外,将端口封起来,不允许随意访问,这样就可以实现防火墙功能呢个
    • 但是,作为服务器而言,需要向外提供服务;作为客户端而言,需要向外请求服务。所以,纯粹的封闭主机的端口,来达到防火墙功能,并不现实。需要在防火墙上添加规则,并且给出相应的处理动作,与规则条件不匹配的,做出什么样的处理动作,符合的又该做出什么动作。
    • 根据主机间的通信过程,我们可以了解到,一个请求进入一台Linux主机,有两个方向可以通过,一个是进入内核空间,另外一个是通过核心转发功能转发出去:

防火墙原理以及iptables重要实践
1. 请求报文进入主机内部,先经由prerouting,input链进入内核空间,到目标端口,进行处理
2. 处理完之后,用过output,postrouting,由本机发出 2. 请求报文进入主机内部,从prerouting,到forward,再到postrouting,由本机转发
3. 请求报文进入内核空间,经由ouput,postrouting,再到网卡,由本机发出 4. 对Linux而言,这五个能实现包进行处理的位置,是在内核中安置的一个框架,任何一个报文只要达到这个位置,都会被审核(根据检查规则作出相应处理动作。如何添加规则就是由管理员所定义的) 5. 通过iptables这个工具,将编写的规则通过这个工具发送给上述的框架 防火墙原理以及iptables重要实践

  • iptables:

    1. 功能:(4表)

    filter:过滤,防火墙;
    nat:network address translation nat会话的连接追踪表;用于修改源IP或目标IP,也可以改端口;(功能是地址转换,保护服务器一侧,就将它放置在服务器里,向外提供服务;保护客户端一侧,放置在客户端,代表客户端访问互联网。保护客户端的时候做源地址转换;保护服务端做目标地址转换)
    mangle:拆解报文,做出修改,并重新封装起来;(修改地址(源IP,目标IP)之外的其他属性,比如报文中的其他信息 ttl 协议版本等。)
    raw:关闭nat表上启用的连接追踪机制

    1. 5链

    PREROUTING
    INPUT
    FORWARD
    OUTPUT
    POSTROUTING

  • state

    它是coontrack模块(连接追踪)的子集;可以基于连接追踪功能去查看某一报文的当前所处的状态
    连接追踪:在内核内存中打开一段空间,这段空间可以记录下来,此前哪些客户端访问过。(给内核内存中添加了记录某个IP基于什么协议通过什么端口访问了哪些东西等信息)
    连接追踪功能需要激活后才能使用,需要装载(-m state –state
    对于一个非常繁忙的主机而言,要么调大这个空间,要么不开启追踪

    • [!] –state state

      INVALID,ESTABLSHED,NEW,RELATED or UNTRACKED.
      NEW:新连接请求;
      ESTABLISHED:已经建立的连接;
      RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;  UNTRACKED:未追踪的连接;
      INVALID:无法识别的连接;

    • state扩展:

      内核模块装载:
      nf_conntrack
      nf_conntrack_ipv4

    • 手动装载:

      nf_conntarck_ft

  • SNAT:源地址转换。用于将IP数据包的源地址转换成另外一个地址,实现隐藏客户端源IP,顺带着解决了IPv4地址不够使用的问题

  • DNAT:目标地址转换。实现了隐藏服务器地址,和解决IPv4地址不够使用的问题

    #环境:
    A:eth0:inet 192.168.2.128/24 
    B:eth0: inet 192.168.3.129/24;
       eth1: inet 192.168.2.129/24
    C:eth0:inet 192.168.3.128/24
    #B机器eth1为A机器的网关
    ip route add default via 192.168.2.129
    #B机器eth0为C机器网关
    ip route add default via 192.168.3.129
    #B机器添加规则:
    iptables -t nat -A PREROUTING -d 192.168.2.129 -j DNAT --to-destination 192.168.3.128       #构建DNAT
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.0.6                #构建SNAT

万能规则示例:

#在B机器(开启了核心转发功能的Linux主机)添加一下规则
iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
    #对所有已经建立的报文,都放行
iptables -I FOWARD 2 -s 192.168.2.0/24 -m state --state NEW -j ACCEPT
    #开放内网主机(A),访问服务端(外网主机C),放行NEW请求;表示放行内网去访问外网。
#注意,无法放行ftp这种半连接状态的协议,需要额外添加RELATED的规则
modprobe nf_conntrack_ftp
vim /etc/sysconfig/iptables-config
    IPTBLES_MODULES="nf_conntrack_ftp"      #firewalld文件,自动加载这个模块,CentOS6中自动启动可以使用脚本
iptables -I FORWARD 5 -d 192.168.2.128 -p tcp -m state --state RELATED -j ACCEPT

原创文章,作者:半斤八两,如若转载,请注明出处:http://www.178linux.com/78172

(1)
半斤八两半斤八两
上一篇 2017-06-18
下一篇 2017-06-18

相关推荐

  • 计算机组成及功能

    计算器:进行逻辑和算数运算 控制器:读取,接受,发出控制指令 存储器:存取程序和数据 I/O设备:输入指令并显示到标准输出设备

    Linux干货 2018-03-03
  • week5:grep命令和find命令的应用

    1.显示当前系统上root、fedora或user1用户的默认shell;     ~]# grep -E "^(root|fedora|user1):" /etc/passwd|cut -d/ -f4 2.找出/etc/rc.d/init.d/functions文件中某单词后面跟一组小括号的行,形如:hel…

    Linux干货 2016-11-28
  • 初来乍到

    坐上了去往北方的火车,我不知道自己为什么会颤抖,也许是耳朵里那首汪峰的《北京,北京》震撼到了我,接着满脑子便是灯红酒绿的大街道和浮华的高楼大厦,我幻想着有一天能在这样的大城市中闯出一片天。梦醒了 ! 30个小时的路程确实是让我满脑子都是未来的自己。 对于我这个从来没有见过世面的人来说,第一次来到北京这座一线大城市,内心充满着无比的欣喜和激动,但更多的还是那份…

    Linux干货 2018-03-26
  • RAID磁盘阵列

                           又是一周走过      &nbsp…

    2017-08-13
  • 第七周作业

    1、创建一个10G分区,并格式为ext4文件系统; (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl; ]#mke2fs -t ext4 -b 2048 -L MYDATA -m 2 O acl /dev/sda1 (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动运行,且不更新文件…

    Linux干货 2017-03-11
  • Linux发行版概述

    Linux发行版概述 Linux发行版有数百种之多,最主流的三个分支为Debain、Slackware、RedHat Debain Debain是三大主流发行版中唯一由社区维护的版本,无商业版本,相对较为轻巧,对使用者的技术要求较高 * Ubuntu、Knopix为Debian的主要子分支,其中Knopix是以安全著称的 Slackware(SUSE) SU…

    Linux干货 2017-07-02