防火墙原理以及iptables重要实践

防火墙

• 主机间通信大致过程：
  1. 请求报文由客户端IP+PORT和服务器端IP+PORT构成。当客户端网络地址和服务端地址在同一网段时，不需要经由路由转发，可以直接到目标服务器，再经由服务器端口请求道所需资源；
  2. 当服务器端和客户端不在同一网段时。目标IP和源IP是不会改变的，会经由互联网中的路由器，按照其的路由表，指向该路由器的下一跳主机，知道找到服务器端所在网段。
     • 当Linux主机充当路由器时，接收到报文请求之后，判断目标IP是不是本地的IP地址，如果是，则发往内核空间拆开IP封装，再拆开端口地址封装，交由目标端口，有监听该端口的进程进行处理。
     • 当不是本地的IP，并且打开了核心转发功能（ip_forward），那么，就会交给其他网卡，并且根据相应的路由表进行转发
• 防火墙的工作原理：
  • 由于主机之间的通信，需要IP和端口两个数据，那么我们可以在端口之外，将端口封起来，不允许随意访问，这样就可以实现防火墙功能呢个
  • 但是，作为服务器而言，需要向外提供服务；作为客户端而言，需要向外请求服务。所以，纯粹的封闭主机的端口，来达到防火墙功能，并不现实。需要在防火墙上添加规则，并且给出相应的处理动作，与规则条件不匹配的，做出什么样的处理动作，符合的又该做出什么动作。
  • 根据主机间的通信过程，我们可以了解到，一个请求进入一台Linux主机，有两个方向可以通过，一个是进入内核空间，另外一个是通过核心转发功能转发出去：

1. 请求报文进入主机内部，先经由prerouting，input链进入内核空间，到目标端口，进行处理
2. 处理完之后，用过output，postrouting，由本机发出 2. 请求报文进入主机内部，从prerouting，到forward，再到postrouting，由本机转发
3. 请求报文进入内核空间，经由ouput，postrouting，再到网卡，由本机发出 4. 对Linux而言，这五个能实现包进行处理的位置，是在内核中安置的一个框架，任何一个报文只要达到这个位置，都会被审核（根据检查规则作出相应处理动作。如何添加规则就是由管理员所定义的） 5. 通过iptables这个工具，将编写的规则通过这个工具发送给上述的框架 

• iptables:
  1. 功能：（4表）

  filter：过滤，防火墙；
  nat：network address translation nat会话的连接追踪表；用于修改源IP或目标IP，也可以改端口；（功能是地址转换，保护服务器一侧，就将它放置在服务器里，向外提供服务；保护客户端一侧，放置在客户端，代表客户端访问互联网。保护客户端的时候做源地址转换；保护服务端做目标地址转换）
  mangle：拆解报文，做出修改，并重新封装起来；（修改地址（源IP，目标IP）之外的其他属性，比如报文中的其他信息 ttl 协议版本等。）
  raw：关闭nat表上启用的连接追踪机制

  1. 5链

  PREROUTING
  INPUT
  FORWARD
  OUTPUT
  POSTROUTING

• state

  它是coontrack模块（连接追踪）的子集；可以基于连接追踪功能去查看某一报文的当前所处的状态
  连接追踪：在内核内存中打开一段空间，这段空间可以记录下来，此前哪些客户端访问过。（给内核内存中添加了记录某个IP基于什么协议通过什么端口访问了哪些东西等信息）
  连接追踪功能需要激活后才能使用，需要装载(-m state –state
  对于一个非常繁忙的主机而言，要么调大这个空间，要么不开启追踪

  • [!] –state state

    INVALID,ESTABLSHED,NEW,RELATED or UNTRACKED.
    NEW：新连接请求；
    ESTABLISHED：已经建立的连接；
    RELATED：相关联的连接，当前连接是一个新请求，但附属于某个已存在的连接； 　UNTRACKED：未追踪的连接；
    INVALID：无法识别的连接；

  • state扩展：

    内核模块装载：
    nf_conntrack
    nf_conntrack_ipv4

  • 手动装载：

    nf_conntarck_ft

• SNAT：源地址转换。用于将IP数据包的源地址转换成另外一个地址，实现隐藏客户端源IP，顺带着解决了IPv4地址不够使用的问题

• DNAT：目标地址转换。实现了隐藏服务器地址，和解决IPv4地址不够使用的问题

  #环境：
  A：eth0：inet 192.168.2.128/24 
  B：eth0： inet 192.168.3.129/24；
     eth1： inet 192.168.2.129/24
  C：eth0：inet 192.168.3.128/24
  #B机器eth1为A机器的网关
  ip route add default via 192.168.2.129
  #B机器eth0为C机器网关
  ip route add default via 192.168.3.129
  #B机器添加规则：
  iptables -t nat -A PREROUTING -d 192.168.2.129 -j DNAT --to-destination 192.168.3.128       #构建DNAT
  iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.0.6                #构建SNAT

万能规则示例：

#在B机器（开启了核心转发功能的Linux主机）添加一下规则
iptables -I FORWARD -m state --state ESTABLISHED -j ACCEPT
    #对所有已经建立的报文，都放行
iptables -I FOWARD 2 -s 192.168.2.0/24 -m state --state NEW -j ACCEPT
    #开放内网主机（A），访问服务端（外网主机C），放行NEW请求；表示放行内网去访问外网。
#注意，无法放行ftp这种半连接状态的协议，需要额外添加RELATED的规则
modprobe nf_conntrack_ftp
vim /etc/sysconfig/iptables-config
    IPTBLES_MODULES="nf_conntrack_ftp"      #firewalld文件，自动加载这个模块，CentOS6中自动启动可以使用脚本
iptables -I FORWARD 5 -d 192.168.2.128 -p tcp -m state --state RELATED -j ACCEPT