本文针对iptables初学者。如果你刚刚学习了iptables的原理和基本语法,但还不清楚在线上服务器环境中如何实际的利用这个工具,那么建议阅读本文。
iptables的两种主要工作模式
对于iptables的数据包而言,有以下几个流向:
PREROUTING→FORWARD→POSTROUTING
PREROUTING→INPUT→本机→OUTPUT→POSTROUTING
大家可以留意下,数据包的主要两种流向(其实也是我们后面iptables的两种工作模式):一是做为NAT路由器,另一种是做为主机防火墙。
iptables数据流入和流出详细流程建议参考下图:
图 iptables数据包流入和流出详细流程图
iptables根据不同的数据包处理功能使用不同的规则表。它包括如下三个表:filter、nat和mangle。
- filter是默认的表,它包含真正的防火墙过滤规则。内建的规则链包括:INPUT、OUTPUT和FORWARD。
- nat表包含源和目的地址及端口转换使用的规则,内建的规则链包括PREROUTING、OUTPUT和POSTROUTING。
- mangle表包含用于设置特殊的数据包路由标志的规则,这些标志随后被filter表中的规则检查。内建的规则链包括:PREROUTING、INPUT、FORWARD、POSTROUTING和OUTPUT。
表对应的相关规则链的功能如下:
- INPUT链:当一个数据包由内核中的路由计算确定为本地的Linux系统后,它会通过INPUT链的检查。
- OUTPUT链:保留给系统自身生成的数据包。
- FORWARD链:经过Linux系统路由的数据包(即当iptables防火墙用于连接两个网络时,两个网络之间的数据包必须流经该防火墙)。
- PREROUTING链:用于修改目的地地址(DNAT)。
- POSTROUTING链:用于修改源地址(SNAT)。
iptables详细语法如下所示:
iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作>
注:此语法规则详细,逻辑清晰,推荐以此公式记忆。我们在刚开始写iptables规则时就应该养成好习惯,用公式来规范脚本,这对于我们的以后工作大有帮助。
这一节我们通过编写一个简单的用于邮件主机防护iptables脚本来熟悉iptables语法规则。网络拓朴很简单,iptables本身机器IP为:192.168.1.101/24,另一台机器的IP为:192.168.1.102。
普通的邮件主机防护脚本
普通的邮件主机防护脚本比较容易实现。邮件主机主要开放二个端口:80和25,其他端口则关闭,另外由于这里没有涉及多少功能,所以模块的载入也很简单,只涉及Filter表,而且脚本的初始化也很简单。
我们可以按照编写iptables的流程顺序来写脚本,脚本内容如下:
(注:此服务器置于自己的机房内,所以没有开放22端口,调试时直接进机房调试。如果远程操作,需要打开22端口。)
#/bin/bash iptables -F iptables -X iptables -Z modprobe ip_tables modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp -m multiport --dports 25,80 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
说明一下:
前面三条可以将iptables初始化。
modprobe这段是手动加载模块的过程。一般如果用 service iptables start 来启动iptables,会加载很多不必要的模块,所以这里我们采用手动加载的方式。ip_conntrack模块在平时的测试学习环境可以开启,方便追踪数据包的流向。不过,生产环境下我不建议大家开启此模块,以免加重服务器的负载。
默认规则下方的两条用于开启系统回环端口,以免造成不必要的麻烦。具体是什么样的麻烦?大家可以先想一想,文末会给出解答。
最后一条是允许RELATED和ESTABLISHED状态的连接通过iptables。为什么要这样设置,也会在文末解答。
iptables脚本开启后,我们可以用命令查看一下结果,如下所示:
iptables -nv -L
此命令显示结果如下:
Chain INPUT (policy DROP 13539 packets, 763K bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 480 32744 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,80 13 1411 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 472 packets, 52779 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
这时80和25之外的端口就被iptables成功隐蔽了。比如我们尝试在另一台机器上nmap扫描这台服务器:
nmap -sT 192.168.1.101
此命令显示结果如下:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-05-25 00:46 CST Interesting ports on 192.168.1.101: Not shown: 1678 filtered ports PORT STATE SERVICE 25/tcp open ssh 80/tcp open http MAC Address: 00:E0:62:12:7B:65 (Host Engineering) Nmap finished: 1 IP address (1 host up) scanned in 37.721 seconds
看到这个结果说明iptables生效了。
另外,对刚刚学习iptables的朋友提供一个建议。一开始玩iptables很容易犯的一个错误就是把自己锁在服务器外面了。针对这种情况,我们可以编写一个crontab计划任务,每5分钟关闭一次防火墙,等完全调试完后再关闭此crontab任务:
vim /etc/crontab */5 * * * * /etc/init.d/iptables stop
以上只是初级的防护脚本。至于其它的SYN和Ping及其它攻击,等大家熟悉了解其原理后,可以在此脚本的基础上添加。
以下是上文中两个问题的解答:
一、为什么要打开系统回环接口?
Linux系统默认会有一块名为lo的环回网络接口,而真正的网卡一般则被Linux系统识别成名为eth0, eth1这样的网络接口。
一般,lo接口对应的ip地址为127.0.0.1。
当你从一台linux主机向自身发送数据包时,实际上的数据包是通过虚拟的lo接口来发送接受的,而不会通过你的物理网卡eth0/eth1。
如果lo接口被墙,会发生ping/telnet/ssh本机(本机域名、localhost和127.0.0.1)不通的情况,会给调试带来一些麻烦。
二、为什么要设置RELATED、ESTABLISHED状态检测?
相对于纯IP过滤,状态防火墙更加智能,效率更高。这个比较适合FTP服务器。有关iptables的状态机制,可参阅这篇文章:http://os.51cto.com/art/201108/285209.htm
【编辑推荐】
