《Linux安全应用-iptables防火墙.pptx》由会员分享,可在线阅读,更多相关《Linux安全应用-iptables防火墙.pptx(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、RHEL6_Linux轻舞飞扬轻舞飞扬第六章第六章 iptables防火墙一防火墙一 理论局部熟悉Linux防火墙的表、链结构理解数据包匹配的基本流程学会编写iptables规则技能展示本章结构iptables防火墙防火墙(一一)iptables的表、链结构的表、链结构数据包控制的匹配流程数据包控制的匹配流程添加、查看、删除规则添加、查看、删除规则规则的匹配条件规则的匹配条件Linux防火墙基础防火墙基础基本语法、控制类型基本语法、控制类型编写防火墙规则编写防火墙规则netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态iptables位于/sbin/iptabl
2、es,用来管理防火墙规则的工具称为Linux防火墙的“用户态 上述2种称呼都可以表示Linux防火墙Linux包过滤防火墙概述2-1包过滤的工作层次主要是网络层,针对IP数据包表达在对包内的IP地址、端口等信息的处理上Linux包过滤防火墙概述2-2链路层链路层网络层网络层传输层传输层应用代理应用代理链路层链路层网络层网络层传输层传输层应用层应用层链路层链路层网络层网络层传输层传输层应用层应用层外部网络外部网络网络层防火墙网络层防火墙受保护网络受保护网络规则链规则的作用:对数据包进行过滤或处理链的作用:容纳各种防火墙规则链的分类依据:处理数据包的不同时机默认包括5种规则链INPUT:处理入站数
3、据包OUTPUT:处理出站数据包FORWARD:处理转发数据包POSTROUTING链:在进行路由选择后处理数据包PREROUTING链:在进行路由选择前处理数据包iptables的表、链结构3-1规则表表的作用:容纳各种规则链表的划分依据:防火墙规则的作用相似默认包括4个规则表raw表:确定是否对该数据包进行状态跟踪mangle表:为数据包设置标记nat表:修改数据包中的源、目标IP地址或端口filter表:确定是否放行该数据包过滤iptables的表、链结构3-2默认的表、链结构示意图iptables的表、链结构3-3filter 表第1条规则第2条规则第3条规则INPUT 链FORWAR
4、D 链OUTPUT 链mangle 表表PREROUTING 链POSTROUTING 链INPUT 链OUTPUT 链FORWARD 链raw 表表PREROUTING 链OUTPUT 链nat 表表PREROUTING 链POSTROUTING 链OUTPUT 链规则表之间的顺序rawmanglenatfilter规则链之间的顺序入站:PREROUTINGINPUT出站:OUTPUTPOSTROUTING转发:PREROUTINGFORWARDPOSTROUTING规则链内的匹配顺序按顺序依次检查,匹配即停止LOG策略例外假设找不到相匹配的规则,则按该链的默认策略处理数据包过滤的匹配流程2
5、-1匹配流程示意图数据包过滤的匹配流程2-2本机的应用进程本机的应用进程mangle:POSTROUTINGmangle:FORWARDraw:PREROUTINGraw:OUTPUTmangle:INPUT转发数据流向入站数据流向网络A网络Bmangle:PREROUTINGnat:PREROUTINGnat:POSTROUTINGfilter:INPUTmangle:OUTPUTnat:OUTPUTfilter:OUTPUT路由选择filter:FORWARD路由选择出站数据流向请思考:Linux防火墙默认包括哪几个表、哪几种链?对于转发的数据包,会经过哪几种链的处理?在同一个规则链内,规
6、则匹配的特点是什么?小结语法构成iptables -t 表名 选项 链名 条件 -j 控制类型iptables的基本语法2-1rootlocalhost#iptables-t filter-I INPUT-p icmp-j REJECTC:UsersAdministrator ping 192.168.4.254正在 Ping 192.168.4.254 具有 32 字节的数据:来自 192.168.4.254 的回复:无法连到端口。来自 192.168.4.254 的回复:无法连到端口。阻止阻止pingping测试测试v几个本卷须知几个本卷须知不指定表名时,默认指不指定表名时,默认指filt
7、er表表不指定链名时,默认指表内的所有链不指定链名时,默认指表内的所有链除非设置链的默认策略,否则必须指定匹配条件除非设置链的默认策略,否则必须指定匹配条件选项、链名、控制类型使用大写字母,其余均为小写选项、链名、控制类型使用大写字母,其余均为小写数据包的常见控制类型ACCEPT:允许通过DROP:直接丢弃,不给出任何回应REJECT:拒绝通过,必要时会给出提示LOG:记录日志信息,然后传给下一条规则继续匹配iptables的基本语法2-2添加新的规则-A:在链的末尾追加一条规则-I:在链的开头或指定序号插入一条规则iptables的管理选项5-1rootlocalhost#iptables-
8、t filter-A INPUT-p tcp-j ACCEPTrootlocalhost#iptables-I INPUT-p udp-j ACCEPTrootlocalhost#iptables-I INPUT 2-p icmp-j ACCEPT-p-p 用来指定协议用来指定协议查看规则列表-L:列出所有的规则条目-n:以数字形式显示地址、端口等信息-v:以更详细的方式显示规则信息-line-numbers:查看规则时,显示规则的序号iptables的管理选项5-2rootlocalhost#iptables-L INPUT-line-numbersChain INPUT policy AC
9、CEPTnum target prot opt source destination1 ACCEPT udp -anywhere anywhere2 ACCEPT icmp-anywhere anywhere3 REJECT icmp-anywhere anywhere reject-with icmp-port-unreachable4 ACCEPT tcp -anywhere anywhererootlocalhost#iptables-n-L INPUTChain INPUT policy ACCEPTtarget prot opt source destinationACCEPT ud
10、p -0.0.0.0/0 0.0.0.0/0ACCEPT icmp-0.0.0.0/0 0.0.0.0/0REJECT icmp-0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableACCEPT tcp -0.0.0.0/0 0.0.0.0/0-n-L-n-L 可合写为可合写为 -nL-nL删除、清空规则-D:删除链内指定序号或内容的一条规则-F:清空所有的规则iptables的管理选项5-3rootlocalhost#iptables-D INPUT 3rootlocalhost#iptables-n-L INPUTChain INPUT
11、 policy ACCEPTtarget prot opt source destinationACCEPT udp -0.0.0.0/0 0.0.0.0/0ACCEPT icmp-0.0.0.0/0 0.0.0.0/0ACCEPT tcp -0.0.0.0/0 0.0.0.0/0rootlocalhost#iptables-Frootlocalhost#iptables-t nat-Frootlocalhost#iptables-t mangle-Frootlocalhost#iptables-t raw-F清空所有表的所有链清空所有表的所有链设置默认策略-P:为指定的链设置默认规则ipta
12、bles的管理选项5-4rootlocalhost#iptables-t filter-P FORWARD DROProotlocalhost#iptables-P OUTPUT ACCEPT默认策略要么是默认策略要么是ACCEPTACCEPT、要么是、要么是DROPDROP常用管理选项汇总iptables的管理选项5-5类别类别选项选项用途用途添加新的规则添加新的规则-A-A在链的末尾追加一条规则在链的末尾追加一条规则-I-I在链的开头或指定序号插入一条规则在链的开头或指定序号插入一条规则查看规则列表查看规则列表-L-L列出所有的规则条目列出所有的规则条目-n-n以数字形式显示地址、端口等信
13、息以数字形式显示地址、端口等信息-v-v以更详细的方式显示规则信息以更详细的方式显示规则信息-line-numbers-line-numbers查看规则时,显示规则的序号查看规则时,显示规则的序号删除、清空规则删除、清空规则-D-D删除链内指定序号或内容的一条规则删除链内指定序号或内容的一条规则-F-F清空所有的规则清空所有的规则设置默认策略设置默认策略-P-P为指定的链设置默认规则为指定的链设置默认规则通用匹配可直接使用,不依赖于其他条件或扩展包括网络协议、IP地址、网络接口等条件隐含匹配要求以特定的协议匹配作为前提包括端口、TCP标记、ICMP类型等条件显式匹配要求以“-m 扩展模块的形式
14、明确指出类型包括多端口、MAC地址、IP范围、数据包状态等条件规则的匹配条件5-1常见的通用匹配条件协议匹配:-p 协议名地址匹配:-s 源地址、-d 目的地址接口匹配:-i 入站网卡、-o 出站网卡规则的匹配条件5-2rootlocalhost#iptables-I INPUT-p icmp-j DROProotlocalhost#iptables-A FORWARD-p!icmp-j ACCEPT 叹号叹号 !表示条件取反表示条件取反rootlocalhost#iptables-A FORWARD-s 192.168.1.11-j REJECTrootlocalhost#iptables-
15、I INPUT-s 10.20.30.0/24-j DROP rootlocalhost#iptables-A INPUT-i eth1-s 192.168.0.0/16-j DROP rootlocalhost#iptables-A INPUT-i eth1-s 10.0.0.0/8-j DROProotlocalhost#iptables-A INPUT-i eth1-s 172.16.0.0/12-j DROP外网接口外网接口常用的隐含匹配条件端口匹配:-sport 源端口、-dport 目的端口TCP标记匹配:-tcp-flags 检查范围 被设置的标记ICMP类型匹配:-icmp-t
16、ype ICMP类型规则的匹配条件5-3rootlocalhost#iptables-A FORWARD-s 192.168.4.0/24-p udp-dport 53-j ACCEPTrootlocalhost#iptables-A INPUT-p tcp-dport 20:21-j ACCEPTrootlocalhost#iptables-I INPUT-i eth1-p tcp-tcp-flags SYN,RST,ACK SYN-j DROProotlocalhost#iptables-I INPUT-i eth1-p tcp-tcp-flags!-syn-j ACCEPT丢弃丢弃SYN
17、SYN请求包,放行请求包,放行其他包其他包rootlocalhost#iptables-A INPUT-p icmp-icmp-type 8-j DROProotlocalhost#iptables-A INPUT-p icmp-icmp-type 0-j ACCEPTrootlocalhost#iptables-A INPUT-p icmp-icmp-type 3-j ACCEPTrootlocalhost#iptables-A INPUT-p icmp-j DROP8 8 请求,请求,0 0 回显,回显,3 3 不可达不可达常用的显式匹配条件多端口匹配:-m multiport-sport
18、s 源端口列表 -m multiport-dports 目的端口列表IP范围匹配:-m iprange-src-range IP范围MAC地址匹配:-m mac-mac-source MAC地址状态匹配:-m state-state 连接状态规则的匹配条件5-4rootlocalhost#iptables-A INPUT-p tcp-m multiport-dport 25,80,110,143-j ACCEPTrootlocalhost#iptables-A FORWARD-p tcp-m iprange-src-range 192.168.4.21-192.168.4.28-j ACCEP
19、Trootlocalhost#iptables-A INPUT-m mac-mac-source 00:0c:29:c0:55:3f-j DROProotlocalhost#iptables-P INPUT DROProotlocalhost#iptables-I INPUT-p tcp-m multiport-dport 80-j ACCEPTrootlocalhost#iptables-I INPUT-p tcp-m state-state ESTABLISHED,RELATED-j ACCEPT 常见匹配条件汇总规则的匹配条件5-5类别类别条件类型条件类型用法用法通用匹配通用匹配协议匹配
20、协议匹配-p-p 协议名协议名地址匹配地址匹配-s-s 源地址、源地址、-d-d 目的地址目的地址接口匹配接口匹配-i-i 入站网卡、入站网卡、-o-o 出站网卡出站网卡隐含匹配隐含匹配端口匹配端口匹配-sport-sport 源端口、源端口、-dport-dport 目的端口目的端口TCPTCP标记匹配标记匹配-tcp-flags-tcp-flags 检查范围检查范围 被设置的标记被设置的标记ICMPICMP类型匹配类型匹配-icmp-type ICMP-icmp-type ICMP类型类型显式匹配显式匹配多端口匹配多端口匹配-m multiport-sports|-dports-m mul
21、tiport-sports|-dports 端口列表端口列表IPIP范围匹配范围匹配-m iprange-src-range IP-m iprange-src-range IP范围范围MACMAC地址匹配地址匹配-m mac-mac-source MAC-m mac-mac-source MAC地址地址状态匹配状态匹配-m state-state-m state-state 连接状态连接状态本章总结iptables防火墙防火墙(一一)iptables的表、链结构的表、链结构数据包控制的匹配流程数据包控制的匹配流程添加、查看、删除规则添加、查看、删除规则规则的匹配条件规则的匹配条件Linux防火
22、墙基础防火墙基础基本语法、控制类型基本语法、控制类型编写防火墙规则编写防火墙规则第六章第六章 iptables防火墙一防火墙一 上机局部实验环境为网关、Web效劳器配置防火墙规则实验案例:基于IP、端口的控制4-1局域网段192.168.1.0/24网站效劳器192.168.1.5InternetInternet测试用机172.16.16.172网关效劳器eth0:192.168.1.1eth1:172.16.16.1需求描述为Web主机编写入站规则,允许ping,开放80端口为网关编写转发规则,允许基本的上网访问实现思路Web主机:在filter表的INPUT链添参加站规则Linux网关:在
23、filter表的FORWARD链添加转发规则实验案例:基于IP、端口的控制4-2学员练习1为网站效劳器编写入站规则、默认策略测试入站访问控制的效果实验案例:基于IP、端口的控制4-33030分钟完成分钟完成学员练习2为网关效劳器编写转发规则、默认策略测试转发控制的效果实验案例:基于IP、端口的控制4-45050分钟完成分钟完成9、静夜四无邻,荒居旧业贫。6月-236月-23Thursday,June 1,202310、雨中黄叶树,灯下白头人。00:15:4700:15:4700:156/1/2023 12:15:47 AM11、以我独沈久,愧君相见频。6月-2300:15:4700:15Jun
24、-2301-Jun-2312、故人江海别,几度隔山川。00:15:4700:15:4700:15Thursday,June 1,202313、乍见翻疑梦,相悲各问年。6月-236月-2300:15:4700:15:47June 1,202314、他乡生白发,旧国见青山。01 六月 202312:15:47 上午00:15:476月-2315、比不了得就不比,得不到的就不要。六月 2312:15 上午6月-2300:15June 1,202316、行动出成果,工作出财富。2023/6/1 0:15:4700:15:4701 June 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚
25、为起点的射线向前。12:15:47 上午12:15 上午00:15:476月-239、没有失败,只有暂时停止成功!。6月-236月-23Thursday,June 1,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。00:15:4700:15:4700:156/1/2023 12:15:47 AM11、成功就是日复一日那一点点小小努力的积累。6月-2300:15:4700:15Jun-2301-Jun-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。00:15:4700:15:4700:15Thursday,June 1,202313、不知香积寺,数里入云峰。
26、6月-236月-2300:15:4700:15:47June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 202312:15:47 上午00:15:476月-2315、楚塞三湘接,荆门九派通。六月 2312:15 上午6月-2300:15June 1,202316、少年十五二十时,步行夺得胡马骑。2023/6/1 0:15:4700:15:4701 June 202317、空山新雨后,天气晚来秋。12:15:47 上午12:15 上午00:15:476月-239、杨柳散和风,青山澹吾虑。6月-236月-23Thursday,June 1,202310、阅读一切
27、好书如同和过去最杰出的人谈话。00:15:4700:15:4700:156/1/2023 12:15:47 AM11、越是没有本领的就越加自命非凡。6月-2300:15:4700:15Jun-2301-Jun-2312、越是无能的人,越喜欢挑剔别人的错儿。00:15:4700:15:4700:15Thursday,June 1,202313、知人者智,自知者明。胜人者有力,自胜者强。6月-236月-2300:15:4700:15:47June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 202312:15:47 上午00:15:476月-2315、最具挑战性的
28、挑战莫过于提升自我。六月 2312:15 上午6月-2300:15June 1,202316、业余生活要有意义,不要越轨。2023/6/1 0:15:4700:15:4701 June 202317、一个人即使已登上顶峰,也仍要自强不息。12:15:47 上午12:15 上午00:15:476月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕,谢谢观看!