|
網(wǎng)上看到這個配置講解得還比較易懂,就轉過來了,,大家一起看下,希望對您工作能有所幫助。 網(wǎng)管員的安全意識要比空喊Linux安全重要得多,。 iptables -F iptables -X iptables -F -t mangle iptables -t mangle -X iptables -F -t nat iptables -t nat -X 首先,把三個表清空,,把自建的規(guī)則清空,。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT 設定INPUT、OUTPUT的默認策略為DROP,,FORWARD為ACCEPT,。 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT 先把“回環(huán)”打開,以免有不必要的麻煩。 iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT 在所有網(wǎng)卡上打開ping功能,,便于維護和檢測,。 iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT 打開22端口,允許遠程管理,。(設定了很多的附加條件:管理機器IP必須是250,,并且必須從eth0網(wǎng)卡進入) iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.168.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.168.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT 上面這幾句是比較頭痛的,我做逐一解釋,。 iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPT 允許192.168.100.0/24網(wǎng)段的機器發(fā)送數(shù)據(jù)包從eth0網(wǎng)卡進入,。如果數(shù)據(jù)包是tcp協(xié)議,而且目的端口是3128(因為REDIRECT已經(jīng)把80改為3128了,。nat表的PREROUTING是在filter表的INPUT前面的,。)的,再而且,,數(shù)據(jù)包的狀態(tài)必須是NEW或者ESTABLISHED的(NEW代表tcp三段式握手的“第一握”,,換句話說就是,允許客戶端機器向服務器發(fā)出鏈接申請,。ESTABLISHED表示通過握手已經(jīng)建立起鏈接),,通過。 iptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT 我們先來看這一句?,F(xiàn)在你的數(shù)據(jù)包已經(jīng)進入到linux服務器防火墻上來了,。squid需要代替你去訪問,所以這時,,服務器就成了客戶端的角色,,所以它要使用32768到61000的私有端口進行訪問。(大家會奇怪應該是1024到65535吧,。其實CentOS版的linux所定義的私有端口是32768到61000的,,你可以通過cat /proc/sys/net/ipv4/ip_local_port_range,查看一下,。)再次聲明:這里是squid以客戶端的身份去訪問其他的服務器,,所以這里的源端口是32768:61000,而不是3128,! iptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT 當然了,,數(shù)據(jù)有去就有回。 iptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPT 數(shù)據(jù)包還得通過服務器,,轉到內網(wǎng)網(wǎng)卡上,。請注意,,這里,,是squid幫你去訪問了你想要訪問的網(wǎng)站。所以在內網(wǎng)中,你的機器是客戶端角色,,而squid是服務器角色,。這與剛才對外訪問的過程是不同的。所以在這里,,源端口是3128,,而不是32768:61000。 iptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPT iptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT 當然,,DNS是不可缺少的,。 iptables -A INPUT -i eth+ -p tcp --dport 80 -j LOG --log-prefix "iptables_80_alert" --log-level info iptables -A INPUT -i eth+ -p tcp --dport 21 -j LOG --log-prefix "iptables_21_alert" --log-level info iptables -A INPUT -i eth+ -p tcp --dport 22 -j LOG --log-prefix "iptables_22_alert" --log-level info iptables -A INPUT -i eth+ -p tcp --dport 25 -j LOG --log-prefix "iptables_25_alert" --log-level info iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j LOG --log-prefix "iptables_icmp8_alert" --log-level info 當然了,來點日志記錄會對網(wǎng)管員有所幫助,。 iptables 基本命令使用舉例 一,、鏈的基本操作 1、清除所有的規(guī)則,。 1)清除預設表filter中所有規(guī)則鏈中的規(guī)則,。 # iptables -F 2)清除預設表filter中使用者自定鏈中的規(guī)則。 #iptables -X #iptables -Z 2,、設置鏈的默認策略,。一般有兩種方法。 1)首先允許所有的包,,然后再禁止有危險的包通過放火墻,。 #iptables -P INPUT ACCEPT #iptables -P OUTPUT ACCEPT #iptables -P FORWARD ACCEPT 2)首先禁止所有的包,然后根據(jù)需要的服務允許特定的包通過防火墻,。 #iptables -P INPUT DROP #iptables -P OUTPUT DROP #iptables -P FORWARD DROP 3,、列出表/鏈中的所有規(guī)則。默認只列出filter表,。 #iptables -L 4,、向鏈中添加規(guī)則。下面的語句用于開放網(wǎng)絡接口: #iptables -A INPUT -i lo -j ACCEPT #iptables -A OUTPUT -o lo -j ACCEPT #iptables -A INPUT -i eth0 -j ACEPT #iptables -A OUTPUT -o eth1 -j ACCEPT #iptables -A FORWARD -i eth1 -j ACCEPT #iptables -A FORWARD -0 eth1 -j ACCEPT 注意:由于本地進程不會經(jīng)過FORWARD鏈,,因此回環(huán)接口lo只在INPUT和OUTPUT兩個鏈上作用,。 5、使用者自定義鏈,。 #iptables -N custom #iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP #iptables -A INPUT -s 0/0 -d 0/0 -j DROP 二,、設置基本的規(guī)則匹配 1、指定協(xié)議匹配,。 1)匹配指定協(xié)議,。 #iptables -A INPUT -p tcp 2)匹配指定協(xié)議之外的所有協(xié)議。 #iptables -A INPUT -p !tcp 2,、指定地址匹配,。 1)指定匹配的主機。 #iptables -A INPUT -s 192.168.0.18 2)指定匹配的網(wǎng)絡。 #iptables -A INPUT -s 192.168.2.0/24 3)匹配指定主機之外的地址,。 #iptables -A FORWARD -s !192.168.0.19 4)匹配指定網(wǎng)絡之外的網(wǎng)絡,。 #iptables -A FORWARD -s ! 192.168.3.0/24 3、指定網(wǎng)絡接口匹配,。 1)指定單一的網(wǎng)絡接口匹配,。 #iptables -A INPUT -i eth0 #iptables -A FORWARD -o eth0 2)指定同類型的網(wǎng)絡接口匹配。 #iptables -A FORWARD -o ppp+ 4,、指定端口匹配,。 1)指定單一端口匹配。 #iptables -A INPUT -p tcp --sport www #iptables -A INPUT -p udp –dport 53 2)匹配指定端口之外的端口,。 #iptables -A INPUT -p tcp –dport !22 3)匹配端口范圍,。 #iptables -A INPUT -p tcp –sport 22:80 4)匹配ICMP端口和ICMP類型。 #iptables -A INOUT -p icmp –icimp-type 8 5)指定ip碎片,。 每 個網(wǎng)絡接口都有一個MTU(最大傳輸單元),,這個參數(shù)定義了可以通過的數(shù)據(jù)包的最大尺寸。如果一個數(shù)據(jù)包大于這個參數(shù)值時,,系統(tǒng)會將其劃分成更小的數(shù)據(jù)包 (稱為ip碎片)來傳輸,,而接受方則對這些ip碎片再進行重組以還原整個包。這樣會導致一個問題:當系統(tǒng)將大數(shù)據(jù)包劃分成ip碎片傳輸時,,第一個碎片含有 完整的包頭信息(IP+TCP,、UDP和ICMP),但是后續(xù)的碎片只有包頭的部分信息(如源地址,、目的地址),。因此,檢查后面的ip碎片的頭部(象有 TCP,、UDP和ICMP一樣)是不可能的,。假如有這樣的一條規(guī)則: #iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT 并且這時的FORWARD的policy為DROP時,系統(tǒng)只會讓第一個ip碎片通過,,而余下的碎片因為包頭信息不完整而無法通過,。可以通過—fragment/-f 選項來指定第二個及以后的ip碎片解決上述問題,。 #iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT 注意現(xiàn)在有許多進行ip碎片攻擊的實例,,如DoS攻擊,因此允許ip碎片通過是有安全隱患的,,對于這一點可以采用iptables的匹配擴展來進行限制,。 三、設置擴展的規(guī)則匹配(舉例已忽略目標動作) 1,、多端口匹配,。 1)匹配多個源端口,。 #iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110 2)匹配多個目的端口。 #iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80 3)匹配多端口(無論是源端口還是目的端口) #iptables -A INPUT -p tcp -m multiport –port 22,53,80,110 2,、指定TCP匹配擴展 使用 –tcp-flags 選項可以根據(jù)tcp包的標志位進行過濾。 #iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN #iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK 上實例中第一個表示SYN,、ACK,、FIN的標志都檢查,但是只有SYN匹配,。第二個表示ALL(SYN,,ACK,F(xiàn)IN,,RST,,URG,PSH)的標志都檢查,,但是只有設置了SYN和ACK的匹配,。 #iptables -A FORWARD -p tcp --syn 選項—syn相當于”--tcp-flags SYN,RST,ACK SYN”的簡寫。 3,、limit速率匹配擴展,。 1)指定單位時間內允許通過的數(shù)據(jù)包個數(shù),單位時間可以是/second,、/minute,、/hour、/day或使用第一個子母,。 #iptables -A INPUT -m limit --limit 300/hour 2 )指定觸發(fā)事件的閥值,。 #iptables -A INPUT -m limit –limit-burst 10 用來比對一次同時涌入的封包是否超過10個,超過此上限的包將直接丟棄,。 3)同時指定速率限制和觸發(fā)閥值,。 #iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3 表示每分鐘允許的最大包數(shù)量為限制速率(本例為3)加上當前的觸發(fā)閥值burst數(shù)。任何情況下,,都可保證3個數(shù)據(jù)包通過,,觸發(fā)閥值burst相當于允許額外的包數(shù)量。 4)基于狀態(tài)的匹配擴展(連接跟蹤) 每個網(wǎng)絡連接包括以下信息:源地址,、目標地址,、源端口、目的端口,,稱為套接字對(socket pairs),;協(xié)議類型、連接狀態(tài)(TCP協(xié)議) 和超時時間等,。防火墻把這些信息稱為狀態(tài)(stateful),。狀態(tài)包過濾防火墻能在內存中維護一個跟蹤狀態(tài)的表,,比簡單包過濾防火墻具有更大的安全性,命令格式如下: iptables -m state –-state [!]state [,state,state,state] 其中,,state表是一個逗號分割的列表,,用來指定連接狀態(tài),4種: >NEW: 該包想要開始一個新的連接(重新連接或連接重定向) >RELATED:該包是屬于某個已經(jīng)建立的連接所建立的新連接,。舉例: FTP的數(shù)據(jù)傳輸連接和控制連接之間就是RELATED關系,。 >ESTABLISHED:該包屬于某個已經(jīng)建立的連接。 >INVALID:該包不匹配于任何連接,,通常這些包被DROP,。 例如: (1)在INPUT鏈添加一條規(guī)則,匹配已經(jīng)建立的連接或由已經(jīng)建立的連接所建立的新連接,。即匹配所有的TCP回應包,。 #iptables -A INPUT -m state –state RELATED,ESTABLISHED (2)在INPUT鏈鏈添加一條規(guī)則,匹配所有從非eth0接口來的連接請求包,。 #iptables -A INPUT -m state -–state NEW -i !eth0 又如,,對于ftp連接可以使用下面的連接跟蹤: (1)被動(Passive)ftp連接模式。 #iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT #iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state -–state ESTABLISHED,RELATED -j ACCEPT (2)主動(Active)ftp連接模式 #iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT #iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT |
|
|
