文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

iptables使用详解

2023-09-07 09:13

关注

前言

最近买了一个VPS,并在上面搭了DOCKER,然后再DOCKER中安装Mysql。但只要将网络端口映射到宿主机上,那么外部网络就可以直接访问该数据。属实吓人。为此,我们需要使用防火墙。

说到防火墙,CentOS有FirewallD,Ubuntu有ufw 。它们的用法和语法不尽相同,但有一点却是一致的,那就是他们底层都使用了iptables。 所以为了在不同发行版的linux下都能安全管理我们的服务器,教练,我想学这个iptables

由于FirewallD和ufw本质都是基于iptables的,那么它们都会在iptables中添加一些规则,甚至定义一些链,为了不跟往后我们自己定义的规则相冲突,第一件事,便是停止并卸掉FirewallD和ufw对应的服务。

停掉FirewallD

sudo systemctl stop firewalld //停止FirewallDsudo systemctl disable firewalld //让FirewallD 不要随系统启动而启动

停掉ufw

sudo ufw disable //停止并在系统启动时不启动ufw

iptables是啥

iptables是一个linux下的防火墙工具,它能帮助我们基于规则进行网络流量控制。它可以做到,但不限于以下功能:

表、链、规则

规则(rule)

来自192.168.2.31的访问,就要将其拒绝,这即是一条规则

链(chain)

往往我们的安全策略不只一条规则,除了
来自192.168.2.31的访问,就要将其拒绝 这条规则之外,我们还有其它规则,比如:
来自192.168.43.22的访问,也要将其拒绝

甚至,我们可能还有多个互斥的规则,这多个规则,哪个规则先执行? 这就涉及到链这个概念。简单来讲,链就是将多个规则从上大小串起来的一个集合单位。规则按从上倒下依次进行匹配。

表(table)

链条可以有多个。将多个链条再规整在一起的集合,叫做表。

总览

在iptables中,有四张表:

上述四张表中,会内置一些链,且每个链,都有默认包处理策略,默认策略一般在链中的所有规则都没匹配时生效。
filter表中的链有:

- INPUT:对路由策略分派过来的包到达目标进程端口之前进行匹配并处理,后续会讲到细节- FORWARD:对路由策略分派过来的包进行路由转发,后续会讲到细节- OUTPUT:判断,从本地的目标进程端口处理好的包如何返回/要不要返回给请求方

mangle表中的链有:

PREROUTING:包在到达网口时,进行规则匹配INPUT:含义同filterFORWARD: 含义同filterOUTPUT: 含义同filterPOSTROUTING: 包离开网口的时候匹配

nat表中的链有:

PREROUTING:含义同mangleOUTPUT:含义同filterPOSTROUTING:含义同mangle

raw表中的链有:
PREROUTING:含义同mangle
OUTPUT:含义同filter

注意,虽然不同的表中有同名的链,但他们并不是同一个链,并且一个链只能引用同一个表中的链,不能跨表引用。,平时我们的防火墙策略配置,即是在上述各个表的各个链中配置具体的规则

规则生效顺序

虽然一个链中的规则是从上到下依次匹配,但多个表中的多个链,甚至同名链的之间的匹配优先顺序是啥?这就要看下图了

PREROUTING 链

PREROUTING 链是最先生效的,当数据包到达网口时,即开始工作。同时由于其在raw, mangle, nat表中都存在,其执行的优先顺序是:raw(PREROUTING) ----> mangle(PREROUTING)----> mangle(nat)

PREROUTING 一般用作对包进行目标地址修改。比如将该包的目标地址,修改为非本机的另外的网络ip,一般通过DNAT规则进行修改。

路由决策(Routing Decision)

决定一个包该走哪个链。如果上述PREROUTING 链对包进行了目标网络ip更改。那么决策会觉得这个是一个需要转发的数据包,于是会将该包转发给 FORWARD 链。

否则, 该包会走INPUT链

FORWARD 链

FORWARD在各表中生效的优先顺序是:mangle(FORWARD) ----> filter(FORWARD)
处理路由决策派发发过来的包,到这里的包一般目标网络地址在PREROUTING链被修改过

INPUT 链

其生效顺序是: mangle(INPUT) ----> filter(INPUT)
处理路由决策派发发过来的包,到这里的包一般目标网络地址在PREROUTING链没有被修改过。

OUTPUT 链

在目标进程端口接收到输入数据包后,输出的数据包,将在这里进行规则应用。OUTPUT链在各表中生效的先后顺序是:
raw(OUTPUT) ----> mangle(OUTPUT) ----> nat(OUTPUT) ----> filter(OUTPUT)

规则详解

前面铺垫了那么多,主要讲解了链的复杂生效时机,毕竟如果包最终都到不了这个链,那其中的规则配置也就没有意义。接下来,我们需要讲解,链中具体规则的设置和使用。

一个规则一般分为两大部分:

动作分为以下几种:

如何看某个表中有哪些链和规则

iptables -t nat -nvL --line-numbers

-t 表示想要查看那个表,这里查看的是nat表。iptables的所有命令,如果不指定-t,如果不写默认是filter表
-L 表示列出该表所有链和所有规则
-v 详细显示,会将规则匹配的进出网口也列出来
--line-numbers 表示给规则进行编号处理。编号能方便我们后续对规则进行修改、删除等操作

如图所示,表头有以下信息:

总结来看,其实一个数据包本身就有源、目标的一些信息,而规则就是基于数据包本身属性的特点进行规则设定。

在已知链末尾添加规则(举例,拒绝某个ip的访问)

iptables -t filter -A INPUT -s 59.45.175.62 -j REJECT

-A 表示Append,其后紧跟的是链的名称,表示该条规则要被添加到哪个链中。
-s 表示包的来源ip即source。除了指定固定的ip外,我们还可以指定ip范围,比如59.45.175.0/24
-j 表示jump 也即是我们最终的动作,这里的动作是拒绝

在已知链链首插入规则

链尾的规则匹配优先级最低,如果前面有规则被匹配后,并将数据包进行了终态处理(比如:ACCEPT, DROP, REJECT),那么链尾的规则将永远不会被使用。

如果我们想要该规则优先匹配,可以选择将其放入链首,使用-I参数,表示insert。举例:

iptables -t filter -I INPUT -s 59.45.175.62 -j REJECT

删除规则

想要删除已配置的规则,可以使用-D参数,参数

iptables -t filter -D INPUT -s 59.45.175.62 -j REJECT

这种删法,要我们明确知道当初添加进去的规则是怎么写的。如果忘了,我们可以通过规则编号进行删除。在查看规则时使用参数--line-numbers(例如:iptables -nvL --line-numbers),可以对规则进行编号,然后基于编号进行删除

iptables -t filter -D FOWARD 1 //表示删除filter表中的FORWARD链的第一条规则

拒绝掉对某个ip的回应

iptables -A OUTPUT -d 31.13.78.35 -j DROP

-d 表示destination,即所有返回给ip 31.13.78.35的数据包都直接丢掉,不回应。

清空某个链中的所有规则

iptables -t filter -F INPUT

所有TCP协议的数据包,都丢弃

iptables -A INPUT -p tcp -j DROP

-p表示protocol

丢弃掉某个ip对端口22的访问

iptables -A INPUT -p tcp -m tcp --dport 22 -s 59.45.175.0/24 -j DROP

由于要对端口进行精准匹配,所以先-m tcp 进行tcp module加载。

如何对多个端口进行匹配

iptables -A INPUT -p tcp -m multiport --dports 22,5901 -s 59.45.175.0/24 -j DROP

匹配指定链接状态的数据包

链接状态有以下几种:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

即只对已经建立的连接和由此产生的相关连接进行放行

有些版本的linux,对应的module不是conntrack,而是state。 对应指定状态的参数不是ctstate 而是--state。所以,上述写法在有些linux版本中需要替换成

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

一般来讲,这些规则不可能单独出现,如果都不允许任何NEW状态连接建立,那哪来的已建立连接和相关连接?所以正确的做法一般是:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT //这条规则允许已经建立的连接和相关连接iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT //新建链接如果是访问22号端口,则允许访问

改变某个链的默认规则

一般每个链都有默认规则,即该链没有任何规则或者没有任何一条规则被匹配的情况下,对数据的放行策略是怎么样的。

Chain INPUT (policy ACCEPT)...Chain FORWARD (policy ACCEPT)...Chain OUTPUT (policy ACCEPT)..

以filter表的三个链为例,默认是ACCEPT。 但是我们可以改变这个模型规则,比如默认规则就是DROP

iptables -t filter -P INPUT DROP

回环地址的访问始终允许

iptables -t filter -A INPUT -i lo -j ACCEPT //在本地网络通信的所有包,都放行

-i 表示input 输入网口。lo表示本地的网络接口。这里没有指定-s-d地址 ,表示在回环网络上通信的所有端口,都放行,这样我们本机的web service,访问本机的mysql数据库才不会有问题。当然一般INPUT的默认规则是ACCEPT,你不用配置上述的规则,只要没有其它规则去限制,那么本机回环地址之间的端口通信也是放行的,除非你对INPUT链默认开启了拒绝策略

在使用某个网络时,不响应请求

iptables -A OUTPUT -o wlan0 -d 121.18.238.0/29 -j DROP 

上述配置含义:所有发给目标网口是wlan0 且 目标ip是121.18.238.0/29 地址的包,都会被丢弃。
-o 表示 数据包的目标网口。

在linux命令行中,使用ifconfig,就能看见当前已连接的所有网络接口

规则的取反配置

上述规则配置,一般都是满足某某条件,做什么动作。除此之外,我们还可以配置,如果不满足某某条件,则做某个动作。

iptables -A INPUT -p tcp -m multiport ! --dports 22,80,443 -j DROP

这个不满足则的取动作,是通过感叹号来实现的。
上述命令的含义是:非22,80,443的端口,我们直接丢弃。

当然这条命令之前,应该要配置一条规则:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

因为通过22或80建立的连接,可能会衍生出一些RELATED的连接,他们的端口可能不是22或80,那样也就被拒掉了。会导致通信出问题。

如何将规则持久化

上述命令对iptable的操作,并不是永久生效的,机器重启后,对应配置会丢失。如果需要持久化,则需要以下命令进行保存

centos

  1. 第一步,在修改iptables配置后,将其导出到某个文件,比如: /etc/iptables.conf 。命令为:iptables-save > /etc/iptables.conf 这一步,每次修改后都要做
  2. 第二步,在/etc/rc.local中添加命令iptables-restore < /etc/iptables.conf。从此之后,每次重启,系统会自动从/etc/iptables.conf恢复对应的iptables配置。这一步只需要做一次

ubuntu

安装iptables-persistent,它会在系统启动时,从/etc/iptables/rules.v4/etc/iptables/rules.v6分别加载ipv4 和ipv6的iptables 规则

sudo apt install iptables-persistent

所以,每次我们对iptables进行了任何改动,使用下面的命令,将当前生效的iptables配置,导出到/etc/iptables/rules.v4/etc/iptables/rules.v6即可

sudo iptables-save > /etc/iptables/rules.v4 //如果添加了ipv4 规则,执行这步sudo ip6tables-save > /etc/iptables/rules.v6 //如果添加了ipv6规则,执行这步

自定义链

除了在现有的链中添加规则,我们也可以自定义链,自定义链可以帮助我们将一组规则收纳在一起,方便我们管理。比如:

  1. 我们可以定义一个名为ssh-rules的链来管理ssh登录的一些规则
iptables -t filter -N ssh-rules
  1. 在这个链中添加具体的规则
iptables -t filter -A ssh-rules -s 18.130.0.0/16 -j ACCEPTiptables -t filter -A ssh-rules -s 18.11.0.0/16 -j ACCEPTiptables -t filter -A ssh-rules -j DROP
  1. 然后将该链作为一个规则出口,挂在到iptable内置的链上。
iptables -A INPUT -p tcp -m tcp --dport 22 -j ssh-rules

以上含义就是在Input链中添加一个规则,所有22号端口的访问,都会导向ssh-rules
再次强调: 只要不指定具体使用的表,默认都是filter表

删除自定义链

当我们想要删除自定义链时,使用命令:iptables -X ssh-rules

如何屏蔽docker 暴露的端口

一般我们会在filter中的input链中,配置对某个端口的限制。但是在装有docker的linux服务器上,docker暴露的任何端口,我们却无法通过在filter表中的input链的规则进行限制,这是为什么呢? 我们通过上文的对整个iptables的工作机制,来拆解下原因。

访问docker服务时,iptables的工作机制

比如,我们在docker 中启动一个mysql,暴露端口是3306。 docker宿主机所在ip: 192.168.31.102。docker 服务启动的虚拟网段:172.17.0.1/16 , 启动的mysql在该虚拟网络的ip是: 172.17.0.2

该机器真正的网口是enp0s3。 docker 启动的虚拟网口是docker0

docker服务本身会在iptables中插入很多规则,甚至定义许多自定义化的链

当我们我们在192.68.31.23 这台机器上访问192.168.31.102的3306端口时。

首先数据包被nat表中PREROUTING链命中

该链中的规则会被命中,同时将数据包导向nat表的DOCKER 链

nat中的DOCKER链修改目标地址

路由决策到filter中的forward链

由于prerouting对包进行了目标地址的修改,于是路由决策会将该包路由到foward链。所有表中的input 链将直接忽略。

docker服务无法被iptables限制问题总结及解决办法

说白了,由于数据包被更改了目标地址,于是路由策略将该包导向了FORWARD链。所以我们在INPUT链中再怎么定义规则,都无法限制外网对docker服务的访问。

那解决办法很简单,既然包导向了FORWARD链,那么在FORWARD链中添加拦路虎,不就得了嘛。DOCKER官方给的建议便是如此,比如,针对本文中的例子,我们可以添加如下规则,即可实现所有外部网络都无法访问docker中的服务:

 iptables -I DOCKER-USER -i enp0s3 -j DROP

规则含义是:所有从外部网络进入的数据包,直接被丢弃。
DOCKER-USER链是上述FORWARD链中第一个规则匹配的到的链。
外部访问的数据包,其输入网口,肯定是enp0s3,因为在本例中,它是对外通信的网口。
当然我们也可以在此,插入只允许某个网络访问,或某个网络不能访问的规则,不再赘述。

参考资料

https://www.zsythink.net/archives/1199
https://www.booleanworld.com/depth-guide-iptables-linux-firewall/
https://linuxconfig.org/how-to-make-iptables-rules-persistent-after-reboot-on-linux
https://askubuntu.com/questions/579231/whats-the-difference-between-prerouting-and-forward-in-iptables
https://docs.docker.com/network/iptables/

欢迎关注我的个人公众号"西北偏北UP",记录代码人生,行业思考,科技评论

来源地址:https://blog.csdn.net/weixin_38166318/article/details/127344897

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯