中小型企业级防火墙部署

2020年第一篇文章，先祝大家新年快乐，2020年暴瘦、暴富~~~，新年第一天就在做项目QAQ，在这里分享项目的一部分，其它部分将在后面开源分享，欢迎大家一起交流分享

防火墙

防火墙是由软件和硬件组成的系统，它处于安全的网络(通常是内部局域网)和不安全的网络(通常是Internet，但不局限于Internet)之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。
  由于防火墙置于两个网络之间，因此从一个网络到另一个网络的所有数据流都要流经防火墙。根据安全策略，防火墙对数据流的处理方式有3种:

（1）允许数据流通过；
（2）拒绝数据流通过；
（3）将这些数据流丢弃；

当数据流被拒绝时，防火墙要向发送者回复一条消息，提示发送者该数据流已被拒绝。当数据流被丢弃时，防火墙不会对这些数据包进行任何处理，也不会向发送者发送任何提示信息。丢弃数据包的做法加长了网络扫描所花费的时间，发送者只能等待回应直至通信超时。
  防火墙是Internet安全的最基本组成部分。但是，我们必须要牢记，仅采用防火墙并不能给整个网络提供全局的安全性。对于防御内部的攻击，防火墙显得无能为力，同祥对于那些绕过防火墙的连接(如某些人通过拨号上网)，防火墙则毫无用武之地。

IPTABLES

iptables简介

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。

iptables基础

规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规 则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

iptables和netfilter的关系

这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

iptables传输数据包的过程

（1）当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。 
（2）如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。 
（3）如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

## iptables的规则表和链 表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。   链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。   Iptables采用“表”和“链”的分层结构。在REHL4中是三张表五个链。现在REHL5成了四张表五个链了，不过多出来的那个表用的也不太多，所以基本还是和以前一样。下面罗列一下这四张表和五个链。注意一定要明白这些表和链的关系及作用 ### 规则表 ``` 1.filter表——三个链：INPUT、FORWARD、OUTPUT 作用：过滤数据包 内核模块：iptables_filter. 2.Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT 作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat 3.Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD 作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它) 4.Raw表——两个链：OUTPUT、PREROUTING ``` 作用：决定数据包是否被状态跟踪机制处理 内核模块：iptable_raw ### 规则链 ``` 1.INPUT——进来的数据包应用此规则链中的策略 2.OUTPUT——外出的数据包应用此规则链中的策略 3.FORWARD——转发数据包时应用此规则链中的策略 4.PREROUTING——对数据包作路由选择前应用此链中的规则 （所有的数据包进来的时侯都先由这个链处理） 5.POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理） ``` ## iptables命令参数 ``` -A 在指定链的末尾添加（append）一条新的规则 -D 删除（delete）指定链中的某一条规则，可以按规则序号和内容删除 -I 在指定链中插入（insert）一条新的规则，默认在第一行添加 -R 修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换 -L 列出（list）指定链中所有的规则进行查看 -E 重命名用户定义的链，不改变链本身 -F 清空（flush） -N 新建（new-chain）一条用户自己定义的规则链 -X 删除指定表中用户自定义的规则链（delete-chain） -P 设置指定链的默认策略（policy） -Z 将所有表的所有链的字节和数据包计数器清零 -n 使用数字形式（numeric）显示输出结果 -v 查看规则表详细信息（verbose）的信息 -V 查看版本(version) -h 获取帮助（help） ``` # 环境搭建 ## 企业拓扑

## 环境准备 ``` DMZ区：CentOS7 --- IP:192.168.9.100 Gateway:192.168.9.254 防火墙：kali --- ip1:211.67.93.254；ip2:192.168.9.254；ip3:192.168.33.254； 外网主机：win2003 --- IP:211.67.93.100 Gateway:211.67.93.254 内网主机：win2003 --- IP:192.168.33.100 Gateway:192.168.33.254 ``` # 环境部署 ## Firewalld路由模式 在防火墙(kali)上设置转发功能

→ Qftm ← :~# vim /etc/sysctl.conf

## Firewalld初始化策略

## Firewalld默认策略 ``` iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT ```

## Firewalld安全策略 ### 允许内网主机访问外网，但不允许外网访问内网主机 允许内网访问外网 动态NAT 自动封装改变源IP ``` iptables -t nat -A POSTROUTING -s 192.168.33.0/24 -o eth1 -j MASQUERADE ```

限制外网访问内网（限制新连接，旧链接是内网访问外网返回回来的数据） ``` iptables -t filter -A FORWARD -i eth1 -o eth3 -m state --state NEW -j DROP ```

### 测试 内网ping外网，能ping通

  外网ping内网ping不通

### 外网不能直接访问DMZ，允许外网通过公网IP访问DMZ区域中Web服务 不允许外网直接访问DMZ区 ``` iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10 iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP ```

  使用DNAT通过访问公网IP访问DMZ中web服务器 ``` iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100 ```

允许外网通过公网IP SSH DMZ区域web服务器进行远程管理

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100

  远程SSH

允许外网通过公网IP ping DMZ区域主机

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

  Ping测试

允许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不允许访问内网主机

允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

  访问测试

不允许DMZ区里面的某些特定服务器直接访问内网

避免当侵略者攻陷DMZ时，进一步攻到内测

iptables -t filter -A FORWARD -s 192.168.9.64/26 -o eth3 -m state --state NEW -j DROP

  测试WWW服务器

## Firewalld集成策略 ```shell #!/bin/sh :< 设置链路的默认策略

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

允许内网主机访问外网，但不允许外网访问内网主机

允许内网访问外网 动态NAT 自动封装改变源IP

iptables -t nat -A POSTROUTING -s 192.168.33.0/24 -o eth1 -j MASQUERADE

限制外网访问内网（限制新连接，旧链接是内网访问外网返回回来的数据）

iptables -t filter -A FORWARD -i eth1 -o eth3 -m state --state NEW -j DROP

外网不能直接访问DMZ，允许外网通过公网IP访问DMZ区域中Web服务

不允许外网直接访问DMZ区

iptables -t nat -A PREROUTING -d 192.168.9.0/24 -i eth1 -j DNAT --to-destination 192.168.9.10
iptables -t filter -A FORWARD -i eth1 -d 192.168.9.10 -m state --state NEW -j DROP

使用DNAT通过访问公网IP访问DMZ中web服务器

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100
iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport 443 -j DNAT --to-destination 192.168.9.100

允许外网通过公网IP SSH DMZ区域web服务器进行远程管理

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p tcp --dport ssh -j DNAT --to-destination 192.168.9.100

允许外网通过公网IP ping DMZ区域主机

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth1 -p icmp --icmp 8 -j DNAT --to-destination 192.168.9.100

允许内网主机访问内网DMZ区域的服务器，DMZ区域的服务器不允许访问内网主机

允许内网主机既可通过公网IP访问DMZ中web服务器也可通过内网IP

iptables -t nat -A PREROUTING -d 211.67.93.254 -i eth3 -p tcp --dport 80 -j DNAT --to-destination 192.168.9.100

不允许DMZ区里面的某些特定服务器直接访问内网

iptables -t filter -A FORWARD -s 192.168.9.64/26 -o eth3 -m state --state NEW -j DROP