iptables基本管理 配置SNAT共享上網

Top

NSD SECURITY DAY04

1. 案例1：iptables基本管理
2. 案例2：filter過濾和轉發控制
3. 案例3：防火牆擴展規則
4. 案例4：配置SNAT實現共享上網

1 案例1：iptables基本管理

1.1 問題

本案例要求練習iptables命令的使用，按照要求完成以下任務：

1. 關閉firewalld，開啟iptables服務
2. 查看防火牆規則
3. 追加、插入防火牆規則
4. 刪除、清空防火牆規則

1.2 步驟

實現此案例需要按照如下步驟進行。

步驟一：關閉firewalld，啟動iptables服務

1）關閉firewalld服務器

1. [root@svr5 ~]# systemctl stop firewalld.service
2. [root@svr5 ~]# systemctl disable firewalld.service

2）安裝iptables-services並啟動服務

1. [root@svr5 ~]# yum -y install iptables-services
2. [root@svr5 ~]# systemctl start iptables.service

步驟二：熟悉iptables框架

1）iptables的4個表（區分大小寫）：

iptables默認有4個表，nat表（地址轉換表）、filter表（數據過濾表）、raw表（狀態跟蹤表）、mangle表（包標記表）。

2）iptables的5個鏈（區分大小寫）：

INPUT鏈（入站規則）

OUTPUT鏈（出站規則）

FORWARD鏈（轉發規則）

PREROUTING鏈（路有前規則）

POSTROUTING鏈（路由后規則）

步驟三：iptables命令的基本使用方法

1）iptabels語法格式

1. [root@svr5 ~]# iptables [-t 表名] 選項 [鏈名] [條件] [-j 目標操作]
2. [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j REJECT
4. [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT
5. [root@svr5 ~]# iptables -I INPUT -p icmp -j REJECT
6. //注意事項與規律：
7. //可以不指定表，默認為filter表
8. //可以不指定鏈，默認為對應表的所有鏈
9. //除非設置默認策略，否則必須指定匹配條件
10. //選項/鏈名/目標操作用大寫字母，其余都小寫
11. ########################################################################
12. //目標操作：
13. // ACCEPT：允許通過/放行
14. // DROP：直接丟棄，不給出任何回應
15. // REJECT：拒絕通過，必要時會給出提示
16. // LOG：記錄日志，然后傳給下一條規則

iptables命令的常用選項如表-1所示。

表-1 iptables常用選項

2）iptables命令的使用案例

創建規則的案例：

1. [root@svr5 ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
2. //追加規則至filter表中的INPUT鏈的末尾，允許任何人使用TCP協議訪問本機
3. [root@svr5 ~]# iptables -I INPUT -p udp -j ACCEPT
4. //插入規則至filter表中的INPUT鏈的開頭，允許任何人使用UDP協議訪問本機
5. [root@svr5 ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
6. //插入規則至filter表中的INPUT鏈的第2行，允許任何人使用ICMP協議訪問本機

查看iptables防火牆規則

1. [root@svr5 ~]# iptables -nL INPUT                    //僅查看INPUT鏈的規則
2. target prot opt source destination
3. ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
4. ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
5. ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
6. [root@svr5 ~]# iptables -L INPUT --line-numbers        //查看規則，顯示行號
7. num target prot opt source destination
8. 1 ACCEPT udp -- anywhere anywhere
9. 2 ACCEPT icmp -- anywhere anywhere
10. 3 ACCEPT tcp -- anywhere anywhere

刪除規則，清空所有規則

1. [root@svr5 ~]# iptables -D INPUT 3
2. //刪除filter表中INPUT鏈的第3條規則
3. [root@svr5 ~]# iptables -nL INPUT                //查看規則，確認是否刪除
4. [root@svr5 ~]# iptables -F
5. //清空filter表中所有鏈的防火牆規則
6. [root@svr5 ~]# iptables -t nat -F
7. //清空nat表中所有鏈的防火牆規則
8. [root@svr5 ~]# iptables -t mangle -F
9. //清空mangle表中所有鏈的防火牆規則
10. [root@svr5 ~]# iptables -t raw -F
11. //清空raw表中所有鏈的防火牆規則

設置防火牆默認規則

1. [root@svr5 ~]# iptables -t filter -P INPUT DROP
2. [root@svr5 ~]# iptables -nL
3. Chain INPUT (policy DROP)
4. … …

2 案例2：filter過濾和轉發控制

2.1 問題

本案例要求創建常用主機防火牆規則以及網絡防火牆規則：

1. 針對Linux主機進行出站、入站控制
2. 利用ip_forward機制實現Linux路由/網關功能
3. 在Linux網關上實現數據包轉發訪問控制

2.2 方案

根據防火牆保護的對象不同，防火牆可以分為主機型防火牆與網絡型防火牆，如圖-1所示。

主機型防火牆，主要保護的是服務器本機（過濾威脅本機的數據包）。

網絡防火牆，主要保護的是防火牆后面的其他服務器，如web服務器、FTP服務器等。

2.3 步驟

實現此案例需要按照如下步驟進行。

步驟一：iptables防火牆規則的條件

iptables防火牆可以根據很多很靈活的規則進行過濾行為，具體常用的過濾條件如表-2所示。

表-2 iptables過濾條件

1）主機型防火牆案例

1. [root@svr5 ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
2. [root@svr5 ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
3. [root@svr5 ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
4. [root@svr5 ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
5. [root@svr5 ~]# iptables -A INPUT -s 192.168.4.120 -j DROP
6. //丟棄192.168.4.120發給本機的所有數據包
7. [root@svr5 ~]# iptables -A INPUT -s 10.0.10.0/24 -j DROP
8. //丟棄10.0.10.0/24網絡中所有主機發送給本機的所有數據包
9. [root@svr5 ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22-j REJECT
10. //拒絕114.212.33.12使用tcp協議遠程連接本機ssh（22端口）

步驟二：開啟Linux的路由轉發功能

1）Linux內核默認支持軟路由功能，通過修改內核參數即可開啟或關閉路由轉發功能。

1. [root@svr5 ~]# echo 0 > /proc/sys/net/ipv4/ip_forward            //關閉路由轉發
2. [root@svr5 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            //開啟路由轉發
3. //注意以上操作僅當前有效，計算機重啟后無效
4. [root@svr5 ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
5. //修改/etc/sysctl.conf配置文件，可以實現永久有效規則

步驟四：網絡型防火牆案例

1）網絡型防火牆案例

部署如表-3所示的網絡拓撲，一定要把router主機的路由轉發功能打開。

表-3 實驗拓撲

添加網關的命令

1. [root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
2. [root@client ~]# nmcli connection up eth0
4. [root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.5
5. [root@web1 ~]# nmcli connection up eth1

確認不同網絡的聯通性

1. [root@client ~]# ping 192.168.2.100
2. [root@web1 ~]# ping 192.168.4.100

在web1主機上啟動http服務

1. [root@web1 ~]# yum -y install httpd
2. [root@web1 ~]# echo "test page" > /var/www/html/index.html
3. [root@web1 ~]# systemctl restart httpd

沒有防火牆的清空下client訪問web服務

1. [root@client ~]# curl http://192.168.2.100                    //成功

設置proxy主機的防火牆規則，保護防火牆后面的Web服務器

1. [root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP

設置完防火牆規則后，再次使用client客戶端訪問測試效果

1. [root@client ~]# curl http://192.168.2.100                    //失敗

步驟三：禁ping的相關策略

1）默認直接禁ping的問題？

1. [root@router ~]# iptables -I INPUT -p icmp -j DROP
2. //設置完上面的規則后，其他主機確實無法ping本機，但本機也無法ping其他主機
3. //當本機ping其他主機，其他主機回應也是使用icmp，對方的回應被丟棄

2）禁止其他主機ping本機，允許本機ping其他主機

1. [root@router ~]# iptables -A INPUT -p icmp \
2. > --icmp-type echo-request -j DROP
3. //僅禁止入站的ping請求，不拒絕入站的ping回應包

注意：關閉ICMP的類型，可以參考help幫助，參考命令如下：

1. [root@router ~]# iptables -p icmp --help

3 案例3：防火牆擴展規則

3.1 問題

本案例要求熟悉使用iptables的擴展規則，實現更豐富的過濾功能，完成以下任務：

1. 根據MAC地址封鎖主機
2. 在一條規則中開放多個TCP服務
3. 根據IP范圍設置封鎖規則

3.2 方案

iptables在基本過濾條件的基礎上還擴展了很多其他條件，在使用時需要使用-m參數來啟動這些擴展功能，語法如下：

iptables 選項 鏈名稱 -m 擴展模塊 --具體擴展條件 -j 動作

3.3 步驟

實現此案例需要按照如下步驟進行。

步驟一：根據MAC地址過濾

1）根據IP過濾的確定是對方修改IP后，防火牆是失效

1. [root@router ~]# iptables -F
2. [root@router ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
3. //設置規則禁止192.168.4.100使用ssh遠程本機

但是，當client主機修改IP地址后，該規則就會失效，注意因為修改了IP，對client主機的遠程連接會斷開，需要使用virt-manager開啟虛擬機操作：

1. [root@client ~]# ifconfig eth0 192.168.4.101
2. [root@client ~]# ssh 192.168.4.5                    //依然成功

根據MAC地址過濾，可以防止這種情況的發生

1. [root@client ~]# ip link show eth0                    //查看client的MAC地址
2. eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
3. link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
5. [root@router ~]# iptables -A INPUT -p tcp --dport 22\
6. > -m mac --mac-source 52:54:00:00:00:0b -j DROP
7. //拒絕52:54:00:00:00:0b這台主機遠程本機

步驟二：基於多端口設置過濾規則

1）一次需要過濾或放行很多端口時會比較方便

1. [root@router ~]# iptables -A INPUT -p tcp \
2. > -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
3. //一次性開啟20,21,22,25,80,110,143,16501到16800所有的端口

步驟三：根據IP地址范圍設置規則

1）允許從 192.168.4.10-192.168.4.20 登錄

1. [root@router ~]# iptables -A INPUT -p tcp --dport 22 \
2. > -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT

2）禁止從 192.168.4.0/24 網段其他的主機登錄

1. [root@router ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP

4 案例4：配置SNAT實現共享上網

4.1 問題

本案例要求設置防火牆規則，允許位於局域網中的主機可以訪問外網，主要包括下列服務：

1. 搭建內外網案例環境
2. 配置SNAT策略實現共享上網訪問

4.2 步驟

實現此案例需要按照如下步驟進行。

步驟一：搭建內外網案例環境

表-4 實驗拓撲

這里，我們設定192.168.2.0/24網絡為外部網絡，192.168.4.0/24為內部網絡。

現在，在外部網絡中有一台web服務器192.168.2.100，因為設置了網關，client已經可以訪問此web服務器了。但，如果查看web1的日志就會發現，日志里記錄的是192.168.4.100在訪問網頁。

我們需要實現的效果是，client可以訪問web服務器，但要偽裝為192.168.2.5后再訪問web服務器(模擬所有位於公司內部的電腦都使用的是私有IP，希望訪問外網，就需要偽裝為公司的外網IP后才可以)。

步驟二：設置防火牆規則，實現IP地址的偽裝（SNAT源地址轉換）

1）確保router主機開啟了路由轉發功能

1. [root@router ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            //開啟路由轉發

2）設置防火牆規則，實現SNAT地址轉換

1. [root@router ~]# iptables -t nat -A POSTROUTING \
2. > -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5

3）登陸web主機查看日志

1. [root@router ~]# tail /var/log/httpd/access_log
2. .. ..
3. 192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

通過日志會發現，客戶端是先偽裝為了192.168.2.5之后再訪問的web服務器！