资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,RHEL6_Linux,轻舞飞扬,1,第六章,iptables,防火墙(一),理论部分,熟悉,Linux,防火墙的表、链结构,理解数据包匹配的基本流程,学会编写,iptables,规则,技能展示,3,本章结构,iptables,防火墙,(,一,),iptables,的表、链结构,数据包控制的匹配流程,添加、查看、删除规则,规则的匹配条件,Linux,防火墙基础,基本语法、控制类型,编写防火墙规则,4,netfilter,位于,Linux,内核中的包过滤功能体系,称为,Linux,防火墙的“内核态”,iptables,位于,/sbin/iptables,,用来管理防火墙规则的工具,称为,Linux,防火墙的“用户态”,上述,2,种称呼都可以表示,Linux,防火墙,Linux包过滤防火墙概述2-1,5,包过滤的工作层次,主要是网络层,针对,IP,数据包,体现在对包内的,IP,地址、端口等信息的处理上,Linux包过滤防火墙概述2-2,链路层,网络层,传输层,应用代理,链路层,网络层,传输层,应用层,链路层,网络层,传输层,应用层,外部网络,网络层防火墙,受保护网络,6,规则链,规则的作用:对数据包进行过滤或处理,链的作用:容纳各种防火墙规则,链的分类依据:处理数据包的不同时机,默认包括,5,种规则链,INPUT,:处理入站数据包,OUTPUT,:处理出站数据包,FORWARD,:处理转发数据包,POSTROUTING,链:在进行路由选择后处理数据包,PREROUTING,链:在进行路由选择前处理数据包,iptables的表、链结构3-1,7,规则表,表的作用:容纳各种规则链,表的划分依据:防火墙规则的作用相似,默认包括,4,个规则表,raw,表:确定是否对该数据包进行状态跟踪,mangle,表:为数据包设置标记,nat,表:修改数据包中的源、目标,IP,地址或端口,filter,表:确定是否放行该数据包(过滤),iptables的表、链结构3-2,8,默认的表、链结构示意图,iptables的表、链结构3-3,filter,表,第,1,条规则第,2,条规则第,3,条规则,INPUT,链,FORWARD,链,OUTPUT,链,mangle,表,PREROUTING,链,POSTROUTING,链,INPUT,链,OUTPUT,链,FORWARD,链,raw,表,PREROUTING,链,OUTPUT,链,nat,表,PREROUTING,链,POSTROUTING,链,OUTPUT,链,9,规则表之间的顺序,r,aw,mangle,nat,filter,规则链之间的顺序,入站:,PREROUTING,I,NPUT,出站:,OUTPUT,POSTROUTING,转发:,PREROUTING,FORWARD,POSTROUTING,规则链内的匹配顺序,按顺序依次检查,匹配即停止(,LOG,策略例外),若找不到相匹配的规则,则按该链的默认策略处理,数据包过滤的匹配流程2-1,10,匹配流程示意图,数据包过滤的匹配流程2-2,本机的应用进程,mangle,:,POSTROUTING,mangle,:,FORWARD,raw,:,PREROUTING,raw,:,OUTPUT,mangle,:,INPUT,转发数据流向,入站数据流向,网络,A,网络,B,mangle,:,PREROUTING,nat,:,PREROUTING,nat,:,POSTROUTING,filter,:,INPUT,mangle,:,OUTPUT,nat,:,OUTPUT,filter,:,OUTPUT,路由选择,filter,:,FORWARD,路由选择,出站数据流向,11,请思考:,Linux,防火墙默认包括哪几个表、哪几种链?,对于转发的数据包,会经过哪几种链的处理?,在同一个规则链内,规则匹配的特点是什么?,小结,12,语法构成,iptables -t,表名,选项,链名, ,条件, -j,控制类型,iptables的基本语法2-1,rootlocalhost #,iptables -t filter -I INPUT -p icmp -j REJECT,C:UsersAdministrator,ping 192.168.4.254,正在,Ping 192.168.4.254,具有,32,字节的数据,:,来自,192.168.4.254,的回复,:,无法连到端口。,来自,192.168.4.254,的回复,:,无法连到端口。,阻止,ping,测试,几个注意事项,不指定表名时,默认指,filter,表,不指定链名时,默认指表内的所有链,除非设置链的默认策略,否则必须指定匹配条件,选项、链名、控制类型使用大写字母,其余均为小写,13,数据包的常见控制类型,ACCEPT,:允许通过,DROP,:直接丢弃,不给出任何回应,REJECT,:拒绝通过,必要时会,给出提示,LOG,:记录日志信息,然后传给下一条规则,继续匹配,iptables的基本语法2-2,14,添加新的规则,-A,:在链的末尾追加一条规则,-I,:在链的开头(或指定序号)插入一条规则,iptables的管理选项5-1,rootlocalhost #,iptables -t filter,-A,INPUT -p tcp -j ACCEPT,rootlocalhost #,iptables,-I,INPUT -p udp -j ACCEPT,rootlocalhost #,iptables,-I,INPUT,2,-p icmp -j ACCEPT,-p,用来指定协议,15,查看规则列表,-L,:列出所有的规则条目,-n,:以数字形式显示地址、端口等信息,-v,:以更详细的方式显示规则信息,-line-numbers,:查看规则时,显示规则的序号,iptables的管理选项5-2,rootlocalhost #,iptables,-L,INPUT,-line-numbers,Chain INPUT (policy ACCEPT),num target prot opt source destination,1 ACCEPT udp - anywhere anywhere,2 ACCEPT icmp - anywhere anywhere,3 REJECT icmp - anywhere anywhere reject-with icmp-port-unreachable,4 ACCEPT tcp - anywhere anywhere,rootlocalhost #,iptables,-n,-L,INPUT,Chain INPUT (policy ACCEPT),target prot opt source destination,ACCEPT udp - 0.0.0.0/0 0.0.0.0/0,ACCEPT icmp - 0.0.0.0/0 0.0.0.0/0,REJECT icmp - 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable,ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0,-n -L,可合写为,-nL,16,删除、清空规则,-D,:删除链内指定序号(或内容)的一条规则,-F,:清空所有的规则,iptables的管理选项5-3,rootlocalhost #,iptables,-D,INPUT,3,rootlocalhost #,iptables -n -L INPUT,Chain INPUT (policy ACCEPT),target prot opt source destination,ACCEPT udp - 0.0.0.0/0 0.0.0.0/0,ACCEPT icmp - 0.0.0.0/0 0.0.0.0/0,ACCEPT tcp - 0.0.0.0/0 0.0.0.0/0,rootlocalhost #,iptables,-F,rootlocalhost #,iptables -t nat,-F,rootlocalhost #,iptables -t mangle,-F,rootlocalhost #,iptables -t raw,-F,清空所有表的所有链,17,设置默认策略,-P,:为指定的链设置默认规则,iptables的管理选项5-4,rootlocalhost #,iptables -t filter,-P,FORWARD DROP,rootlocalhost #,iptables,-P,OUTPUT ACCEPT,默认策略要么是,ACCEPT,、要么是,DROP,18,常用管理选项汇总,iptables的管理选项5-5,类别,选项,用途,添加新的规则,-A,在链的末尾追加一条规则,-I,在链的开头(或指定序号)插入一条规则,查看规则列表,-L,列出所有的规则条目,-n,以数字形式显示地址、端口等信息,-v,以更详细的方式显示规则信息,-line-numbers,查看规则时,显示规则的序号,删除、清空规则,-D,删除链内指定序号(或内容)的一条规则,-F,清空所有的规则,设置默认策略,-P,为指定的链设置默认规则,19,通用匹配,可直接使用,不依赖于其他条件或扩展,包括网络协议、,IP,地址、网络接口等条件,隐含匹配,要求以特定的协议匹配作为前提,包括端口、,TCP,标记、,ICMP,类型等条件,显式匹配,要求以“,-m,扩展模块,”的形式明确指出类型,包括多端口、,MAC,地址、,IP,范围、数据包状态等条件,规则的匹配条件5-1,20,常见的通用匹配条件,协议匹配:,-p,协议名,地址匹配:,-s,源地址、,-d,目的地址,接口匹配:,-i,入站网卡、,-o,出站网卡,规则的匹配条件5-2,rootlocalhost #,iptables -I INPUT -p icmp -j DROP,rootlocalhost #,iptables -A FORWARD -p ! icmp -j ACCEPT,叹号,!,表示条件取反,rootlocalhost #,iptables -A FORWARD -s 192.168.1.11 -j REJECT,rootlocalhost #,iptables -I INPUT -s 10.20.30.0/24 -j DROP,rootlocalhost #,iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP,rootlocalhost #,iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP,rootlocalhost #,iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP,外网接口,21,常用的隐含匹配条件,端口匹配:,-sport,源端口、,-dport,目的端口,TCP,标记匹配:,-tcp-flags,检查范围 被设置的标记,ICMP,类型匹配:,-icmp-type,ICMP,类型,规则的匹配条件5-3,rootlocalhost #,iptables -A FORWARD -s 192.168.4.0/24 -p udp -dport 53 -j ACCEPT,rootlocalhost #,iptables -A INPUT -p tcp -dport 20:21 -j ACCEPT,rootlocalhost #,iptables -I INPUT -i eth1 -p tcp -tcp-flags SYN,RST,ACK SYN -j DROP,rootlocalhost #,iptables -I INPUT -i eth1 -p tcp -tcp-flags ! -syn -j ACCEPT,丢弃,SYN,请求包,放行其他包,rootlocalhost #,iptables -A INPUT -p icmp -icmp-type 8 -j DROP,rootlocalhost #,iptables -A INPUT -p icmp -icmp-type 0 -j ACCEPT,rootlocalhost #,iptables -A INPUT -p icmp -icmp-type 3 -j ACCEPT,rootlocalhost #,iptables -A INPUT -p icmp -j DROP,8,请求,,0,回显,,3,不可达,22,常用的显式匹配条件,多端口匹配:,-m multiport -sports,源,端口列表,-m multiport -dports,目的,端口列表,IP,范围匹配:,-m iprange -src-range,IP,范围,MAC,地址匹配:,-m mac -mac-source,MAC,地址,状态匹配:,-m state -state,连接状态,规则的匹配条件5-4,rootlocalhost #,iptables -A INPUT -p tcp -m multiport -dport 25,80,110,143 -j ACCEPT,rootlocalhost #,iptables -A FORWARD -p tcp -m iprange -src-range 192.168.4.21-192.168.4.28 -j ACCEPT,rootlocalhost #,iptables -A INPUT -m mac -mac-source 00:0c:29:c0:55:3f -j DROP,rootlocalhost #,iptables -P INPUT DROP,rootlocalhost #,iptables -I INPUT -p tcp -m multiport -dport 80 -j ACCEPT,rootlocalhost #,iptables -I INPUT -p tcp -m state -state ESTABLISHED,RELATED -j ACCEPT,23,常见匹配条件汇总,规则的匹配条件5-5,类别,条件类型,用法,通用匹配,协议匹配,-p,协议名,地址匹配,-s,源地址、,-d,目的地址,接口匹配,-i,入站网卡、,-o,出站网卡,隐含匹配,端口匹配,-sport,源端口、,-dport,目的端口,TCP,标记匹配,-tcp-flags,检查范围 被设置的标记,ICMP,类型匹配,-icmp-type ICMP,类型,显式匹配,多端口匹配,-m multiport -sports | -dports,端口列表,IP,范围匹配,-m iprange -src-range IP,范围,MAC,地址匹配,-m mac -mac-source MAC,地址,状态匹配,-m state -state,连接状态,24,本章总结,iptables,防火墙,(,一,),iptables,的表、链结构,数据包控制的匹配流程,添加、查看、删除规则,规则的匹配条件,Linux,防火墙基础,基本语法、控制类型,编写防火墙规则,25,第六章,iptables,防火墙(一),上机部分,实验环境,为网关、,Web,服务器配置防火墙规则,实验案例:基于,IP,、端口的控制,4-1,局域网段,192.168.1.0/24,网站服务器,192.168.1.5,Internet,Internet,测试用机,172.16.16.172,网关服务器,eth0: 192.168.1.1eth1: 172.16.16.1,27,需求描述,为,Web,主机编写入站规则,允许,ping,,开放,80,端口,为网关编写转发规则,允许基本的上网访问,实现思路,Web,主机:在,filter,表的,INPUT,链添加入站规则,Linux,网关:在,filter,表的,FORWARD,链添加转发规则,实验案例:基于,IP,、端口的控制,4-2,28,学员练习,1,为网站服务器编写入站规则,、默认策略,测试入站访问控制的效果,实验案例:基于,IP,、端口的控制,4-3,30,分钟完成,29,学员练习,2,为,网关,服务器编写,转发,规则,、默认策略,测试转发控制的效果,实验案例:基于,IP,、端口的控制,4-4,50,分钟完成,30,
展开阅读全文