8張圖帶你瞭解iptables的前世今生

臨江仙我亦是行人發表於2021-05-11

1 安全技術和防火牆

1 安全技術和防火牆

  • 入侵檢測系統(Intrusion Detection Systems):特點是不阻斷任何網路訪問,量化、定位來自內 外網路的威脅情況,主要以提供報警和事後監督為主,提供有針對性的指導措施和安全決策依據,類 似於監控系統一般採用旁路部署方式

  • 入侵防禦系統(Intrusion Prevention System):以透明模式工作,分析資料包的內容如:溢位攻 擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等進行準確的分析判斷,在判定為攻擊行為後立即予以 阻斷,主動而有效的保護網路的安全,一般採用線上部署方式

  • 防火牆( FireWall ):隔離功能,工作在網路或主機邊緣,對進出網路或主機的資料包基於一定的 規則檢查,並在匹配某規則時由規則定義的行為進行處理的一組功能的元件,基本上的實現都是默 認情況下關閉所有的通過型訪問,只開放允許訪問的策略,會將希望外網訪問的主機放在DMZ (demilitarized zone)網路中.

防水牆 
廣泛意義上的防水牆:防水牆(Waterwall),與防火牆相對,是一種防止內部資訊洩漏的安全產品。網路、外設介面、儲存介質和印表機構成資訊洩漏的全部途徑。
防水牆針對這四種洩密途徑,在事前、事中、事後進行全面防護。其與防病毒產品、外部安全產品一起構成完整的網路安全體系。

1.2 防火牆的分類

按保護範圍劃分:

  • 主機防火牆:服務範圍為當前一臺主機

  • 網路防火牆:服務範圍為防火牆一側的區域網

按實現方式劃分:

  • 硬體防火牆:在專用硬體級別實現部分功能的防火牆;另一個部分功能基於軟體實現,如:華為, 山石hillstone,天融信,啟明星辰,綠盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40億美元收購)等

  • 軟體防火牆:執行於通用硬體平臺之上的防火牆的應用軟體,Windows 防火牆 ISA --> Forefront TMG

按網路協議劃分:

  • 網路層防火牆:OSI模型下四層,又稱為包過濾防火牆

  • 應用層防火牆/代理伺服器:proxy 代理閘道器,OSI模型七層

包過濾防火牆

網路層對資料包進行選擇,選擇的依據是系統內設定的過濾邏輯,被稱為訪問控制列表(ACL),通過 檢查資料流中每個資料的源地址,目的地址,所用埠號和協議狀態等因素,或他們的組合來確定是否 允許該資料包通過

優點:對使用者來說透明,處理速度快且易於維護

缺點:無法檢查應用層資料,如病毒等

應用層防火牆
應用層防火牆/代理服務型防火牆,也稱為代理伺服器(Proxy Server) 將所有跨越防火牆的網路通訊鏈路分為兩段 內外網使用者的訪問都是通過代理伺服器上的“連結”來實現

優點:在應用層對資料進行檢查,比較安全

缺點:增加防火牆的負載

提示:現實生產環境中所使用的防火牆一般都是二者結合體,即先檢查網路資料,通過之後再送到應用
層去檢查

2 Linux 防火牆的基本認識

2.1 Netfilter

Linux防火牆是由Netfilter元件提供的,Netfilter工作在核心空間,整合在linux核心中

Netfilter 是Linux 2.4.x之後新一代的Linux防火牆機制,是linux核心的一個子系統。Netfilter採用模組 化設計,具有良好的可擴充性,提供擴充套件各種網路服務的結構化底層框架。Netfilter與IP協議棧是無縫 契合,並允許對資料包進行過濾、地址轉換、處理等操作

Netfilter官網文件:https://netfilter.org/documentation/

[root@centos8 ~]#grep -m 10 NETFILTER /boot/config-4.18.0-240.15.1.el8_3.x86_64
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_FAMILY_BRIDGE=y
CONFIG_NETFILTER_FAMILY_ARP=y
# CONFIG_NETFILTER_NETLINK_ACCT is not set
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
[root@centos8 ~]#


root@ubuntu20:~# grep -m 10 NETFILTER /boot/config-5.8.0-50-generic
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_FAMILY_BRIDGE=y
CONFIG_NETFILTER_FAMILY_ARP=y
CONFIG_NETFILTER_NETLINK_ACCT=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
root@ubuntu20:~#

[root@centos7 ~]# grep -m 10 NETFILTER /boot/config-3.10.0-1160.el7.x86_64
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=m
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_NETLINK_ACCT=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
CONFIG_NETFILTER_NETLINK_QUEUE_CT=y
CONFIG_NETFILTER_SYNPROXY=m
[root@centos7 ~]#

2.2 防火牆工具介紹

2.2.1 iptables

由軟體包iptables提供的命令列工具,工作在使用者空間,用來編寫規則,寫好的規則被送往netfilter,告 訴核心如何去處理資訊包

[root@centos8 ~]#yum -y install iptables
[root@centos8 ~]#rpm -qi iptables
Name        : iptables
Version     : 1.8.4
Release     : 15.el8_3.3
Architecture: x86_64
Install Date: Tue 11 May 2021 09:32:18 AM CST
Group       : Unspecified
Size        : 1992105
License     : GPLv2 and Artistic 2.0 and ISC
Signature   : RSA/SHA256, Fri 18 Dec 2020 09:02:38 AM CST, Key ID 05b555b38483c65d
Source RPM  : iptables-1.8.4-15.el8_3.3.src.rpm
Build Date  : Fri 18 Dec 2020 07:27:23 AM CST
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://www.netfilter.org/projects/iptables
Summary     : Tools for managing Linux kernel packet filtering capabilities
Description :
The iptables utility controls the network packet filtering code in the
Linux kernel. If you need to set up firewalls and/or IP masquerading,
you should either install nftables or this package.

Note: This package contains the nftables-based variants of iptables and
ip6tables, which are drop-in replacements of the legacy tools.
[root@centos8 ~]#

[root@centos8 ~]#iptables --version
iptables v1.8.4 (nf_tables)
[root@centos8 ~]#ll /usr/sbin/iptables
lrwxrwxrwx 1 root root 17 Dec 18 07:27 /usr/sbin/iptables -> xtables-nft-multi*
[root@centos8 ~]#


root@ubuntu20:~# iptables --version
iptables v1.8.5 (nf_tables)
root@ubuntu20:~# ll /usr/sbin/iptables
lrwxrwxrwx 1 root root 26  4月 30 16:25 /usr/sbin/iptables -> /etc/alternatives/iptables*
root@ubuntu20:~#

[root@centos7 ~]# yum -y install iptables
[root@centos7 ~]# iptables --version
iptables v1.4.21
[root@centos7 ~]# ll /usr/sbin/iptables
lrwxrwxrwx. 1 root root 13 3月  25 10:18 /usr/sbin/iptables -> xtables-multi
[root@centos7 ~]#

示例:安裝 iptables 的 service 包

[root@centos8 ~]#dnf -y install iptables-services
[root@centos8 ~]#rpm -ql iptables-services
/etc/sysconfig/ip6tables
/etc/sysconfig/iptables
/usr/lib/systemd/system/ip6tables.service
/usr/lib/systemd/system/iptables.service
/usr/libexec/initscripts/legacy-actions/ip6tables
/usr/libexec/initscripts/legacy-actions/ip6tables/panic
/usr/libexec/initscripts/legacy-actions/ip6tables/save
/usr/libexec/initscripts/legacy-actions/iptables
/usr/libexec/initscripts/legacy-actions/iptables/panic
/usr/libexec/initscripts/legacy-actions/iptables/save
/usr/libexec/iptables
/usr/libexec/iptables/ip6tables.init
/usr/libexec/iptables/iptables.init
[root@centos8 ~]#

2.2.2 firewalld

從CentOS 7 版開始引入了新的前端管理工具

軟體包

  • firewalld

  • firewalld-config

管理工具

  • firewall-cmd 命令列工具

  • firewall-config 圖形工作

2.2.3 nftables

此軟體是CentOS 8 新特性,Nftables最初在法國巴黎的Netfilter Workshop 2008上發表,然後由長期的 netfilter核心團隊成員和專案負責人Patrick McHardy於2009年3月釋出。它在2013年末合併到Linux內 核中,自2014年以來已在核心3.13中可用。

它重用了netfilter框架的許多部分,例如連線跟蹤和NAT功能。它還保留了命名法和基本iptables設計的 幾個部分,例如表,鏈和規則。就像iptables一樣,表充當鏈的容器,並且鏈包含單獨的規則,這些規 則可以執行操作,例如丟棄資料包,移至下一個規則或跳至新鏈。

從使用者的角度來看,nftables新增了一個名為nft的新工具,該工具替代了iptables,arptables和 ebtables中的所有其他工具。從體系結構的角度來看,它還替換了核心中處理資料包過濾規則集執行時 評估的那些部分。

檢視 nftables 軟體包

[root@centos8 ~]#rpm -qi nftables
Name        : nftables
Epoch       : 1
Version     : 0.9.3
Release     : 16.el8
Architecture: x86_64
Install Date: Sat 08 May 2021 02:51:22 PM CST
Group       : Unspecified
Size        : 811386
License     : GPLv2
Signature   : RSA/SHA256, Wed 12 Aug 2020 05:05:16 AM CST, Key ID 05b555b38483c65d
Source RPM  : nftables-0.9.3-16.el8.src.rpm
Build Date  : Wed 12 Aug 2020 04:59:03 AM CST
Build Host  : x86-02.mbox.centos.org
Relocations : (not relocatable)
Packager    : CentOS Buildsys <bugs@centos.org>
Vendor      : CentOS
URL         : http://netfilter.org/projects/nftables/
Summary     : Netfilter Tables userspace utillites
Description :
Netfilter Tables userspace utilities.
[root@centos8 ~]#

CentOS 8 支援三種防火牆服務

[root@centos8 ~]#systemctl status iptables.service
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
[root@centos8 ~]#systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)
[root@centos8 ~]#systemctl status nftables.service
● nftables.service - Netfilter Tables
   Loaded: loaded (/usr/lib/systemd/system/nftables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: man:nft(8)
[root@centos8 ~]#

2.3 netfilter 中五個勾子函式和報文流向

Netfilter在核心中選取五個位置放了五個hook(勾子) function(INPUT、OUTPUT、FORWARD、 PREROUTING、POSTROUTING),而這五個hook function向使用者開放,使用者可以通過一個命令工具 (iptables)向其寫入規則 由資訊過濾表(table)組成,包含控制IP包處理的規則集(rules),規則被分組放在鏈(chain)上

提示:從 Linux kernel 4.2 版以後,Netfilter 在prerouting 前加了一個 ingress 勾子函式。可以使用這 個新的入口掛鉤來過濾來自第2層的流量,這個新掛鉤比預路由要早,基本上是 tc 命令(流量控制工 具)的替代品

三種報文流向

  • 流入本機:PREROUTING --> INPUT-->使用者空間程式

  • 流出本機:使用者空間程式 -->OUTPUT--> POSTROUTING

  • 轉發:PREROUTING --> FORWARD --> POSTROUTING

2.4 iptables的組成

iptables由五個表table和五個鏈chain以及一些規則組成

鏈(chain)

  • 內建鏈:每個內建鏈對應於一個鉤子函式

  • 自定義鏈:用於對內建鏈進行擴充套件或補充,可實現更靈活的規則組織管理機制;只有 Hook 鉤子呼叫自定義鏈時,才生效

五個內建鏈chain

  • INPUT

  • OUTPUT

  • FORWARD

  • PREROUTING

  • POSTROUTING

五個表table

  • filter:過濾規則表,根據預定義的規則過濾符合條件的資料包,預設表

  • nat:network address translation 地址轉換規則表

  • mangle:修改資料標記位規則表

  • raw:關閉啟用的連線跟蹤機制,加快封包穿越防火牆速度

  • security:用於強制訪問控制(MAC)網路規則,由Linux安全模組(如SELinux)實現

優先順序由高到低的順序為

security -->raw-->mangle-->nat-->filter

表和鏈對應關係

核心中資料包的傳輸過程

  • 當一個資料包進入網路卡時,資料包首先進入PREROUTING鏈,核心根據資料包目的IP判斷是否需要轉送出去

  • 如果資料包是進入本機的,資料包就會沿著圖向下移動,到達INPUT鏈。資料包到達INPUT鏈後, 任何程式都會收到它。本機上執行的程式可以傳送資料包,這些資料包經過OUTPUT鏈,然後到達 POSTROUTING鏈輸出

  • 如果資料包是要轉發出去的,且核心允許轉發,資料包就會向右移動,經過FORWARD鏈,然後到 達POSTROUTING鏈輸出

檢視 iptables 表

[root@centos8 ~]#iptables -vnL -t filter
[root@centos8 ~]#iptables -vnL -t nat
[root@centos8 ~]#iptables -vnL -t mangle
[root@centos8 ~]#iptables -vnL -t raw
[root@centos8 ~]#iptables -vnL -t security

# CentOS 6 nat表不支援INPUT鏈
[root@centos6 ~]#iptables -vnL -t nat

3 iptables

3.1 iptables 規則說明

3.1.1 iptables 規則組成

規則rule:根據規則的匹配條件嘗試匹配報文,對匹配成功的報文根據規則定義的處理動作作出處理,
規則在連結上的次序即為其檢查時的生效次序

匹配條件:預設為與條件,同時滿足

基本匹配:IP,埠,TCP的Flags(SYN,ACK等)

擴充套件匹配:通過複雜高階功能匹配

處理動作:稱為target,跳轉目標

  • 內建處理動作:ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG...

  • 自定義處理動作:自定義chain,利用分類管理複雜情形

規則要新增在鏈上,才生效;新增在自定義鏈上不會自動生效

白名單:只有指定的特定主機可以訪問,其它全拒絕(生產環境建議)

# 白名單,沒有被明確允許的都拒絕

iptables -A INPUT -s 10.0.0.10 -j ACCETP                # 允許本機(windows)機器

iptables -A INPUT -i lo -j ACCEPT                      # 允許本地迴環地址

iptables -A INPUT -j REJECT                             # 預設全部拒絕

iptables -I INPUT 2 -s 10.0.0.12 -p icmp -j REJECT      # 拒絕 10.0.0.12 ping 本機

黑名單:只有指定的特定主機拒絕訪問,其它全允許,預設方式

3.1.2 iptables規則新增時考量點

  • 要實現哪種功能:判斷新增在哪張表上

  • 報文流經的路徑:判斷新增在哪個鏈上

  • 報文的流向:判斷源和目的

  • 匹配規則:業務需要

3.1.3 環境準備

為了防止 iptables 和 firewalld 出現衝突,我們可以關閉 firewalld

CentOS7+

systemctl stop firewalld.service
systemctl disable  firewalld. service
# 或者
systemctl disable --now firewalld. service

CentOS6

service iptables stop
chkconfig iptables off

相關文章