LINUX安全监测与防护之一：IPTABLES

Iptables：<software iptables and hardware iptables>
       一般企业里都使用的是硬件防火墙<hardware iptables>,因为对内网的防护能力是不可估测的，所以价格也是相当昂贵。如果内部网络主机不对外网提供服务，而只是为内部提供网络服务(Samba/FTP/Postfix)，那么就没必要花费更高的费用来购买硬件防火墙，那么这是选择软件防火墙<software iptables>是不错的选择，所以我们又必要了解防火墙的常识.例如：常用到的命令和常用的处理动作。
       为了让服务器更加安全，添加iptables规则是必不可少的，如果对iptables不是很了解的话，可能在服务器上添加规则的时候，难免会造成不可想象的结果，所以要对iptables做下简单的介绍。

• netfilter
•     位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”
• iptables
•     位于/sbin/iptables，用来管理防火墙规则的工具,称为Linux防火墙的“用户态”
  

iptables的表、链结构

• 规则链
•     规则的作用：对数据包进行过滤或处理
•     链的作用：容纳各种防火墙规则
•     链的分类依据：处理数据包的不同时机
• 默认包括5种规则链
•     INPUT：处理入站数据包
•     OUTPUT：处理出站数据包
•     FORWARD：处理转发数据包
•     POSTROUTING链：在进行路由选择后处理数据包(SNAT)
•     PREROUTING链：在进行路由选择前处理数据包(DNAT)
• 规则表
•     表的作用：容纳各种规则链
•     表的划分依据：防火墙规则的作用相似
• 默认包括4个规则表
•     raw表：确定是否对该数据包进行状态跟踪
•     mangle表：为数据包设置标记
•     nat表：修改数据包中的源、目标IP地址或端口
•     filter表：确定是否放行该数据包（过滤）
  

数据包过滤的匹配流程

• 规则表之间的顺序
•     raw->mangle->nat->filter
• 规则链之间的顺序
•     入站：PREROUTINGINPUT
•     出站：OUTPUTPOSTROUTING
•     转发：PREROUTINGFORWARDPOSTROUTING
• 规则链内的匹配顺序
•     按顺序依次检查，匹配即停止(LOG策略例外),若找不到相匹配的规则，则按该链的默认策略处理
  

Linux包过滤防火墙概述
      主要是网络层，针对IP数据包,体现在对包内的IP地址、端口等信息的处理上

在日常添加iptabes规则常用的命令与处理动作

• 命令：
•     管理规则：
•         -A：附加一条规则，添加在链的尾部
•         -I CHAIN [num]: 插入一条规则，插入为对应CHAIN上的第num条；
•         -D CHAIN [num]: 删除指定链中的第num条规则；
•         -R CHAIN [num]: 替换指定的规则；
•     管理链：
•         -F [CHAIN]：flush，清空指定规则链，如果省略CHAIN，则可以实现删除对应表中的所有链
•         -P CHAIN: 设定指定链的默认策略；
•         -N：自定义一个新的空链
•         -X: 删除一个自定义的空链
•         -Z：置零指定链中所有规则的计数器；
•         -E: 重命名自定义的链；
•     查看类：
•         -L: 显示指定表中的规则；
•             -n: 以数字格式显示主机地址和端口号；
•             -v: 显示链及规则的详细信息
•             -vv:  
•             -x: 显示计数器的精确值
•             --line-numbers: 显示规则号码
• 动作(target)： ACCEPT：放行、DROP：丢弃、REJECT：拒绝、DNAT：目标地址转换、SNAT：源地址转换 REDIRECT：端口重定向、MASQUERADE：地址伪装、LOG：日志、MARK：打标记
  

匹配标准：(通用匹配和扩展匹配）

• 通用匹配：
•         协议匹配：-p {tcp|udp|icmp}
•         地址匹配：
•             -s 源地址(src)
•             -d 目标地址(dst)
•         接口匹配：
•             -i interface(指定数据报文流入的接口)
•                 可用于定义标准链：PREROUTING、INPUT、FORWARD
•             -o interface(指定数据报文流出的接口)
•                 可用于定义标准链：OUTPUT、POSTROUTING、FORWARD
• 扩展匹配：
•         隐含匹配：注(不用特别指明由哪个模块进行的扩展，因此此时使用-p {tcp|udp|icmp)
•             端口匹配：
•                 --sport 源端口
•                 --dport 目标端口
•             TCP标记匹配：
•                 --tcp-flags mask[检查范围]  comp[被设置的标记]
•                 说明：
•                     只检查mask指定的标志位，用逗号分隔的标志位列表；
•                     comp此列表中出现的标记位必须为1，comp中没出现，而mask中出现的，必须为0；
•             ICMP类型匹配：
•                 --icmp-type ICMP类型
•                     8: (请求)echo-request
•                     0: (相应)echo-reply
•                     3：主机不可达         
•         显示匹配：注(必须之明由哪个模块进行的扩展，在iptables中使用-m选项可完成此功能)
•             状态匹配：
•                 -m state --state 连接状态
•             多端口匹配：
•                 -m multiport --sports | --dports  端口列表
•             IP地址范围匹配：
•                 -m iprange  --src-range IP地址范围
•                             --destination-ports IP地址范围
•         条件取反：!
  

收藏备用 。