本文介绍了防火墙的分类,包括主机防火墙、网络防火墙,以及硬件和软件防火墙。接着详细讲解了正向代理和反向代理的工作原理和特点,强调了它们在隐藏客户端或服务器信息以及负载均衡方面的作用。此外,还深入探讨了Linux防火墙iptables的机制,如Netfilter的五个勾子函数和iptables的五表五链结构,以及如何使用iptables命令添加、管理规则。最后提到了规则优化和保存的方法。
1、防火墙的分类
按照保护范围:主机防火墙、网络防火墙
按照实现方式:硬件防火墙、软件防火墙
按照网络协议:网络层防火墙、应用层防火墙(代理服务器)
2、代理服务器:位于客户端和目标服务器之间的代理服务器。
正向代理:
概念:代理服务器接收来自内部网络的客户端请求,并将该请求发送给外部网络的服务器,服务器进行响应,然后将获得的内容返回给客户端。
注:正向代理,客户端要经过一些特殊的设置(配置代理服务器的地址......)。
如图所示:
特点:
正向代理是指代理客户端,且需要设置代理服务器的ip或者域名进行访问,由代理服务器的ip或者域名去访问服务器,并返回其真实内容给客户端。
但是,客户端的真实ip等信息对于服务器来讲根本不可见。
还有一个好处就是可以利用缓存,提高访问速度。
反向代理
概念:代理服务器接收来自外部网络的客户端请求,并将该请求发送给在同一个内部网络的服务器,服务器进行响应,然后将获得的内容返回给客户端。
反向代理不需要做任何配置即可。
如图所示:
特点:
反向代理就是代理服务器,为服务器收发请求,使得服务器的相关信息对于客户端来说不可见,提高了服务器的安全性。
同时还可以为后端的多台服务器提供负载均衡;
提高访问速度
3、防火墙的工具:iptables
iptables,由软件包iptables提供的命令行工具,其工作在用户空间,用来编写规则,写好的规则送往Netfilter,告诉内核怎样处理信息包。
linux防火墙是由Netfilter组件提供,该组件工作在内核空间且集成在内核当中。
Netfifter中的五个勾子函数
如图所示:
由图可知:各种报文的流向
1、流入本机:PREROUTING-->INPUT-->用户空间进程
2、流出本机:用户空间进程-->OUTPUT-->POSTROUTING
3、转发:PREROUTING-->FORWARD-->POSTROUTING
iptables的组成:五表五链
五表及其用途:优先级从上到下逐渐变高
filter:默认表(过滤规则表),根据规则过滤符合条件的数据包
nat:网络地址转换规则表
mangle:修改数据标记位规则表
raw:关闭启用的连接跟踪机制,加快封包穿越防火墙的速度
security:强制访问控制(MAC)网络规则
五链即五个勾子函数:
PREROUTING、INPUT、OUTPUT、FORWORD、POSTROUTING
该五链为内置链,还可以有自定义链,自定义链用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效。
iptables规则说明
iptables,高度模块化,由诸多扩展模块实现检查条件或处理动作。
规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义处理动作做出处理。
添加iptables规则时注意事项:
1、表-->要实现哪种功能
2、链-->报文的具体路径
3、源或者目的-->报文的流向
4、具体规则-->根据实际情况而定
iptables命令的格式:
iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]]
-j targetname [per-target-options]
[-t table]:指定表
filter、nat、mangle、raw
SUBCOMMAND:子命令(链接管理类/规则管理类/查看类)
链接管理类:
-N:new, 自定义一条新的规则链
-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除
-X:delete,删除自定义的空的规则链
-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:ACCEPT:接受, DROP:丢弃
规则管理类:
-A:append,追加
-I:insert, 插入,要指明插入至的规则编号,默认为第一条
-D:delete,删除
(1) 指明规则序号
(2) 指明规则本身
-R:replace,替换指定链上的指定规则编号
-F:flush,清空指定的规则链 例:iptables -F OUTPUT
-Z:zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和
查看类:
常用组合:vnL [--line-numbers]
L:list,列出链上的所有规则,必须放置最后。
-vv:显示更加详细
-n:以数字格式显示地址和端口号
-x:exactly,显示计数器的精确值
--line-numbers:显示规则的序号
chain:
PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
[-m matchname [per-match-options]]:匹配条件
基本:通用的
扩展:需加载模块
-j targetname [per-target-options]:处理动作
常见的简单动作:
-j ACCEPT(接受)/DROP(丢弃)/REJECT(拒绝--默认动作)
扩展动作:
REJECT:--reject-with:icmp-port-unreachable默认
RETURN:返回调用链
REDIRECT:端口重定向
LOG:记录日志,dmesg
MARK:做防火墙标记
DNAT:目标地址转换
SNAT:源地址转换
MASQUERADE:地址伪装
自定义链
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! –d 10.0.0.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9
iptables -t nat -A PREROUTING -d 192.168.0.8 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.7:8080
iptables匹配条件
[-m matchname [per-match-options]]:匹配条件
基本:通用的
扩展:需加载模块
基本匹配条件
基本匹配条件无需加载模块,由iptables/netfilter提供
-s,--sourse address[/mask][,...] 源ip地址、网段或者不连续的ip地址
-d,--destination address[/mask][,...] 目标ip地址、网段或者不连续的ip地址
-p,--protocol protocol 指定协议,0代表all
protocol :tcp、udp、icmp...
-i,--in-interface name:报文的流入接口(仅能适用于PREROUTING、INPUT、FORWORD链)
-o,--out-interface name:报文的流出接口(仅能适用于FORWORD、OUTPUT、POSTROUTING链)
注:以上匹配条件都可以取反
iptables -A INPUT -s 10.0.0.6,10.0.0.10 -j REJECT
iptables -I INPUT 2 -s 10.0.0.6 ! -p icmp -j ACCEPT
扩展匹配条件
扩展匹配条件:需要加载扩展模块(/usr/lib64/xtables/*.so)
man iptables-extensions 查看扩展模块的帮助
扩展匹配条件又分为:隐式扩展、显示扩展
隐式扩展
iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。
主要是tcp、udp、icmp协议的扩展。
tcp:
[!] --source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围
[!] --destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
[!] --tcp-flags mask comp
mask 需检查的标志位列表,用,分隔 , 例如 SYN,ACK,FIN,RST
comp 在mask列表中必须为1的标志位列表,无指定则必须为0,用,分隔tcp协议的扩展选项
udp:与之类似
icmp:
[!] --icmp-type {type[/code]|typename}
type/code
0/0 echo-reply icmp应答
8/0 echo-request icmp请求
例:iptables -A INPUT -s 10.0.0.6 -p tcp --dport 21:23 -j REJECT
显示扩展
显示扩展即必须使用-m选项指明要调用的扩展模块名称,需要手动加载扩展模块
multiport扩展:(多端口匹配,<=15)
#指定多个源端口
[!] --source-ports,--sports port[,port|,port:port]...
# 指定多个目标端口
[!] --destination-ports,--dports port[,port|,port:port]...
#多个源或目标端
[!] --ports port[,port|,port:port]...
例:
iptables -A INPUT -s 10.0.0.6 -p tcp -m multiport --dports 445,139 -j REJECT
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT
iprange扩展:(IP地址范围)
[!] --src-range from[-to] 源IP地址范围
[!] --dst-range from[-to] 目标IP地址范围
例:
iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP
connlimit扩展:(客户端ip的并发连接数量的匹配)
--connlimit-upto N #连接的数量小于等于N时匹配
--connlimit-above N #连接的数量大于N时匹配
例:
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
state扩展:(根据”连接追踪机制“去检查连接的状态,较耗资源)
conntrack机制:追踪本机上的请求和响应之间的关系
状态类型:
NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发出的请求。
ESTABLISHED:NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态。
RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系。
INVALID:无效的连接,如flag标记不正确。
UNTRACKED:未进行追踪的连接,如:raw表中关闭追踪。
已经追踪到的并记录下来的连接信息库:cat /proc/net/nf_conntrack
连接追踪功能所能够容纳的最大连接数量:cat /proc/sys/net/netfilter/nf_conntrack_max 或 cat /proc/sys/net/nf_conntrack_max
查看连接跟踪有多少条目:cat /proc/sys/net/netfilter/nf_conntrack_count
规则优化之建议
1、同一类规则而言,范围小的在前,范围大的在后
2、不同规则而言,访问量大的在前,访问量小的在后
3、多个规则进行合并
4、有特殊目的限制访问功能,要在放行规则之前加以拒绝
5、设置默认路由(使用白名单),规则的最后定义规则做为默认策略
规则之保存
保存规则:
iptables-save > /PATH/TO/SOME_RULES_FILE
加载规则:
iptables-restore < /PATH/TO/SOME_RULES_FILE
iptables-restore选项:
-n, --noflush:不清除原有规则
-t, --test:仅分析生成规则集,但不提交
开机自动重载规则:
1、用脚本保存各个iptables命令;让此脚本开机后自动运行/etc/rc.d/rc.local文件中添加脚本路径/PATH/TO/SOME_SCRIPT_FILE
2、用规则文件保存各个规则,开机时自动载入此规则文件中的规则在/etc/rc.d/rc.local文件添加。
iptables-restore < /PATH/TO/SOME_RULES_FILE
3、 CentOS 7,8 可以安装 iptables-services 实现iptables.service
yum -y install iptables-services
cp /etc/sysconfig/iptables{,.bak}
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables.service
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
