企业软件防火墙iptables

企业中安全优化配置原则

推荐：尽可能不给内部服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务.

使用场景：

大并发的情况，不能开iptables,影响性能，利用硬件防火墙提升架构安全

小并发的情况，选择软件防火墙：iptables（centos 6）、firewalld（centos 7）

firewalld 是最新的软件防火墙centos 7在使用

 生产中iptables的实际应用

主要应用方向

1、主机防火墙（filter表的INPUT链）。

2、局域网共享上网(nat表的POSTROUTING链)。半个路由器，NAT功能。

3、端口及IP映射(nat表的PREROUTING链)，硬防的NAT功能。

4、IP一对一映射。

其他说明：

①iptables是基于内核的防火墙，功能非常强大，基于数据包的过滤！特别是可以在一台非常低的硬件配置下跑的非常好。

　　注：iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。

②iptabes：生产中根据具体情况，一般，内网关闭，外网打开。大并发的情况不能开iptables，影响性能，iptables是要消耗CPU的，所以大并发的情况下，我们使用硬件防火墙的各方面做的很仔细。selinux：生产中也是关闭的。可以做ids的入侵检测。

③实际生产中尽可能不给服务器配置外网IP。可以通过代理转发。比如，nagios就不需要外网。

④并发不是很大的情况下，再外网的IP环境，开防火墙。

⑤第一次直接默认规则生成配置文件，以后就在配置文件中进行修改（编辑添加删除）。

⑥封掉IP：根据IP地址和网络连接数进行封杀。（定时任务，定时封掉，判断，存在就不再进行二次封杀）

企业常用案例功能小结：

1）linux主机防火墙，单机作为防火墙（表filter）。

2）局域网共享上网（表nat postrouting）。

3）外部地址映射为内部地址和端口（表nat prerouting）

iptables防火墙简介

Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具，它的功能十分强大，使用非常灵活，

可以对流入和流出服务器的数据包进行很精细的控制.特别是它可以在一台非常低的硬件配置服务器上跑的非常好

（赛扬500HZ cpu 64M 内存的惲况下部署网关防火墙，这说明硬件要求低），提供近400人的上网服务丝毫不逊色企业级专业路由器防火墙。

iptables 表和链

四个表：

五个链

filter表的详细介绍

   对于filter表的控制是我们实现本机防火墙功能的重要手段，特别是INPUT链的控制。

NAT表信息详细介绍

iptables工作流程小结

1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

2、如果匹配上了规则，即明确表明是阻止还是通过，此时数据包就不在向下匹配新规则了。

3、如果所有规则中没有明确表明是阻止还是通过这个数据包，也就是没有匹配上规则，向下进行匹配，直到匹配默认规则得到明确的阻止还是通过。

4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的（最后执行的规则）。

iptables参数说明

配置前准备

先备份当前防火墙配置    （在企业中不清楚其他人配置规则的作用之前先备份）

cp /etc/sysconfig/iptables{,.bak}

在配置防火墙首先要启动防火墙

[root@clsn ~]# /etc/init.d/iptables start

iptables: Applying firewall rules: [ OK ]

清除iptables所有规则

[root@clsn ~]# iptables -Z    #清空iptables计数器  （作用：清零后，用户在访问，就可排除哪条规则起                                                        作用了）

[root@clsn ~]# iptables -X    #清空iptables自定义链配置

[root@clsn ~]# iptables -F    #清空所有规则，保留默认规则

查看iptables的规则

方法一：/etc/init.d/iptables status

方法二：iptables -L

[root@clsn ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

查看其他的表配置（-t 参数）

[root@clsn ~]# iptables -nL -t raw Chain PREROUTING (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

查看配置规则的顺序号

[root@clsn ~]# iptables -nvL --number-list

--line-number # 显示规则的序号

iptables filter表配置实例

基础配置

配置实例一：配置22/ssh端口访问控制规则

iptables -A INPUT -p tcp --dprot 22 -j DROP # 禁止所有人访问22端口

iptables -I INPUT -p tcp --dprot 22 -j ACCEPT # 恢复连接方法

iptables -I INPUT 2 -p tcp --dprot 22 -j ACCEPT # 通过插入指定行号信息，指定将规则插入到第几行

iptables -D INPUT -p tcp --dport 22 -j ACCEPT # 删除指定规则

iptables -D INPUT 2 # 根据规则行号，删除相应的规则

只允许10.0.0.1的ip通过ssh连接这台服务器

iptables -I INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT

如果默认规则是允许所有，还需修改默认规则为丢弃所有：

iptables -P INPUT DROP

配置实例二：禁止网段连入（禁止172.16.1.0网段访问172.16.1.188）

iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.188 -j DROP

配置实例三：禁止某个172.16.1.0网段访问服务器主机的22端口

iptables -A INPUT -s 172.16.1.0/24 -d 172.16.1.188 -p tcp --dport 22 -j DROP

方向说明：

# 在入方向控制

iptables -I INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# 在出方向控制

iptables -I OUTPUT -o eth0 -p tcp --sport 22 -j DROP

配置实例四：除10.0.0.0网段可以进行连接服务器主机以外，其余网段都禁止

  第一种方式：

iptables -A INPUT -s 10.0.0.0/24 -d 172.16.1.8 -j ACCEPT

iptables -P INPUT DROP

   修改默认规则，将默认规则改为拒绝

第二种方式：

   ！  --- 表示对规则信息进行取反

iptables -A INPUT ! -s 10.0.0.0/24 -d 172.16.1.8 -j DROP --- centos6用法

iptables -A INPUT -s ! 10.0.0.0/24 -d 172.16.1.8 -j DROP --- centos5用法

说明：只有iptables帮助手册中指定的参数可以用取反符号（iptables --help）

iptables配置的保存：

方法一：/etc/init.d/iptables save

方法二：iptables-save > /etc/sysconfig/iptables

配置实例五：测试匹配列举端口范围。

iptables -A INPUT -p tcp --dport 22:80 -j DROP # 设置连续多端口控制策略

iptables -A INPUT -p tcp -m multiport --dport 22,80 -j DROP # 设置不连续多端口控制策略

   -m 参数表示增加扩展匹配功能，multiport 实现不连续多端口扩展匹配

配置实例六：匹配ICMP类型

   禁止ping策略原则

   iptables服务器是ping命令发起者或是接受者

   发起者：

input链： 禁止icmp-type 0 

iptables -A INPUT -s 10.0.0.1 -p icmp --icmp-type 0 -j DROP

output链： 禁止icmp-type 8 

iptables -A OUTPUT -d 10.0.0.1 -p icmp --icmp-type 8 -j DROP

   接受者：

input链： 禁止icmp-type 8 

iptables -A INPUT -s 10.0.0.1 -p icmp --icmp-type 8 -j DROP

output链： 禁止icmp-type 0 

iptables -A OUTPUT -d 10.0.0.1 -p icmp --icmp-type 0 -j DROP

简化配置：

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type any -j DROP #禁止所有类型的icmp

   指定类型禁止icmp

iptables -A INPUT -p icmp --icmp-type 8

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT

   说明：只有类型8是真正会影响ping，或者也可以采用any；了解很多icmp类型iptables -p icmp -h

ICMP类型的说明

防火墙状态机制配置

状态集简单说明:

注意：允许关联的状态包通过（web服务不要使用FTP服务）

防火墙服务配置在FTP服务器上时，需要配置以下策略

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

实现发现sent_syn状态

iptables -A INPUT -m state --state NEW -j DROP # 防火墙所连接客户端上配置

实现发现sent_rcvd状态

iptables -I INPUT -i eth0 -s 10.0.0.201 -m state --state ESTABLISHED -j DROP # 防护墙上配置的

使用iptables实现限速功能

limit是iptables的一个匹配模块，用它结合iptables的其它命令可以实现限速的功能。

不过首先必须明确，limit本身只是一个“匹配”模块。我们知道，iptables的基本原理是“匹配--处理”，limit在这个工作过程中只能起到匹配的作用，它本身是无法对网络数据包进行任何处理的。我看到网上有些limit的例子里面说只 用一条包含limit匹配规则的iptables语句就可以实现限速，那是错误的。

实际上，利用imit来限速需要包括两个步骤:

1.对符合limit匹配规则包放行

2.丢弃/拒绝未放行的包

示例：

iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT

iptables -I INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -j DROP

   语句含义：当来自10.0.0.7 的ping包超过5个时进行限速，限制为每10s一个。

参数说明：

limit模块具体是如何工作的。？

limit的匹配是基于令牌桶 (Token bucket）模型的。

令牌桶是一种网络通讯中常见的缓冲区工作原理，它有两个重要的参数，令牌桶容量n和令牌产生速率s。

我们可以把令牌当成是门票，而令牌桶则是负责制作和发放门票的管理员，它手里最多有n张令牌。一开始，管理员开始手里有n张令牌。每当一个数据包到达后，管理员就看看手里是否还有可用的令牌。如果有，就把令牌发给这个数据包，limit就告诉iptables，这个数据包被匹配了。而当管理员把手上所有的令牌都发完了，再来的数据包就拿不到令牌了。这时，limit模块就告诉iptables，这个数据包不能被匹配。除了发放令牌之外，只要令牌桶中的令牌数量少于n，它就会以速率s来产生新的令牌，直到令牌数量到达n为止。

通过令牌桶机制，即可以有效的控制单位时间内通过（匹配）的数据包数量，又可以容许短时间内突发的大量数据包的通过（只要数据包数量不超过令牌桶n）。

limit模块提供了两个参数--limit和--limit-burst，分别对应于令牌产生速率和令牌桶容量。除了令牌桶模型外，limit匹配的另外一个重要概念是匹配项。在limit中，每个匹配项拥有一个单独的令牌桶，执行独立的匹配计算。

企业级防火墙配置

清除防火墙规则

[root@clsn ~]# iptables -F

[root@clsn ~]# iptables -X

[root@clsn ~]# iptables -Z

修改默认规则为拒绝（修改前先放行22端口，保证自己能够连上主机）

[root@clsn ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[root@clsn ~]# iptables -P INPUT DROP

[root@clsn ~]# iptables -P FORWARD DROP

放行指定的端口

[root@clsn ~]# iptables -A INPUT -i lo -j ACCEPT

[root@clsn ~]# iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT

[root@clsn ~]# iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT

[root@clsn ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

保存iptables配置

01. 第一种方式

[root@clsn ~]# /etc/init.d/iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

[root@clsn ~]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Tue Apr 4 12:24:43 2017

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [159:10664]

-A INPUT -s 10.0.0.0/24 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

-A INPUT -s 172.16.1.0/24 -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

COMMIT

# Completed on Tue Apr 4 12:24:43 2017

02. 第二种方式

iptables-save >/etc/sysconfig/iptables

iptables nat表配置实例

iptables实现共享上网

第一个里程碑：配置内网服务器，设置网关地址

/etc/init.d/iptables stop # 内网服务器停止防火墙服务

ifdown eth0 # 模拟关闭内网服务器外网网卡

setup # 修改内网网卡网关和DNS地址信息

也可以使用命令添加默认网关

route add default gw 172.16.1.188

查看默认的路由信息

[root@test ~]# route -nKernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1

0.0.0.0 172.16.1.188 0.0.0.0 UG 0 0 0 eth1

说明：内网服务器网关地址指定为共享上网服务器内网网卡地址

第二个里程碑：配置共享上网服务器，开启共享上网服务器路由转发功能

[root@clsn ~]# vim /etc/sysctl.conf

[root@clsn ~]# sysctl -p

~~~

net.ipv4.ip_forward = 1

~~~

第三个里程碑：配置共享上网服务器，实现内网访问外网的NAT映射

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.188

参数详解：

当filter表中的forward默认为drop策略时，如何配置forward链？

 配置示例

iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT

# iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT # 可以不进行配置

iptables -A FORWARD -i eth0 -d 172.16.1.0/24 -j ACCEPT

# iptables -A FORWARD -o eth1 -d 172.16.1.0/24 -j ACCEPT # 可以不进行配置

当外网ip不固定时如何配置？

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE # 伪装共享上网

说明：在企业中如何没有固定外网IP地址，可以采取以上伪装映射的方式进行共享上网

配置映射方法小结

 01. 指定哪些网段需要进行映射     -s 172.16.1.0/24

02. 指定在哪做映射               -o eth0

03. 用什么方法做映射             -j SNAT/DNAT MASQUERADE

04. 映射成什么地址               --to-source  ip地址/--to-destination ip地址

iptables实现外网IP的端口映射到内网IP的端口

实际需求：将网关的IP和9000端口映射到内网服务器的22端口

端口映射 10.0.0.188:9000 -->172.16.1.180:22

配置实例：

iptables -t nat -A PREROUTING -d 10.0.0.188 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.7:22

参数说明:

 IP一对一映射

实际需求：将ip 地址172.16.1.180 映射到10.0.0.188

通过辅助IP配置：

ip addr add 10.0.0.81/24 dev eth0 label eth0:0 # 添加辅助IP

iptables -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51

iptables -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81

适合内网的机器访问NAT外网的IP

iptables -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 172.16.1.8

检查配置：

ping 10.0.0.81 -t

tcpdump|grep -i icmp（两台机器上分别监测）

telnet 10.0.0.81 22

映射多个外网IP上网

 方法1：

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16

      在三层交换机或路由器，划分VLAN。

   方法2：

iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11

iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12

      扩大子网，会增加广播风暴。

系统防火墙与网络内核优化标准参数

有关iptables的内核优化

调整内核参数文件/etc/sysctl.conf

以下是我的生产环境的某个服务器的配置：

解决time-wait过多的解决办法：

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_synCOOKIEs = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

在dmesg中显示  ip_conntrack: table full, dropping packet. 的错误提示，什么原因？

如何解决？

   #iptables优化

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max= 25000000

net.netfilter.nf_conntrack_tcp_timeout_established= 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120