随着Internet规模的迅速扩大,安全问题也越来越重要,而构建防火墙是保护系统免受侵害的最基本的一种手段。虽然防火墙并不能保证系统绝对的安全,但由于它简单易行、工作可靠、适应性强,还是得到了广泛的应用。本章主要介绍与Linux系统紧密集成的iptables防火墙的工作原理、命令格式,以及一些应用实例。
9.1 iptables防火墙介绍
netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具,它完全免费、功能强大、使用灵活、占用系统资源少,可以对经过的数据进行非常细致的控制。本节首先介绍有关iptables防火墙的基本知识,包括netfilter框架、iptables防火墙结构与原理、iptables命令格式等内容。
9.1.1 netfilter框架
Linux内核包含了一个强大的网络子系统,名为netfilter,它可以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。
图9-1 netfilter在内核中的位置
虽然防火墙模块构建在Linux内核,并且要对流经IP层的数据包进行处理,但它并没有改变IP协议栈的代码,而是通过netfilter模块将防火墙的功能引入IP层,从而实现防火墙代码和IP协议栈代码的完全分离。netfilter模块的结构如图9-2所示。
图9-2 netfilter结构框架图
对IPv4协议来说,netfilter在IP数据包处理流程的5个关键位置定义了5个钩子(hook)函数。当数据包流经这些关键位置时,相应的钩子函数就被调用。从图9-2中可以看到,数据包从左边进入IP协议栈,进行IP校验以后,数据包被第一个钩子函数PRE_ROUTING处理,然后就进入路由模块,由其决定该数据包是转发出去还是送给本机。
若该数据包是送给本机的,则要经过钩子函数LOCAL_IN处理后传递给本机的上层协议;若该数据包应该被转发,则它将被钩子函数FORWARD处理,然后还要经钩子函数POST_ROUTING处理后才能传输到网络。本机进程产生的数据包要先经过钩子函数LOCAL_OUT处理后,再进行路由选择处理,然后经过钩子函数POST_ROUTING处理后再发送到网络。
%说明:内核模块可以将自己的函数注册到钩子函数中,每当有数据包经过该钩子点时,钩子函数就会按照优先级依次调用这些注册的函数,从而可以使其他内核模块参与对数据包的处理。这些处理可以是包过滤、NAT以及用户自定义的一些功能。
9.1.2 iptables防火墙内核模块
netfilter框架为内核模块参与IP层数据包处理提供了很大的方便,内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。这些函数的功能非常强大,按照功能来分的话主要有4种,包括连接跟踪、数据包过滤、网络地址转换(NAT)和对数据包进行修改。其中,NAT还分为SNAT和DNAT,分别表示源网络地址转换和目的网络地址转换,内核防火墙模块函数的具体分布情况如图9-3所示。
由图9-3可以看出,防火墙模块在netfilter的LOCAL_IN、FORWARD和LOCAL_OUT 3个位置分别注册了数据包过滤函数,数据包经过这些位置时,防火墙模块要对数据包进行过滤。这三个位置也称为三条链,名称分别为INPUT、FORWARD和OUTPUT,它们共同组成了一张过滤表,每条链可以包含各种规则,每
一条规则都包含0个或多个匹配以及一个动作。当数据包满足所有的匹配时,则过滤函数将执行设定的动作,以便对数据包进行过滤的。
图9-3 iptables防火墙内核模块结构框架图
%注意:这些规则的次序是很重要的,过滤函数对数据包执行了某一规则动作后,对数据包的处理即告结束,即使这个数据包还满足后面其他规则的所有匹配,也不会执行那些规则所设定的动作。
从图9-3中可以看出,除了过滤表以外,在PRE_ROUTING、LOCAL_OUT和POST_ ROUTING 3个位置各有一条有关NAT的链,名称分别为PREROUTING、OUTPUT和POSTROUTING,它们组成了NAT表。NAT链里面也可以包含各种规则,它指出了如何对数据包的地址进行转换。
此外,5个钩子函数位置的mangle链还组成了一张mangle表,这个表的主要功能是根据规则修改数据包的一些标志位,例如TTL、TOS等,也可以在内核空间为数据包设置一些标志。防火墙内的其他规则或程序(如tc等)可以利用这种标志对数据包进行过滤或高级路由。
以上介绍的是iptables防火墙的内部结构,Linux系统还提供了iptables防火墙的用户接口,它可以在上述各张表所包含的链中添加规则,或者修改、删除规则,从而可以根据需要构建自己的防火墙。具体来说,用户是通过输入iptables命令来实现上述功能的。
9.1.3 iptables命令格式
在RHEL 5中,iptables命令由iptables-1.3.5-1.2.1软件包提供,默认时,系统已经安装了该软件包,因此,用户可以直接输入iptables命令对防火墙中的规则进行管理。iptables命令相当复杂,具体格式如下所示。
iptables [-t 表名] <命令> [链名] [规则号] [规则] [-j 目标]
-t选项用于指定所使用的表,iptables防火墙默认有filter、nat和mangle 3张表,也可以是用户自定义的表。表中包含了分布在各个位置的链,iptables命令所管理的规则就是 存在于各种链中的。该选项不是必需的,如果未指定一个具体的表,则默认使用的是 filter表。
命令选项是必须要有的,它告诉iptables要做什么事情,是添加规则、修改规则还是删除规则。有些命令选项后面要指定具体的链名称,而有些可以省略,此时,是对所有的链进行操作。还有一些命令要指定规则号。具体的命令选项名称及其与后续选项的搭配形式如下所示。
示例1:
-A <链名> <规则>
功能:在指定链的末尾添加一条或多条规则。 示例2:
-D <链名> <规则> -D <链名> <规则号>
功能:从指定的链中删除一条或多条规则。可以按照规则的序号进行删除,也可以删除满足匹配条件的规则。
示例3:
-R <链名> <规则号> <规则>
功能:在指定的链中用新的规则置换掉某一规则号的旧规则。 示例4:
-I <链名> [规则号] <规则>
功能:在给出的规则序号前插入一条或多条规则,如果没有指定规则号,则默认是1。
示例5:
-L [链名]
功能:列出指定链中的所有规则,如果没有指定链,则所有链中的规则都将被列出。
示例6:
-F [链名]
功能:删除指定链中的所有规则,如果没有指定链,则所有链中的规则都将被删除。
示例7:
-N <链名>
功能:建立一个新的用户自定义链。 示例8:
-X [链名]
功能:删除指定的用户自定义链,这个链必须没有被引用,而且里面也不包含任何规则。如果没有给出链名,这条命令将试着删除每个非内建的链。
示例9:
-P <链名> <目标>
功能:为指定的链设置规则的默认目标,当一个数据包与所有的规则都不匹配时,将采用这个默认的目标动作。
示例10:
-E <旧链名> <新链名>
功能:重新命名链名,对链的功能没有影响。
以上是有关iptables命令格式中有关命令选项部分的解释。iptables命令格式中的规则部分由很多选项构成,主要指定一些IP数据包的特征。例如,上一层的协议名称、源IP地址、目的IP地址、进出的网络接口名称等,下面列出构成规则的常见选项。
● -p<协议类型>:指定上一层协议,可以是icmp、tcp、udp和all。
● -s %注意:上述选项可以进行组合,每一种选项后面的参数前可以加“!”,表示取反。 对于-p选项来说,确定了协议名称后,还可以有进一步的子选项,以指定更细的数据包特征。常见的子选项如下所示。 ● -p tcp --sport ● -p tcp --syn:具有SYN标志的TCP数据包,该数据包要发起一个新的TCP连接。 ● -p udp --sport ● -p icmp --icmp-type 上述选项中,port可以是单个端口号,也可以是以port1:port2表示的端口范围。每一选项后的参数可以加“!”,表示取反。 上面介绍的这些规则选项都是iptables内置的,iptables软件包还提供了一套扩展的规则选项。使用时需要通过-m选项指定模块的名称,再使用该模块提供的选项。下面列出几个模块名称和其中的选项,大部分的选项也可以通过“!”取反。 -m multiport --sports 功能:指定数据包的多个源端口,也可以以port1:port2的形式指定一个端口范围。 -m multiport --dports 功能:指定数据包的多个目的端口,也可以以port1:port2的形式指定一个端口范围。 -m multiport --ports 功能:指定数据包的多个端口,包括源端口和目的端口,也可以以port1:port2的形式指定一个端口范围。 -m state --state 功能:指定满足某一种状态的数据包,state可以是INVALID、ESTABLISHED、NEW和RELATED等,也可以是它们的组合,用“,”分隔。 -m connlimit --connlimit-above 功能:用于限制客户端到一台主机的TCP并发连接总数,n是一个数值。 -m mac --mac-source 功能:指定数据包的源MAC地址,address是xx:xx:xx:xx:xx:xx形式的48位数。 -m选项可以提供的模块名和子选项内容非常多,为iptables提供了非常强大、细致的功能,所有的模块名和子选项可以通过“man iptables”命令查看iptables命令的手册页 获得。 最后,iptables命令中的-j选项可以对满足规则的数据包执行指定的操作,其后的“目标”可以是以下内容。 ● -j ACCEPT:将与规则匹配的数据包放行,并且该数据包将不再与其他规则匹配,而是跳向下一条链继续处理。 ● -j REJECT:拒绝所匹配的数据包,并向该数据包的发送者回复一个ICMP错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。 ● -j DROP:丢弃所匹配的数据包,不回复错误通知。该处理动作完成后,数据包将不再与其他规则匹配,而且也不跳向下一条链。 ● -j REDIRECT:将匹配的数据包重定向到另一个位置,该动作完成后,会继续与其他规则进行匹配。 ● -j LOG:将与规则匹配的数据包的相关信息记录在日志(/var/log/message)中,并继续与其他规则匹配。 ● -j <规则链名称>:数据包将会传递到另一规则链,并与该链中的规则进行匹配。 除了上述目标动作外,还有一些与NAT有关的目标,将在9.4节中讲述。所有的目标也可以通过查看iptables命令的手册页获得。 9.2 iptables主机防火墙 主机防火墙主要用于保护防火墙所在的主机免受外界的攻击,当一台服务器为外界提供比较重要的服务,或者一台客户机在不安全的网络环境中使用时,都需要在计算机上安装防火墙。本节主要介绍iptables主机防火墙规则的配置,包括iptables防火墙的运行与管理、RHEL 5默认防火墙规则的解释、用户根据需要添加自己的防火墙规则等内容。 9.2.1 iptables防火墙的运行与管理 RHEL 5默认安装时,已经在系统中安装了iptables软件包,可以用以下命令查看。 [root@localhost ~]# rpm -qa | grep iptables iptables-1.3.5-1.2.1 iptables-ipv6-1.3.5-1.2.1 # 一般情况下,iptable开机时都已经默认运行,但与其他一些服务不同,iptables的功能是管理内核中的防火墙规则,不需要常驻内存的进程。如果对防火墙的配置做了修改,并且想保存已经配置的iptables规则,可以使用以下命令。 # /etc/rc.d/init.d/iptables save 此时,所有正在使用的防火墙规则将保存到/etc/sysconfig/iptables文件中,可以用以下命令查看该文件的内容。 # more /etc/sysconfig/iptables # Generated by iptables-save v1.3.5 on Fri Jan 16 14:58:31 2009 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2237:2371316] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 808 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 可以看到,/etc/sysconfig/iptables文件中包含了一些iptables规则,这些规则的形式与iptables命令类似,但也有区别。 %注意:一般不建议用户手工修改这个文件的内容,这个文件只用于保存启动iptables时,需要自动应用的防火墙规则。 以上看到的实际上是默认安装RHEL 5时该文件中的内容,其所确定的规则的解释见9.2.2小节。还有一种保存iptables规则的方法是使用iptables-save命令,格式如下: # iptables-save > abc 此时,正在使用的防火墙规则将保存到abc文件中。如果希望再次运行iptables,可以使用以下命令。 # /etc/rc.d/init.d/iptables start 上述命令实际上是清空防火墙所有规则后,再按/etc/sysconfig/iptables文件的内容重新设定防火墙规则。还有一种复原防火墙规则的命令如下: # iptables-restore < abc 此时,由iptables-save命令保存在abc文件中的规则将重新载入到防火墙中。如果使用以下命令,将停止iptables的运行。 # /etc/rc.d/init.d/iptables stop 上述命令实际上是清空防火墙中的规则,与“iptables -F”命令类似。此外,/etc/sysconfig目录的iptables-config文件是iptables防火墙的配置文件,去掉注释后的初始内容和解释 如下: 配置1: IPTABLES_MODULES=\"ip_conntrack_netbios_ns ip_conntrack_ftp\" 功能:当iptables启动时,载入ip_conntrack_netbios_ns和ip_conntrack_ftp两个iptables模块。 配置2: IPTABLES_MODULES_UNLOAD=\"yes\" 功能:当iptables重启或停止时,是否卸载所载入的模块,yes表示是。 配置3: IPTABLES_SAVE_ON_STOP=\"no\" 功能:当停止iptables时,是否把规则和链保存到/etc/sysconfig/iptables文件,no表 示否。 配置4: IPTABLES_SAVE_ON_RESTART=\"no\" 功能:当重启iptables时,是否把规则和链保存到/etc/sysconfig/iptables文件,no表 示否。 配置5: IPTABLES_SAVE_COUNTER=\"no\" 功能:当保存规则和链时,是否同时保存计数值,no表示否。 配置6: IPTABLES_STATUS_NUMERIC=\"yes\" 功能:输出iptables状态时,是否以数字形式输出IP地址和端口号,yes表示是。 配置7: IPTABLES_STATUS_VERBOSE=\"no\" 功能:输出iptables状态时,是否包含输入输出设备,no表示否。 配置8: IPTABLES_STATUS_LINENUMBERS=\"yes\" 功能:输出iptables状态时,是否同时输出每条规则的匹配数,yes表示是。 9.2.2 RHEL 5开机时默认的防火墙规则 在Linux系统中,可以通过使用iptables命令构建各种类型的防火墙。RHEL 5操作系统默认安装时,iptables防火墙已经安装,并且开机后会自动添加了一些规则,这些规则实际上是由/etc/sysconfig目录中的iptables文件决定的。可以通过“iptables -L”命令查看这些默认添加的规则。 # iptables -L Chain INPUT (policy ACCEPT) #INPUT链中的规则 target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere #规则1 Chain FORWARD (policy ACCEPT) # FORWARD链中的规则 target prot opt source destination RH-Firewall-1-INPUT all -- anywhere anywhere #规则2 Chain OUTPUT (policy ACCEPT) # OUTPUT链中的规则 target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) #自定义的RH-Firewall-1-INPUT链 中的规则,被其他链引用两次 target prot opt source destination ACCEPT all -- anywhere anywhere #规则3 ACCEPT icmp -- anywhere anywhere icmp any #规则4 ACCEPT esp -- anywhere anywhere #规则5 ACCEPT ah -- anywhere anywhere #规则6 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns #规则7 ACCEPT udp -- anywhere anywhere udp dpt:ipp #规则8 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp #规则9 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED #规则10 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp #规则11 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh #规则12 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http #规则13 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp #规则14 REJECT all -- anywhere anywhere reject-with icmp-host- prohibited #规则15 # 由于上面的iptables命令没有用-t选项指明哪一张表,也没有指明是哪一条链,因此默认列出的是filter表中的规则链。由以上结果可以看出,filter表中总共有4条链。其中,INPUT、FORWARD和OUTPUT链是内置的,而RH-Firewall-1-INPUT链是用户自己添 加的。 1.规则列 在前面列出的防水墙规则中,每一条规则列出了5项内容。target列表示规则的动作目标。prot列表示该规则指定的上层协议名称,all表示所有的协议。opt列出了规则的一些选项。source列表示数据包的源IP地址或子网,而destination列表示数据包的目的IP地址或子网,anywhere表示所有的地址。除了上述5列以外,如果存在,每一条规则的最后还要列出一些子选项,如RH-Firewall-1-INPUT链中的规则4等。 如果执行iptables命令时加了-v选项,则还可以列出每一条规则当前匹配的数据包数、字节数,以及要求数据包进来和出去的网络接口。如果加上-n选项,则不对显示结果中的IP地址和端口做名称解析,直接以数字的形式显示。还有,如果加上“--line-number”选项,可以在第一列显示每条规则的规则号。 2.规则解释 INPUT链中的规则1其target列的内容是RH-Firewall-1-INPUT,opt列是all,source和destination列均为anywhere,表示所有的数据包都交给自定义的RH-Firewall-1-INPUT链去处理。FORWARD链的规则2与规则1完全一样。OUTPUT链中没有规则。 在自定义的RH-Firewall-1-INPUT链中,列出了很多的规则,规则3表示接收所有的数据包。需要注意的是,如果在iptables中加-v选项列出这条规则时,将会看到in列是lo,即要求数据包是从环回接口中进来的,而不是任意网络接口进来的数据包都接收。 规则4表示所有icmp数据包都接收,即其他计算机ping本机时,予以接收,而且在OUTPUT链中没有规则,因此本机的ICMP回复数据包也能顺利地进入网络,被对方收到。规则5和规则6表示接收所有的esp和ah协议的数据包,这两种协议属于IPv6协议。 规则7表示目的地址是224.0.0.251,目的端口是mdns的UDP数据包允许通过。224.0.0.251是一种组播地址,mdns是端口号的一种名称。如果执行iptables命令时加了-n选项,则会显示数字5353,它是组播地址的DNS端口。 规则8和规则9表示允许所有目的端口是ipp的UDP和TCP数据包通过,ipp是端口631的名称解析,它是用于网络打印服务的端口。规则10表示所有状态是RELATED和ESTABLISHED的数据包通过,RELATED状态表示数据包要新建一个连接,而且这个要新建的连接与现存的连接是相关的,如FTP的数据连接。ESTABLISHED表示本机与对方建立连接时,对方回应的数据包。 规则11至规则14表示允许目的端口是ftp、ssh、http和smtp,状态是NEW的TCP数据包通过,状态为NEW即意味着这个TCP数据包将与主机发起一个TCP连接。这几条规则的端口对应的都是最常见的网络服务,它们的端口号分别是21、22、80和25。最后一条规则15表示拒绝所有的数据包,并向对方回应icmp-host-prohibited数据包。 3.补充解释 需要再次提醒的是,这些规则是有次序的。当一个数据包进入 RH-Firewall-1-INPUT链后,将依次与规则3至规则15进行比较。按照这些规则的目标设置,如果数据包能与规则3至14中的任一条匹配,则该数据包将被接收。如果都不能匹配,则肯定能和规则15匹配,于是数据包被拒绝。 由于RH-Firewall-1-INPUT链是被INPUT链调用的,如果要返回到INPUT链,需要执行名为RETURN的目标动作。 %说明:在FORWARD链中也调用了RH-Firewall-1-INPUT链,即数据包如果不是发送给本机的,当经过FORWARD链时,还要进入RH-Firewall-1-INPUT链,与规则3到规则15再次进行匹配。 9.2.3 管理主机防火墙规则 可以有很多功能种类的防火墙,有些是安装在某一台主机上,主要用于保护主机本身的安全;有些是安装在网络中的某一节点,专门用于保护网络中其他计 算机的安全;也有一些可以为内网的客户机提供NAT服务,使内网的客户机共用一个公网IP,以便节省IP地址资源。下面首先介绍一下主机防火墙的应用示例。 当一台服务器为外界提供比较重要的服务,或者一台客户机在不安全的网络环境中使用时,都需要在计算机上安装防火墙,以最大限度地防止主机受到外界的攻击。9.2.2小节介绍的开机时默认的防火墙设置非常典型,用户可以根据自己主机的功能关闭已经开放的端口,或者开放更多的端口,以便允许符合更多规则的数据包通过。 例如,为了使主机能为外界提供telnet服务,除了配置好telnet服务器外,还需要开放TCP23号端口。因为在默认的防火墙配置中,并不允许目的端口为23的TCP数据包进入主机。为了开放TCP23号端口,可以有两种办法,一种是在RH-Firewall-1-INPUT链中加入相应的规则,还有一种是把规则加到INPUT链中。但需要注意的是,规则是有次序的,如果使用以下命令,则是没有效果的。 # iptables -A RH-Firewall-1-INPUT -p tcp --dport 23 -j ACCEPT 上述命令执行后,可以再次查看规则情况。 # iptables -L -n --line-number … Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination … 11 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 12 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 13 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host- prohibited 14 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:23 # 新添加的规则 # 可以看到,新添加的规则位于最后的位置。由于所有的数据包都可以与目标动作为REJECT的规则号为13的规则匹配,而REJECT代表的是拒绝,因此数据包到达新添加的规则前肯定已被丢弃,这条规则是不会被使用的。为了解决这个问题,需要把上述规则插入到现有的规则中,要位于规则13的前面。下面是正确的开放TCP23号端口的命令。 # iptables -I RH-Firewall-1-INPUT 11 -p tcp --dport 23 -j ACCEPT 以上命令中,“-I RH-Firewall-1-INPUT 11”表示在RH-Firewall-1-INPUT链原来的规则11前面插入一条新规则,规则内容是接受目的端口为23的TCP数据包。为了删除前面添加的无效规则,可以执行以下命令。 # iptables -D RH-Firewall-1-INPUT 15 15是第一次添加的那条无效规则此时的规则号,也可能是其他的数值,可根据具体显示结果加以改变。如果希望新加的规则与原来的规则11、12等类似,可以执行以下命令。 # iptables -I RH-Firewall-1-INPUT 11 -m state --state NEW -p tcp --dport 23 -j ACCEPT 以上是在RH-Firewall-1-INPUT链中添加规则,以开放TCP23号端口。还有一种开放TCP23号端口的方法是在INPUT链中添加规则,具体命令如下所示。 # iptables -I INPUT 1 -p tcp --dport 23 -j ACCEPT # iptables -L --line-number Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- anywhere anywhere tcp dpt:telnet 2 RH-Firewall-1-INPUT all -- anywhere anywhere … %注意:添加的规则也要位于原来规则2的前面,否则,任何数据包都匹配规则2,将会跳到RH-Firewall-1-INPUT链,并且不再回来。因此,添加在规则2后面的规则都是无效的。 前面介绍的是在RHEL5默认防火墙规则的基础上添加用户自己的防火墙规则,以开放TCP23号端口。在很多的时候,用户可能希望从最初的状态开始,构建自己的防火墙。为了从零开始设置iptables防火墙,可以用以下命令清空防火墙中所有的规则。 # iptables -F 然后再根据要求,添加自己的防火墙规则。一般情况下,保护防火墙所在主机的规则都添加在INPUT内置链中,以挡住外界访问本机的部分数据包。本机向外发送的数据包只经过OUTPUT链,一般不予限制。如果不希望本机为外界数据包提供路由转发功能,可以在FORWARD链中添加一条拒绝一切数据包通过的规则,或者干脆在内核中设置不转发任何数据包。 9.2.4 常用的主机防火墙规则 当设置主机防火墙时,一般采取先放行,最后全部禁止的方法。也就是说,根据主机的特点,规划出允许进入主机的外界数据包,然后设计规则放行这些数据包。如果某一数据包与放行数据包的规则都不匹配,则与最后一条禁止访问的规则匹配,被拒绝进入主机。下面列出一些主机防火墙中常用的iptables命令及其解释,这些命令添加的规则都放在filter表的INPUT链中。 示例1: iptables -A INPUT -p tcp --dport 80 -j ACCEPT 功能:允许目的端口为80的TCP数据包通过INPUT链。 说明:这种数据包一般是用来访问主机的Web服务,如果主机以默认的端口提供Web服务,应该用这条规则开放TCP80端口。 示例2: iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j DROP 功能:从接口eth0进来的、源IP地址的前3字节为192.168.1的数据包予以丢弃。 说明:需要注意这条规则的位置,如果匹配这条规则的数据包同时也匹配前面的规则,而且前面的规则是放行的,则这条规则对匹配的数据包将不起作用。 示例3: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT 功能:在INPUT链中允许源端口号为53,目标端口号为1024至65535的UDP数据包通过。 说明:这种特点的数据包是当本机查询DNS时,DNS服务器回复的数据包。 示例4: iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT 功能:SYN、RST、ACK 3个标志位中SYN位为1,其余两个为0的TCP数据包予以放行。符合这种特征的数据包是发起TCP连接的数据包。 说明:“--tcp-flags”子选项用于指定TCP数据包的标志位,可以有SYN、ACK、FIN、RST、URG和PSH共6种。当这些标志位作为“--tcp-flags”的参数时,用空格分成两部分。前一部分列出有要求的标志位,用“,”分隔;后一部分列出要求值为1的标志位,如果有多个,也用“,”分隔,未在后一部分列出的标志位其值要求为0。 %注意:这条命令因为经常使用,可以用“--syn”代替“--tcp-flags SYN,RST,ACK SYN”。 示例5: iptables -A INPUT -p tcp -m multiport --dport 20:23,53,80,110 -j ACCEPT 功能:接收目的端口为20至23、53、80和110号的TCP数据包。 说明:“-m multiport”用于指定多个端口,最多可以有15项,用“,”分隔。 示例6: iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 8 -j ACCEPT 功能:限制ICMP数据包的通过率,当一分钟内通过的数据包达到8个时,触发每分钟通过6个数据包的限制条件。 说明:以上命令中,除了m表示分以外,还可以用s(秒)、h(小时)和d(天)。这个规则主要用于防止DoS攻击。 示例7: iptables -A INPUT -p udp -m mac --mac-source ! 00:0C:6E:AB:AB:CC -j DROP 功能:拒绝源MAC地址不是00:0C:6E:AB:AB:CC的UDP数据包。 说明:该规则不应该放在前面,否则,大部分的UDP数据包都将被拒绝,随后的规则将不会使用。 9.2.5 使用图形界面管理主机防火墙规则 为了使初学者也能构建iptables主机防火墙,在RHEL 5中,还为用户提供了配置主机防火墙的图形界面。在RHEL 5桌面环境下,选择“系统”|“管理”|“安全级别和防火墙”命令后,将出现图9-4所示的对话框。 在图9-4中,名为“信任的服务”的列表框中列出了常见的网络服务名称,前面打勾的服务所对应的网络端口是开放的,允许外界的用户访问。如果用户需要开放更多的端口,可以在列出的服务名称前的框内单击鼠标,打上勾后再单击“应用”按钮即可。 此外,窗口中还提供了启用或禁用防水墙的选择菜单,如图9-5所示。还有,如果在图9-4中单击了“其他端口”标签,将在下面出现如图9-5所示的一个列表框和“添加”、“删除”按钮,用于添加和删除“信任的服务”列表框中未列出的端口。 图9-4 防火墙设置对话框 图9-5 展开后的防火墙设置对话框 在图9-5中,如果单击“添加”按钮,将出现图9-6所示的对话框。此时,可以输入需要开放的端口号,并选择TCP或UDP协议,然后单击“确定”按钮,将返回到图9-5所示的防火墙设置对话框,然后在“其他端口”列表框中将出现所添加的端口号和协议名称。单击“删除”按钮可以删除列表框中选中的端口。为了使添加或删除端口生效,需要单击图9-5中的“应用”按钮,此时将出现图9-7所示的对话框,要求用户确认该操作。 图9-6 添加端口 图9-7 确认修改防火墙设置 以上是通过图形界面管理主机防火墙规则,实际的结果和命令方式是一样的。例如,如果刚才在图9-6所示的窗口中输入8080端口并选择TCP协议,然后再到终端查看防火墙中的规则时,将会发现如下结果。 [root@localhost sysconfig]# iptables -L --line-number … 11 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http 12 ACCEPT anywhere state NEW tcp dpt:smtp 13 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:webcache 14 REJECT all -- anywhere anywhere reject-with icmp-host- prohibited # 从以上结果可以看出,与初始的设置相比,规则13原来是没有的,它是刚才通过图形界面操作后添加的。也就是说,刚才的图形界面操作相当于输入了以下命令。 iptables -I RH-Firewall-1-INPUT 13 -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT %说明:实际上,RHEL5提供的防火墙图形界面管理功能非常有限,远不如命令方式功能丰富。 因篇幅问题不能全部显示,请点此查看更多更全内容