Linux系統(tǒng)之上有三種安全防范手段:
創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),向陽企業(yè)網(wǎng)站建設(shè),向陽品牌網(wǎng)站建設(shè),網(wǎng)站定制,向陽網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,向陽網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)���,幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?���?沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端����、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)�����、時尚���、前沿����,時刻以成就客戶成長自我���,堅持不斷學(xué)習(xí)���、思考����、沉淀�、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站���。
①包過濾防火墻:iptables
②應(yīng)用程序防火墻:TCP Wrappers
③代理服務(wù)器防火墻:nginx等
iptables程序工作在內(nèi)核的TCP/IP網(wǎng)絡(luò)協(xié)議棧的框架上��,工作在用戶空間����;
按用途和功能可分為四表和五鏈
四表:filter����、nat、mangle�、raw
優(yōu)先級:raw、mangle�����、nat、filter
| filter | 一般的過濾功能 |
| nat | 地址轉(zhuǎn)換�����、映射���,端口映射等 |
| mangle | 用于對特定數(shù)據(jù)包的修改(使用情況很少) |
| raw | 一般是為了不再讓iptables做數(shù)據(jù)包的鏈接跟蹤處理,從而提高性能 |
四表與五鏈的對應(yīng):
filter:INPUT OUTPUT FORWARD
nat:PREROUTING POSTROUTING FORWARD
mangle:INPUT OUTPUT FORWARD PREROUTING POSTROUTING
raw:PREROUTING OUTPUT
iptables的工作流程:傳送門
添加規(guī)則的時候需要考慮:
1�、要實現(xiàn)的功能:判斷加載那個表上;
2��、不同類規(guī)則�,匹配報文幾率較大的放上面;
3�、應(yīng)該設(shè)置默認(rèn)策略。
iptables的語法格式:
~]# man iptables-extensions
iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET
| SUBCOMMAND | 對鏈的操作 |
| -F | 清空指定表的指定鏈上的所有規(guī)則�;省略鏈名時,清空表中所有鏈 |
| -N | 新建一個用戶自定義的鏈����;只能作為默認(rèn)鏈的跳轉(zhuǎn)對象,通過被引用生效 |
| -X | 刪除用戶自定義的空鏈�;非自定義鏈和內(nèi)置鏈無法刪除 |
| -Z | 將規(guī)則的計數(shù)器置0 |
| -P | 設(shè)置鏈的默認(rèn)處理機制 |
| -E | 重命名自定義鏈 |
注意:被引用中的鏈無法刪除和改名
規(guī)則
| -A | 在鏈尾追加一條規(guī)則 |
| -I | 在指定位置插入一條規(guī)則 |
| -D | 刪除指定規(guī)則 |
| -R | 替換指定規(guī)則 |
| -L | 查看鏈上所有規(guī)則,一般使用格式-vnL |
| --line-number | 顯示規(guī)則編號 |
CRETERIA:匹配條件
| -s | 檢查報文中的源IP地址 |
| -d | 檢查報文中的目標(biāo)IP地址 |
| -p | 檢查報文中的協(xié)議����,如:tcp�����、udp�、icmp |
| -i | 數(shù)據(jù)報文的流入接口���,通常只用于PREROUTING INPUT FORWARD鏈上的規(guī)則 |
| -o | 檢查報文的流出接口�;通常指用于PORWARD OUTPUT POSTROUTING鏈上的規(guī)則 |
iptables -A INPUT -d 192.168.1.1 -s 192.168.1.0/24 -p icmp --icmp-type 8/0 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.1 -d 192.168.1.0/24 -p icmp --icmp-type 0/0 -j ACCEPT
8:匹配ping請求報文
0:匹配對ping請求的響應(yīng)報文
-j :指明采取的動作�。REJECT(拒絕)、ACCEPT(接受)���、DROP(丟棄)
示例:
iptables -I INPUT 1 -d 192.168.1.1 -p tcp -m multiport --dports 22,80,443 -j ACCEPT
在INPUT鏈上插入一條新規(guī)則�,報文的目標(biāo)IP是192.168.1.1(一般為本機IP):也就是對所有發(fā)往本機22,80,443端口的tcp請求都接受���,這里一般會設(shè)置默認(rèn)規(guī)則為DROP(拒絕沒有定義的請求)
iptables -I OUTPUT 1 -s 192.168.1.1 -p tcp -m multiport --sports 22,80,443 -j ACCEPT
同理:所有本機發(fā)出去的響應(yīng)報文�,經(jīng)過22,80,443端口的tcp協(xié)議都放行
-m 模塊名稱
multiport擴展:以離散定義多端口匹配���,最多指定15個端口
-s 192.168.1.1 源IP
--sports ... 源端口�,也就是響應(yīng)報文出口
iptables -A INPUT -d 192.168.1.1 -p tcp --dport 23 -m iprange --src-range 192.168.2.2-192.168.2.100 -j ACCEPT
入棧報文規(guī)則
iptables -A OUTPUT -s 192.168.1.1 -p tcp --sport 23 -m iprange --dst-range 192.168.2.2-192.168.2.100 -j ACCEPT
出棧報文規(guī)則
iptables -A OUTPUT -s 192.168.1.1 -p tcp --sport 80 -m string --string "sex" --algo bm -j REJECT
對80端口的出棧報文做匹配,凡是響應(yīng)報文中帶有sex字符的都不予響應(yīng)
-m string:指明模塊為string模塊
--string:后面跟要匹配的字符串
--algo:字符串匹配檢查算法 bm算法
--hex-string pattern:為了在匹配時性能更好����、效率功更高,把字符串作十六進制編碼以后���,轉(zhuǎn)換格式后再進行匹配
對報文中的某些位置做檢查����,可以用 –from從最開始處打算偏移多少字節(jié)作為開頭�����,然后到結(jié)尾�����;還有--to選項
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 從什么時間開始
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 到什么時間結(jié)束
--timestart hh:mm[:ss] 每天的什么時間開始
--timestop hh:mm[:ss] 每天的什么時間結(jié)束
--monthdays day[,day...] 每月的哪幾天
--weekdays day[,day...] 每周的哪幾天
示例:
iptables -R INPUT 1 -d 192.168.1.1 -p tcp --dport 80 -m time --timestart 08:30 --timestop 18:30 --weekdays Mon,Tue,Wed,Thu,Fri -j REJECT
PS:星期首字母要大寫或者寫成1,2,3,4,5,6,7也是可以的
此條命令的作用:
請求本服務(wù)器80端口的進棧報文���,在周一到周五的每天8:30-18:30之間是不被允許的
connlimit:根據(jù)每客戶端IP做并發(fā)請求連接限制,��,即限制單IP可同時發(fā)起的連接請求�����;
--connlimit-upto n:連接數(shù)小于等于閾值;
--connlimit-above n:連接數(shù)超出閾值;
示例:
每客戶端發(fā)起的ssh請求不能超過2個
iptables -I INPUT -d 192.168.1.1 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
--limit rate[/second|/minute|/hour|/day]
--limit-burst number 令牌桶的大小���,默認(rèn)為5個(峰值速率)
iptables -I INPUT -d 192.168.1.1 -p icmp --icmp-type 8 -m limit --limit-burst 3 --limit 20/minute -j ACCEPT
iptables -A OUTPUT -s 192.168.1.1 -p icmp --icmp-type 0 -j ACCEPT
狀態(tài)監(jiān)測機制
iptables能夠在內(nèi)核當(dāng)中的某段內(nèi)存上用一個哈希表記錄每個連接的源IP���、目標(biāo)IP;源端口��、目標(biāo)端口����,什么時候與本機建立的連接,已經(jīng)持續(xù)多長時間…
當(dāng)再有一個新的請求到達時����,會根據(jù)這個表中記錄的信息作比較,看是否有記錄�����,如果沒有則記錄
當(dāng)并發(fā)訪問數(shù)量大于可記錄的內(nèi)存空間時會導(dǎo)致請求被拒絕��,
查看可存儲的最大請求追蹤數(shù):
cat /proc/sys/net/nf_conntrack_max
注意:主機為調(diào)度器���,本身要承載非常大的并發(fā)請求鏈接數(shù)���,那么開啟這個功能會瞬間由大量服務(wù)請求被拒絕�����,這是致命的?���。��?�!
狀態(tài):
NEW:新連接
ESTABLISHED:已建立的連接
INVALID:無法識別的連接
UNTRACKED:未被追蹤的連接
RELATED:相關(guān)聯(lián)的連接(例如:ftp的命令連接和數(shù)據(jù)傳輸連接)
現(xiàn)在假設(shè)有這么一種情況:
服務(wù)器的其他端口都是關(guān)閉的�����,只有80端口是對外開放的�����。突然有個從80端口出去的請求�����,說明有人在的服務(wù)器上種了個小程序�,偷偷的去連接它的控制端去了。
所以要設(shè)置狀態(tài)監(jiān)測:所有通過80 端口的報文����,只允許進來為NEW的請求,而出去的只能是ESTABLISHED
~]# iptables -A INPUT -d 192.168.1.1 -ptcp -m multiport --dports 22,23,80 -m state --state NEW,ESTABLISHED -j ACCEPT
~]# iptables -R OUTPUT 1 -m state--state ESTABLISHED -j ACCEPT
默認(rèn)策略為DROP
恩��,基本就這些了��,還有就是日志信息記錄���,以及如何保存規(guī)則和重載規(guī)則
保存:iptables-save > /PATH/TO/SOME_RULE_FILE
重載:iptables-restore < /PATH/FROM/SOME_RULE_FILE
-n, --noflush:不清除原有規(guī)則
-t, --test:僅分析生成規(guī)則集���,但不予提交;
注意:重載文件中的規(guī)則�,會清除已有規(guī)則;
規(guī)則優(yōu)化的思路:
(1) 優(yōu)先放行雙方向狀態(tài)為ESTABLISHED的報文�����;
(2) 服務(wù)于不同類別的功能的規(guī)則�,匹配到報文可能性更大的放前面;
(3) 服務(wù)于同一類別的功能的規(guī)則�����,匹配條件較為嚴(yán)格的放前面;
(4) 設(shè)置默認(rèn)策略:白名單機制
(a) 可使用iptables -P設(shè)定默認(rèn)策略����;
(b) 建議在規(guī)則鏈的最后定義規(guī)則做為默認(rèn)策略;
當(dāng)前文章:iptables基礎(chǔ)
轉(zhuǎn)載注明:
http://weahome.cn/article/iecdhs.html
重慶分公司
重慶分公司
