2021年2月24日 星期三

【Linux】iptables筆記

iptables使用簡介:

查詢目前區域內轉向的狀態

sudo iptables -t nat -L --line-numbers


結果:

Chain PREROUTING (policy ACCEPT)

num  target     prot opt source               destination         

1    REDIRECT   tcp  --  anywhere             anywhere             tcp dpt:http redir ports 8000


增加規則

將 80 PROT 轉向 19000 PORT

sudo iptables -t nat -A PREROUTING -i ens4 -p tcp --dport 80 -j REDIRECT --to-port 19000

sudo iptables -t nat -A PREROUTING -i ens4 -p tcp --dport 19000 -j REDIRECT --to-port 80

sudo iptables -t nat -A PREROUTING -i lo -p tcp --dport 12000 -j REDIRECT --to-port 22


刪除規則

取消監聽 19000 PORT

    sudo iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 19000

經由指令查詢可看到有一個狀態,編號為 1 我們就指定編號移除它。

    sudo iptables -t nat -D PREROUTING 1

重新開機,之前的設定都會消失

 

刪除全部規則

# flush all chains

iptables -F

iptables -t nat -F

iptables -t mangle -F

# delete all chains

iptables -X


讓外面的人透過port 222連到我內部內網的port 192.168.2.1這台server的port 22,來進行ssh
sudo iptables -t nat -A PREROUTING  -d x.x.x.x(你家IP) -p tcp --dport 222  -j DNAT--to-destination 192.168.2.1:22

讓SSH使用網卡的IP連到外網SSHD
sudo iptables -t nat -A OUTPUT -p tcp -d 192.168.0.154 --dport 10001 -j DNAT --to-destination 211.23.78.225:55003
sudo ssh -p 10001  user@192.168.0.154

讓local可以轉發
sudo sysctl -w net.ipv4.ip_forward=1
查看修改內容
cat /proc/sys/net/ipv4/ip_forward

讓local可以透過127.0.0.1轉發
sudo sysctl -w net.ipv4.conf.eno1.route_localnet=1
cat /proc/sys/net/ipv4/conf/eno1/route_localnet

基本觀念:

當一個網路封包要進入到主機之前,會先經由 iptables 的規則進行檢查, 檢查通過則接受 (ACCEPT) 進入本機取得資源,如果檢查不通過,則可能予以丟棄 (DROP),檢查規則是有順序的,當封包進入 Rule 1 比對時, 如果比對結果符合 Rule 1 ,此時封包就會進行 Action 1 的動作,而不會理會後續的 Rule 2, Rule 3.... 等規則的分析。如果這個封包並不符合 Rule 1 的比對,那就會進入 Rule 2 的比對了!如此一個一個規則去進行比對。果所有的規則都不符合怎辦?此時就會透過預設動作 (封包政策, Policy) 來決定這個封包的去向。


以上的rule組合起來就是iptables裡的一個鏈(chain),一個表格由很多的chain組合而成。預設的情況下, Linux 的 iptables 至少有三個表格,包括管理本機進出的 filter 、管理後端主機 (防火牆內部的其他電腦) 的 nat 、管理特殊旗標使用的 mangle (較少使用) 。


filter (過濾器):主要跟進入 Linux 本機的封包有關,這個是預設的 table ,包含下面三種chain

INPUT:主要與想要進入我們 Linux 本機的封包有關;

OUTPUT:主要與我們 Linux 本機所要送出的封包有關;

FORWARD:這個咚咚與 Linux 本機比較沒有關係, 他可以『轉遞封包』到後端的電腦中,與下列 nat table 相關性較高。


nat (位址轉換):是 Network Address Translation 的縮寫, 這個表格主要在進行來源與目的之 IP 或 port 的轉換,與 Linux 本機較無關,主要與 Linux 主機後的區域網路內電腦較有相關。

PREROUTING:在進行路由判斷之前所要進行的規則(DNAT/REDIRECT)

POSTROUTING:在進行路由判斷之後所要進行的規則(SNAT/MASQUERADE)

OUTPUT:與發送出去的封包有關


mangle (破壞者):這個表格主要是與特殊的封包的路由旗標有關, 早期僅有 PREROUTING 及 OUTPUT 鏈,不過從 kernel 2.4.18 之後加入了 INPUT 及 FORWARD 鏈。 由於這個表格與特殊旗標相關性較高,所以像咱們這種單純的環境當中,較少使用 mangle 這個表格。


http://linux.vbird.org/linux_server/0250simple_firewall//iptables_04.gif


iptables 可以控制三種封包的流向:

封包進入 Linux 主機使用資源 (路徑 A): 在路由判斷後確定是向 Linux 主機要求資料的封包,主要就會透過 filter 的 INPUT 鏈來進行控管;


封包經由 Linux 主機的轉遞,沒有使用主機資源,而是向後端主機流動 (路徑 B): 在路由判斷之前進行封包表頭的修訂作業後,發現到封包主要是要透過防火牆而去後端,此時封包就會透過路徑 B 來跑動。 也就是說,該封包的目標並非我們的 Linux 本機。主要經過的鏈是 filter 的 FORWARD 以及 nat 的 POSTROUTING, PREROUTING。 這路徑 B 的封包流向使用情況,我們會在本章的 9.5 小節來跟大家作個簡單的介紹。


封包由 Linux 本機發送出去 (路徑 C): 例如回應用戶端的要求,或者是 Linux 本機主動送出的封包,都是透過路徑 C 來跑的。先是透過路由判斷, 決定了輸出的路徑後,再透過 filter 的 OUTPUT 鏈來傳送的!當然,最終還是會經過 nat 的 POSTROUTING 鏈。


列出 filter table 三條鏈的規則

[root@www ~]# iptables -L -n

選項與參數:

-t :後面接 table ,例如 nat 或 filter ,若省略此項目,則使用預設的 filter

-L :列出目前的 table 的規則

-n :不進行 IP 與 HOSTNAME 的反查,顯示訊息的速度會快很多!

-v :列出更多的資訊,包括通過該規則的封包總位元數、相關的網路介面等


Chain 那一行裡面括號的 policy 就是預設的政策, 那底下的 target, prot 代表什麼呢?

target:代表進行的動作, ACCEPT 是放行,而 REJECT 則是拒絕,此外,尚有 DROP (丟棄) 的項目!

prot:代表使用的封包協定,主要有 tcp, udp 及 icmp 三種封包格式;

opt:額外的選項說明

source :代表此規則是針對哪個『來源 IP』進行限制?

destination :代表此規則是針對哪個『目標 IP』進行限制?

SNAT、DNAT

PREROUTING 與 POSTROUTING重點在於修改 IP:

  • PREROUTING 修改目標 IP,稱為目標 NAT (Destination NAT, DNAT)
  • POSTROUTING 修改來源 IP,稱為來源 NAT (Source NAT, SNAT) 


iptables 指令詳解

iptables 指令
語法:
iptables [-t table] command [match] [-j target/jump]
-t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。
個規則表的功能如下:
 
nat 此規則表擁有 Prerouting 和 postrouting 兩個規則鏈,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNATDNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表裡,將會造成無法對同一包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。
 
mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則鏈。
除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。
 
filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈,這個規則表顧名思義是用來進行封包過濾的理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。
 
常用命令列表:
命令 -A, --append
範例 iptables -A INPUT ...
說明 新增規則到某個規則鏈中,該規則將會成為規則鏈中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則鏈中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後並不會改變順序。
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明 列出某規則鏈中的所有規則。
命令 -F, --flush
範例 iptables -F INPUT
說明 刪除某規則鏈中的所有規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明 定義新的規則鏈。
命令 -X, --delete-chain
範例 iptables -X allowed
說明 刪除某個規則鏈。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則鏈的名稱。
 
常用封包比對參數:
參數 -p, --protocol
範例 iptables -A INPUT -p tcp
說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。
參數 -s, --src, --source
範例 iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。
參數 -d, --dst, --destination
範例 iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
參數 -i, --in-interface
範例 iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大範圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也以使用 ! 運算子進行反向比對,例如:-i ! eth0。
參數 -o, --out-interface
範例 iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網卡送出,設定方式同上。
參數 --sport, --source-port
範例 iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源埠號,可以比對單一埠,或是一個範圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可以使用 ! 運算子進行反向比對。
參數 --dport, --destination-port
範例 iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的地埠號,設定方式同上。
參數 --tcp-flags
範例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)PSH(強迫推送) 等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子行反向比對。
參數 --syn
範例 iptables -p tcp --syn
說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !
運算子,可用來比對非要求聯機封包。
參數 -m multiport --source-port
範例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。
參數 -m multiport --destination-port
範例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
參數 -m multiport --port
範例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本範例中,如果來源端口號為 80
目的地埠號為 110,這種封包並不算符合條件。
參數 --icmp-type
範例 iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可用。
參數 -m limit --limit
範例 iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。 除了每小時平均次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如後: /second、 /minute、/day。 除了進行封數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。
參數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是默認值),超過此上限的封將被直接丟棄。使用效果同上。
參數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到個網絡接口去。
參數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最不可以超過 4294967296。
參數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身份將敏感數據傳送出,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。
參數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。
參數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。
參數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。
參數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
 
INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經建立的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。
 
常用的處理動作:
-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:
 
ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(natostrouting)。
REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。
 
範例如下:
iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。
REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式porxy 或用來保護 web 服務器。
 
例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的範圍,進行完此處理動作後,直接跳往下一個規則(mangleostrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE特別有用。範例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其規則。
 
例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將直接跳往下一個規則(mangleostrouting)。範例如下:
iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 範圍,可以指定 port 對應的範圍,進行完此處理動作後,將會直接跳往下一個規煉(filter:input 或 filter:forward)。
 
範例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。
QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費.......等。
RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當提早結束子程序並返回到主程序中。
MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。
 
範例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2


cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/conf/eno1/route_localnet
sudo sysctl -p
sudo sysctl --system
addrtyp提供Address type match的功能
MASQUERADE 選項可以將私有的 IP 位址,以防火牆 / 閘道器的外部位址偽裝起來。當然SNAT可以明確的指出封包轉換後的來源地址,但是寫死出去的封包地址,一旦系統上關於 IP 地址有任何修改的時候,相關的規則全部都要重新調整。因此大部分的情境都會喜歡使用 -j MASQUERADE 的方式,讓 Linux Kernel 來根據系統當前設定來選擇要使用的 IP 地址。

REF

沒有留言:

張貼留言