DAY20 linux netfilter - daniel-qa/Network GitHub Wiki

DAY20

今天要來介紹 linux 系統當中的 netfilter 它在CentOS 7 之前都是預設的防火牆套件,在CentOS7之後就改由Firewalld 進行防護。 當然CentoS7 當中仍可將iptables裝回來,我們先不談及Firewalld的部分, 因為 netfilter的功能非常多,功用不僅限於防火牆而已 它甚至可以做NAT功能,甚至更多許多網路的服務(例如設備上接雙WAN的設定它都可以做到), 在CentOS6上除了netfilter之外,還有一個防禦機制,它叫做 SElinux (安全強化的linux)

它是由美國國安局開放出來放置於其中,它專門針對程序、權限設定做限制, 所以我們在系統上運作的服務,大多要取用系統資源時都得通過這一個關卡, 它的設定方式是透過布林去進行的 平常在測試機上面運作服務時,我捫會將SElinux關閉在進行, 因為很多時候會因為SElinux的運作造成我捫操作上的不便, 當然到了正式環境時會建議將其打開, 設定的地方在

#vim /etc/sysconfig/selinux //將其中enable 修改成disabled 後再重新開機就不會在啟用了。

若是希望現在就關閉它,可以使用指令

#setenforce 0

要啟用則是將0改成 1 然後再透過指令去確認它現在的運作狀況

#getenforce

關於SElinux操作大概先論述到這裡,進入今天的主題netfilter

有在運用 linux 系統的人對它一定不陌生,我捫許多的存取限制,NAT功能大多都是由它達成的。

在CentoOS6 當中要啟用netfilter很簡單,可以將其當作一個服務來操作就好

#service iptables start
#chkconfig iptables on

在CentOS7版,因為服務都被包進systemctl當中,所以都是透過它進行調整。

#systemctl start iptables
#systemctl enable iptables

netfilter 的操作指令是 iptables,它可以在我捫的CLI介面直接直行,程序會馬上被套用。 但我捫大多時候是使用shellscript的方式去進行它, 看你是要寫在iptables的設定當中,或者另外寫一個shell出來讓它開機時載入都可以。 我們這邊拿個簡單的範例來說明iptables的防火牆功能。 第一件事要要記住,防火牆規則這種東西,是 first match, 也就是說當它比對到相對應的規則後就會直接使用這個規則,不會在管後面到底有沒有甚麼限制。

不管裡面有沒有東西,都先把這邊清空掉。 (關於三個表內容可以詳見鳥哥的操作)

#iptables -F -t filter
#iptables -t filter -X
#iptables -F -t mangle
#iptables -t mangle -X
#iptables -F -t nat
#iptables -t nat -X

lo 通常視本機localhost,所以就直接開放,如此在進行自我的時候比較不會有問題

#iptables -t filter -A INPUT -i lo -j ACCEPT
#iptables -t filter -A OUTPUT -o lo -j ACCEPT

在來這邊就可以稍微解說一下,

-i eth0 表示指定對eth0這張網卡進行篩選,也可以不指定範指全部介面。
-s 表示限制來源端,只限制172.16.100.143
-d 就表示目的地,若netfilter運作在一台伺服器身上,通常指的是自己伺服器本機。
但有時候netfilter會被當成中介的存在,這時候-d是誰就要看怎麼運用了。
-p 表示的是協定,有TCP、UDP、ICMP可以使用,若運用在DNS上就會使用udp
-dport 這邊的dport表示是目標端的port,我們可以將它當成要連接到本機端的port號
-j 是說對於以上限制要做甚麼樣的事情,到底是ACCEPT(允許)或者DROP(拋棄)

這邊也有第三個選項REJECT(它也是拋棄的一種,但會跟你說你被我拋棄囉) 這個通常只有在認證考試時用到,沒有人阻擋了別人還跟他說你被我阻擋了吧。 所以下面這個範例就很明白了TCP -22表示的是SSH服務, 只允許192.168.100.250這個IP可以透過SSH服務連結到192.168.100.1的設備。

#iptables -t filter -A INPUT -i eth0 -s 172.16.100.143 -d 172.16.100.144 -p tcp --dport 22 -j ACCEPT

#已連線的封包可以連入

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#新連線禁止連入

iptables -t filter -A INPUT -m state --state NEW,INVALID -j DROP

這邊就要另外介紹一下 (比較詳細的內容也可以參考鳥哥) 前面這兩個我們會放行的原因,表示說前面我們有放行的的協定,這些是可信任的。 ESTABLISHED:已經連線成功的連線狀態,例如TCP三項交握完成,要開始進行相互資料傳送的封包的階段

RELATED :這個表示連現已經建立,可以開始進行資料的正在進行,但又要創立新的連線資訊 (這個拿FTP作為例子比較恰當,像是我捫一開始進行FTP連線的時候是用TCP-21,這邊經過連線驗證通過後,可以開始進行指令的傳送,剛好我們要下載資料了,透過TCP-21下達下載的指令,這時候就會開啟新的連線資訊的創建,因為FTP的資料傳送是走TCP-20)

這兩者我們會阻擋的原因是擔心有人惡意進行攻擊,送大量破損的封包來阻礙,或者其他的情形。

INVALID :破損的封包,也就是可能為惡意封包的類型

NEW :初次要建立連線的封包,例如:TCP三項交握,剛開始SYN的封包類型 (也可能是TIMEOUT要重新連線)

然後最後我們要記得做一件事情,就是如果沒有符合上面規則的,我們通常都是直接DROP掉。 這樣才比較安全。

#iptables -t filter -A INPUT -j DROP

這樣就完成了一個簡單的連線限制了,但是這樣是非常陽春的,它還有很多功能可以去用。 例如限制封包進出量,以其他限制等等。

要查看netfilter目前的運作狀況可以下指令

#service iptables status
#iptables -L

當然這些設定檔執行的狀況都都可以存log下來。

netfilter的功能真的很多,光這個套件的運用就可以獨立寫成一本書籍了,

有興趣的人可以深入去看看它的操作。