iptables主机防火墙功能及常用命令

FSM:Finite State Machine 有限状态机

客户端：closed -->syn_sent -->established --> fin_wait_1 -->find_wait_2 --> timewait(2MSL)
服务器：closed -->listen -->syn_rcvd -->establised --> close_wait -->last_ack


-m state:追踪连接状态
   模板：内存中会维持一个空间
       NEW
       ESTABLISHED
       RELATED
       INVALID
在前端的服务器中尽量不要开启追踪连接


iptables子命令
  规则：-A,-I,-D,-R
  链：-N,-X,-F,-Z,-E,-P -S
      通：默认 DROP
      堵：默认ACCEPT
  显示：-L -S
      -L 
       -n -v -x --line-numbers


  规则定义：iptables -t table -A|-I|-R chain 匹配条件 -j target
      匹配条件
         通用匹配：-s -d -i -o -p
         扩展匹配
             隐含扩展
               -p tcp
                --sport --dport --tcp-flags
                --syn
               -p udp
                 --sport --dport
               -p icmp
                  --icmp-type
                    echo-request 8
                    echo-reply 0
              显示扩展：
                 -m state 
                    --state
                 -m multiport
                    --sprots, --dports,  --ports
                 -m iprange
                    --src-range, --dst-range
                 -m string
                    -algo {bm|kmp} --string --hex-string
                 -m connlimit
                   ! --connlimit-above
                 -m limit
                   --limit n(/second|/minute|/hour|/day), --limit-burst
                 -m time
                    --datestart --datestop
                    --timestart -- timestop
                    --weekdays
           -j
             ACCEPT,DROP,REJECT,LOG,REDIRECT,SNAT,DNST,MASQUERADE,MARK,RETURN,自定义链


四表：raw mangle nat filter 
五链：PREROUTING INPUT FOEWARD OUTPUT POSTOUTING


规则保存和恢复：iptables-save iptables-restore


主机防火墙：INPUT OUTPUT

网络防火墙：FORWARD

    路由：
    NAT：
/proc/sys/net/ipv4/ip_forward


地址属于内核，地址当前属于主机的都给予响应


路由：对Linux主机而言，设定/proc/sys/net/ipv4/ip_forward的值为1，即为开启路由
     路由表的生成
       静态：手动添加
       动态：基于路由协议学习，RIP2 OSPF
NAT：网络地址转换
     A:10
     B:172.16-172.31
     C:192.168.0-192.168.255


     NAT: 工作于传输层和网络层
        过载技术
        Basic NAT:静态NAT
        NAPT：动态NAT，网络地址端口转换
             源地址转换：SNAT 用于内网主机访问互联网
             目标地址转换：DNAT
             让互联网上主机访问本地内网中的某服务器上的服务（发布）


        iptables基于SNAT和DNAT这两个目标实现地址转换技术
        -j SNT --to-source SIP
          规则添加：POSTROUTING链
        -j MASQUERAADE  动态获取


        -j DNAT --to-destination DIP{:PORT}
        支持端口映射




        基于nat表
           PREROUTING
           POSTROTING
           OUTPUT

     Proxy(代理):工作在应用层

举例说明：

网络拓扑

简单网络访问路由转发功能

172.16.1.10能ping通192.168.8.40，但不能ping通192.168.8.39
192.168.8.39能Ping通172.16.1.254，但不能ping通172.16.1.10
原因：Linux中网卡程序都加载于系统内核中，运行在上面的网卡程序会被系统认为是同一个设备

配置开启路由转发功能
# vim /etc/sysctl.conf 

net.ipv4.ip_forward = 1

让配置生效
# sysctl -p

也可以，采用如下命令临时生效

# sysctl -w net.ipv4.ip_forward=1

验证

# cat /proc/sys/net/ipv4/ip_forward 

windows客户端添加路由，也可以实现访问

route add 172.16.1.0 mask 255.255.255.0 172.16.1.254

将转发规则屏蔽，则无法访问
# iptables -P FORWARD DROP

对常见服务的放行实例

放行192.168.8.39中80口的访问
# iptables -A FORWARD -s 172.16.1.10 -d 192.168.8.39 -p tcp --dport 80 -j ACCEPT
# iptables -A FORWARD -d 172.16.1.10 -s 192.168.8.39 -p tcp --sport 80 -j ACCEPT


放行172.16.1.0/24网段对192.168.8.0网段22号端口的访问
# iptables -A FORWARD -s 172.16.1.0/24 -d 192.168.8.0/24 -p tcp --dport 22 -j ACCEPT
# iptables -A FORWARD -s 192.168.8.0/24 -d 172.16.1.0/24 -p tcp --sport 22 -j ACCEPT


重新编写规则
# iptables -F FORWARD
# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
# iptables -R FORWARD 2 -d 192.168.8.39 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT


nat规则举例


初始化：
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
//需要accept否则将无法通过路由转发任何数据包
# iptables -P FORWARD ACCEPT

模拟dnat功能之互联网访问局域网服务器

外网端：172.16.1.10
内网端：192.168.8.39


//将访问172.16.1.254 80端口的服务映射到8.89的80端口上
# iptables -t nat -F
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.8.39


在目标8.39的web日志中可以看到是172.16.1.10访问的，而不是192.168.8.40路由访问


禁止172.16.1.10的IP访问
# iptables -I FORWARD -s 172.16.1.10 -j REJECT


通过外网地址172.16.1.254的22022端口访问192.168.8.39的22号端口(相当于端口映射)
# iptables -t nat -A PREROUTING -d 172.16.1.254 -p tcp --dport 22022 -j DNAT --to-destination 192.168.8.39:22

模拟snat功能之局域网访问互联网应用

172.16.1.10 和 172.16.1.254的eth1都放置于 vmnet2虚拟交换环境中

充当路由功能的机器

外网接口：
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.8.15
BROADCAST=192.168.8.255
NETMASK=255.255.255.0
GATEWAY=192.168.8.254
NETWORK=192.168.8.0


DNS配置
/etc/resolve.conf
nameserver 192.168.8.251


内网接口：
# cd /etc/sysconfig/network-scripts/
# cp ifcfg-eth0 ifcfg-eth1


DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.16.1.254
BROADCAST=172.16.1.255
NETMASK=255.255.255.0
NETWORK=172.16.1.0

内网的机器：

172.16.1.10
DNS:192.168.8.251
GAWEWAY:172.16.1.254


配置192.168.8.251
# vim /etc/sysctl.conf
打开防火墙转发功能
net.ipv4.ip_forward = 1


sysctl -p 使配置生效


在防火墙上添加规则，对来自内网 172.16.1.0网段的机器进行源地址转换
# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 192.168.8.15

测试在内网机器中可以访问互联网

tupdump抓包

nginx用来做什么？

    静态资源的web服务器

   http服务器反向代理

访问量统计网站：

tupdump抓包

详细的文档见http://blog.csdn.net/nanyun2010/article/details/23445223/

基本语法

========
过滤主机
--------
- 抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据
# tcpdump -i eth1 host 192.168.1.1
- 源地址
# tcpdump -i eth1 src host 192.168.1.1
- 目的地址
# tcpdump -i eth1 dst host 192.168.1.1
过滤端口
--------
- 抓取所有经过 eth1，目的或源端口是 25 的网络数据
# tcpdump -i eth1 port 25
- 源端口
# tcpdump -i eth1 src port 25
- 目的端口
# tcpdump -i eth1 dst port 25网络过滤
--------
# tcpdump -i eth1 net 192.168
# tcpdump -i eth1 src net 192.168
# tcpdump -i eth1 dst net 192.168
协议过滤
--------
# tcpdump -i eth1 arp
# tcpdump -i eth1 ip
# tcpdump -i eth1 tcp
# tcpdump -i eth1 udp
# tcpdump -i eth1 icmp
常用表达式
----------
非 : ! or "not" (去掉双引号)
且 : && or "and"
或 : || or "or"
- 抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据
# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dsthost
192.168.1.200)))'
- 抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据
# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
- 抓取所有经过 eth1，目的网络是 192.168，但目的主机不是192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net192.168) and (not dst host 192.168.1.200)))'

- 只抓 SYN 包
# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'
- 抓 SYN, ACK
# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] &tcp-ack != 0'
抓 SMTP 数据
----------
# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'
抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为0x4d41494c。
抓 HTTP GET 数据
--------------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六进制是 47455420
抓 SSH 返回
---------
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'
"SSH-"的十六进制是 0x5353482D

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and(tcp[((tcp[12]>>2)+4):2]
= 0x312E)'抓老版本的 SSH 返回信息，如"SSH-1.99.."

- 抓 DNS 请求数据
# tcpdump -i eth1 udp dst port 53
其他
----
-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工 CTRL+C 还是
抓的太多，于是可以用-c 参数指定抓多少个包。
# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null
上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。

实时抓取端口号8000的GET包，然后写入GET.log

tcpdump -i eth0 '((port8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log