Linux安全检测及防护-08-V1.0课件

第八章iptables防火墙（三）——理论部分SNAT策略的原理及典型应用？DNAT策略的原理及典型应用？SNAT、DNAT规则分别用在哪个表、链中？课程回顾学会备份及恢复iptables规则学会编写简单的防火墙脚本技能展示本章结构iptables防火墙(三)规则的备份及还原使用iptables服务使用IP地址黑、白名单防火墙脚本示例规则的导出、导入防火墙脚本的构成使用防火墙脚本导出（备份）规则iptables-save工具可结合重定向输出保存到指定文件规则的备份及还原2-1[root@localhost~]#iptables-save-tnat#Generatedbyiptables-savev1.3.5onMonJun2009:09:522011*nat:PREROUTINGACCEPT[1425:168303]:POSTROUTINGACCEPT[281:19868]:OUTPUTACCEPT[263:18788]-APREROUTING-d1-ieth0-ptcp-mtcp--dport80-jDNAT--to-destination-APOSTROUTING-s/-oeth0-jSNAT--to-source1COMMIT#CompletedonMonJun2009:09:522011[root@localhost~]#iptables-save>/opt/iprules_all.txt[root@localhost~]#cat/opt/iprules_all.txt#Generatedbyiptables-savev1.3.5onMonJun2009:09:522011*nat:PREROUTINGACCEPT[1425:168303]:POSTROUTINGACCEPT[281:19868]:OUTPUTACCEPT[263:18788]-APREROUTING-d1-ieth0-ptcp-mtcp--dport80-jDNAT--to-destination-APOSTROUTING-s/-oeth0-jSNAT--to-source1COMMIT……iptables服务脚本位置：/etc/init.d/iptables规则文件位置：/etc/sysconfig/iptables使用iptables系统服务iptables-save导出的格式[root@localhost~]#serviceiptablesstartiptables：应用防火墙规则：[确定][root@localhost~]#serviceiptablesstopiptables：清除防火墙规则：[确定]iptables：将链设置为政策ACCEPT：natfilter[确定]iptables：正在卸载模块：[确定]批量设置方法方法1：编写规则导出使用iptables服务方法2：编写防火墙脚本开机时自动执行脚本/etc/rc.d/rc.local防火墙规则的批量设置哪个方法更好？2.加载必要的内核模块将频繁用到的模块载入内核防火墙脚本的构成4-2……$MODip_tables$MODip_conntrack$MODipt_REJECT$MODipt_LOG$MODipt_iprange$MODxt_tcpudp$MODxt_state$MODxt_multiport$MODxt_mac$MODip_nat_ftp$MODip_conntrack_ftp……支持FTP访问的地址转换、连接状态跟踪3.调整/proc参数Linux内核控制及调优防火墙脚本的构成4-3……$CTL-wnet.ipv4.ip_forward=1$CTL-wnet.ipv4.ip_default_ttl=128$CTL-wnet.ipv4.icmp_echo_ignore_all=1$CTL-wnet.ipv4.icmp_echo_ignore_broadcasts$CTL-wnet.ipv4.tcp_syncookies=1$CTL-wnet.ipv4.tcp_syn_retries=3$CTL-wnet.ipv4.tcp_synack_retries=3$CTL-wnet.ipv4.tcp_fin_timeout=60$CTL-wnet.ipv4.tcp_max_syn_backlog=3200……优化TCP响应能力4.具体的防火墙规则按表、链分别设置规则，包括默认策略防火墙脚本的构成4-4……$IPT-tfilter-X$IPT-tnat-X$IPT-tfilter-F$IPT-tnat-F$IPT-PINPUTDROP$IPT-PFORWARDDROP$IPT-POUTPUTACCEPT$IPT-tnat-APOSTROUTING-s$LAN_NET-o$INET_IF-jSNAT--to-source$INET_IP$IPT-tnat-APREROUTING-i$INET_IF-d$INET_IP-ptcp--dport80-jDNAT--to-destination$LAN_WWW_IP……清空原有规则设置默认策略其他具体规则建立IP地址列表文件黑名单、白名单分开保存每行一个IP地址，或网段地址使用IP地址黑、白名单2-1[root@localhost~]#vi/opt/myipfw.wlist#用于远程管理的工作站105……[root@localhost~]#vi/opt/myipfw.blist3191……白名单列表文件黑名单列表文件在脚本中调用黑、白名单使用for循环封锁黑名单地址、放开对白名单地址的限制使用IP地址黑、白名单2-2……WHITE_LIST="/opt/myipfw.wlist"foriin$(grep-v"^#"$WHITE_LIST)do$IPT-IINPUT-s$i-jACCEPT$IPT-IOUTPUT-d$i-jACCEPT$IPT-IFORWARD-s$i-jACCEPT$IPT-IFORWARD-d$i-jACCEPTdone……逐个插入放行规则……BLACK_LIST="/opt/myipfw.blist"foriin$(grep-v"^#"$BLACK_LIST)do$IPT-IINPUT-s$i-jDROP$IPT-IOUTPUT-d$i-jDROP$IPT-IFORWARD-s$i-jDROP$IPT-IFORWARD-d$i-jDROPdone……逐个插入封锁规则“网络型”防火墙脚本针对网络互访进行保护filter表中的FORWARD链，以及nat表防火墙脚本示例2-2[root@localhost~]#vi/opt/myipfw.gateway#!/bin/bash……#4.3设置nat表中的各种规则$IPT-tnat-APOSTROUTING-s$LAN_NET-o$INET_IF-jSNAT--to-source$INET_IP$IPT-tnat-APREROUTING-i$INET_IF-d$INET_IP-ptcp--dport80-jDNAT--to-destination$LAN_WWW_IP#4.4设置filter表中的各种规则$IPT-AFORWARD-d$LAN_NET-i$INET_IF-mstate--stateESTABLISHED,RELATED-jACCEPT……本章总结iptables防火墙(三)规则的备份及还原使用iptables服务使用IP地址黑、白名单防火墙脚本示例规则的导出、导入防火墙脚本的构成使用防火墙脚本第八章iptables防火墙（三）——上机部分实验环境防火墙规则的快速重建实验案例：编写并使用防火墙脚本4-1局域网段/24网站服务器

Internet网关服务器()eth0:1

eth1:网管工作站10