ACL和IptablessWord格式文档下载.docx
《ACL和IptablessWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《ACL和IptablessWord格式文档下载.docx(20页珍藏版)》请在冰点文库上搜索。
Router(config)#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21
Router(config)#access-list101permitipanyany
3.禁止192.168.1.0/24中的主机ping服务器192.168.2.2而允许其他任何流量
Router(config)#access-list119denyicmp192.168.1.00.0.0.255host192.168.2.2echo
Router(config)#access-list119permitipanyany
4.将ACL应用到端口Router(config)#ipaccess-group101{in|out}
5.查看
showaccess-list
4.命名访问控制列表
1.Router(config)#ipaccess-list{standard|extended}access-list-name
2.标准命名ACL:
Router(config-std-nacl)#【seq-Num】{permit|deny}source【source-vildcard】
3.扩展命名ACL:
Router(config-std-nacl)#【seq-Num】{permit|deny}Protocol{srcsrc-vildcarddstdst-vildcard}【operatoroperan】
如:
允许来自主机192.168.1.1/24和192.168.2.6/24的流量通过,而拒绝其他的流量通过
Router(config)#ipaccess-listcisco
Router(config-std-nacl)#15permithost192.168.2.6
Router(config-std-nacl)#permithost192.168.1.1
4.删除
Router(config)#noipaccess-listaccess-list-name
或
Router(config-std-nacl)#no15
5.将ACL应用到接口
Router(config-if)#ipaccess-groupname{in|out}
5.定时访问控制列表
1.定义时间范围的名称Router(config)#time-rangename
2.指定时间范围何时生效
1).定义一个时间周期
Router(config-time-range)#periodicdays-of-the-weekhh:
mmto【days-of-the-week】hh:
mm
参数days-of-the-weekandmonth
取值
说明
Month
Monday
星期一
January
一月
Tuesday
星期二
February
二月
Wednesday
星期三
March
三月
Thursday
星期四
April
四月
Friday
星期五
May
五月
Saturday
星期六
June
六月
Sunday
星期日
July
七月
Daily、
每天
Augest
八月
weekdays
平日(一到五)
September
九月
Weekend
周末(六和七)
October
十月
November
十一月
December
十二月
2).定义一个决定时间
Router(config-time-range)#absolute[starthh:
mmdaymonthyear][endhh:
mmdaymonthyear2.在扩展ACL中应用时间范围
Router(config)#access-listnum{permit|deny}protocol{srcsrc-vildcarddstdst-vildcard}【operatoroperan】
3.将ACL应用到接口Router(config-if)#ipaccess-groupnum{in|out}
应用:
在每周正常工作时间,允许所有IP流量通过网络
Router(config)#time-rangeworktime
Router(config-time-range)#periidicweekdays8:
30to17:
30
Router(config)#access-list101permitipanyanytime-rangeworktime
Router(config)#intf0/x
Router(config-if)#ipaccess-group101in
在2009年5月10日8:
30dao20日18:
00这时间段,允许所有的ip流量通过。
Router(config)#time-rangemytime
Router(config-time-range)#absolutestart8:
0010may2009end18:
0020may2009
Router(config)#access-list100permitipanyanytime-rangemytime
6.定义顺序和应用端口规则
1.顺序
1.确定源地址和目标地址
1.xxxxxxxxyx表示拒绝y表示允许
2.yyyyyyyyyx
2.确定顺序
3.确定端口和协议
2.端口应用规则
1.一般标准ACL应用在离目的地最近的路由器上的(in的方向上)。
2.一般扩展ACL应用在离源地址最近的路由器上。
7.具体应用
配置iptables防火墙
1.iptabels的规则表、链结构
1.规则表
Ø
Filter表:
包含三个规则链:
INPUTFORWARDOUTPUT
主要对数据包进行过滤,
内核模块:
iptables_filter
Nat表:
包含三个规则链:
PREROUTIGNPOSTROUTINGOUTPUT
主要用于修改数据包的IP地址、端口号
内核模块:
iptables_nat
Mangle表:
PREROUTIGNPOSTROUTINGINPUTOUTPUT
主要用于修改数据包的TOS(TypeofService服务类型)。
TTL、
iptables_magle
Raw表:
PREROUTIGNOUTPUT
主要用于决定数据包是否被状态跟踪机制,并且优先于其他表
iptables_raw
2.规则链
◆INPUT:
当接收到访问防火墙机地址的数据包(入站)时,应用此规则
◆FORWARD:
当防火墙本机向外发送数据包(出站)时,应用此链的规则、
◆OUTPUT:
当接收到需要通过防火墙发送给其他地址的数据包(转发)时
◆PREROUTIGN:
在对数据包做路由选择之前,应用
◆POSTROUTING:
在对数据包做路由选择之后,应用此规则。
其中,INTPUT和OUTPUT多应用在“主机防火墙中”针对服务器本身进行数据安全控制
PREROUTIGNPOSTROUTINGFORWARD应用在“网络防火墙”,特别时网关时。
2.管理iptables规则
1.基本格式:
iptables[-t表名]命令选项[链名][条件匹配][-j目标动作或跳转]
iptables命令的管理控制选项
作用
选项名
功能及特点
添加
—A
在指定的末尾添加(--append)一条新的规则
插入
—I
在指定链中插入一条规则,默认为开头插入
删除
清空
—F
清空指定链的所有规则,若未指定链,则清空所有链的规则
—D
删除(--delete)指定链中的某一条规则,按序号或内容
显示
查看
—L
列出指定链中的所有规则,若未指定链,则列出表中的所有链的规则
—n
使用数字(--numeric)显示输出结果,如主机的IP
-v
查看规则列表显示详细信息(--verbose)
-V
查看iptables命令工具版本的信息
-h
查看帮助信息
--line-numbers
查看规则列表时,同时显示规则在链中的顺序号
修改
—R
修改。
替换指定链中的某一条规则,可按序号或内容
—P
设置指定的默认策略(--policy)
用户自定义
—N
新建(--new-chain)一条用户自定义的规则链
-X
删除指定表中用户自定义的规则链
查看filter表中INPUT链中的所有规则,同时显示各条规则的序号
Iptables-LINPUT–line-numbers
查看filter表个链中所有规则详细信息,同时以数字形式显示地址和端口。
Iptables–vnL
清空filter、raw、mangle表中各链中的所有规则
Iptables–F;
iptables–traw–F;
iptables–tmangle–F
删除filter表中INPUT链路中的di2条规则
Iptables—DINPUT2
2.条件匹配
1.通用(general)条件匹配
协议匹配:
用于检查数据包的网络协议(允许使用的协议名包含在/etc/protocols文件中)
常见的为tcp、udp、icmp和all(针对所有的ip数据包)以“-p协议名”
1.拒绝进入防火墙的所有icmp协议包
iptables—IINPUT–picmp–jREJECT
2.允许防火墙转发icmp协议以外的所有数据包
Iptables–AFORWARD–p!
icmp–JACCEPT
地址匹配:
用于检查IP地址。
网络地址“—s源地址和—d目标地址”
如:
拒绝转发来自192.168.1.11主机的数据包。
允许来自192.168.2.0的数据
Iptables—AFORWARD–s192.168.1.11-jREJECT
Iptables–AFORWARD–s192.168.2.0/24—jACCEPT
网络接口匹配:
用于检查数据包从防火墙的那一个接口进入或离开。
(-i网络接收网卡–o网络发送网卡)
丢弃从外网卡接口(eth1)进入防火墙本机的源地址为私有地址的数据包
Iptables–AINPUT–ieth1–s192.168.0.0/16–jDROP
Iptables–AINPUT–ieth1–s172.16.0.0/12–jDROP
Iptables–AINPUT–ieth1–s10.0.0.0/8–jDROP
对某个IP网段(10.20.30.0/24)进行封堵
Iptables–AINPUT–s10.20.30.0/24–jDROP
Iptables–AFORWARD–s10.20.30.0/24–jDROP
2.隐含(Implict)条件匹配——以协议为前提,对应的功能有iptables自动装在入内核
端口匹配:
用于检查tcp或udp端口,需以“-ptcp”或“-pudp”匹配为前提
---sport源端口--dport目标端口(端口可以单个或使用“:
”分割端口范围)
1.仅允许管理员从202.13.0.0/16的网段的使用SSH方式远程登陆防火墙主机
Iptables–AINPUT–ptcp–dport22–s202.130.0/24–jACCEPT
Iptables–AINPUT–ptcp–dport22–jDROP
2.允许本机开放tcp端口20—1024提供应用服务
Iptables–AINPUT–ptcp–dport20:
1024–jACCEPT
Iptables–AOUTPUT–ptcp–sport20:
1024–jACCEPT
3.做为网关使用时,允许转发来自192.168.2.0/24局域网的DNS解析请求
Iptables–AFORWARD–pudp–dport53–s192.168.2.0/24–jACCEPT
Iptables–AFORWARD–pudpp–sport22–d192.168.2.0/24–jACCEPT
TCP标记匹配:
用于检查数据包中的tcp标记位(-tcp-flags):
如SYN、RST、ACK、SYN
拒绝外网接口的(eth1)直接访问防火墙本身的数据包
Iptables–AINPUT–ieth1–ptcp–tcp-flagsSYN,RST.ACK.SYN–jACCEPT
ICMP类型匹配:
用于检查ICMP数据包的类型
Echo-Request:
数字为8,会送请求
Echo-Relay:
数字为0;
会送应答
Destination-Unreachable:
数字为3;
目标不可达
如禁止其他主机ping防火墙,但是允许从防火墙上ping其他主机(允许接收ICMP回应数据)
Iptables–AINPUT–picmp–icmp-typeEcho-Request–jDROP
Iptables–AINPUT–picmp--icmp-typeEcho-relay–jACCEPT
Iptables–AINPUT–picmp–icmp-typeDestination-Unreachable–jACCEPT
3.显示(Explicit)条件匹配
需要额外的内核模块支持,需要手工指定匹配方式。
lsmod|grepxt来查看扩展的内核模块
MAC地址匹配:
主要用于检查数据包的源MAC地址
禁止转发来自MAC:
00:
02:
5E:
00的主机数据包
Iptables–AFORWARD–mmac–mac-source00:
00–jDROP
多端口匹配:
检查数据包的源端口、目标端口(--dport目标端口地址)(-sport源端口地址列表)
允许防火墙本身对外开放tcp端口:
20、21、25、110以及FTP的被动的端口1250—1280
Iptables–AINPUT–ptcp-mmultiport–dport20、21、25、110、1250:
1280–jACCEPT
多ip地址匹配:
检查数据包的源地址、目标地址时,用于匹配一段范围内IP地址
--src-rangeIP地址范围或—dst-rangeIP地址范围
如:
禁止转发源IP为192.168.2.12-192.168.2.56的TCP数据包
Iptables–AFORWARD–ptcp–miprange–src-range192.168.2.12-192.168.2.56–jDROP
状态匹配:
检查数据包的连接状态(常见的状态)
NEW:
于任何连接无关
ESTABLISHED:
响应请求或者以建立连接的
RELATED:
与已有的连接有相关性的
1.禁止转发与正常的TCP连接无关的—syn请求数据包
Iptables–AFORWARD–ptcp!
--syn-mstate–stateNEW–jDROP
2.拒绝访问防火墙的新数据包,但允许响应连接或已有连接相关的数据
Iptables–AINPUT–ptcp-mstate–stateNEW–jDROP
Iptables–AINPUT–ptcp–mstate–stateESTALISHED、RELATED–jACCEPT
3.只开放web服务器、fTP服务器(20、21、20450-20480),放行外部发往服务器其他端口的应答数据包,将其他入站数据包均予丢弃。
Iptables–AFORWARD–ptcp-mmultiport--dport20、21、80–jACCEPT
Iptables–AFORWARD–ptcp--dport20450:
20490–jACCEPT
Iptables–AFORWARD–ptcp-mstate–-stateESTALISHED–jACCEPT
Iptables–PINPUT–jDROP
3.数据包的控制:
ACCEPT:
允许数据包通过
DROP:
直接丢弃,不做任何响应
REJECT:
拒绝数据包通过,必要时给一个响应信息
LOG:
在/var/log/messages文件中记录日志信息,然后将数据传给下个规则
SNAT:
修改数据包的源IP地址
DNAT:
修改数据包的目标IP地址
对于尝试通过SSH方式登陆防火墙的主机的访问数据,记录日志信息(为了避免日志频繁,日志记录的频率为平均三次/分钟,允许峰值为八次)
Iptables–AINNPUT–ptcp–dport22–mlimit–-limit3/minute–limit-burst8–jLOG
Iptables–AINPUT–ptcp–dport22–jDROP
4.导入、导出防火墙规则
1.导入。
Iptables软件包提供了iptables-save用于保存防火墙规则,通常情况下,将规则重定向到指定的配置文件中,结合系统默认提供的iptables服务脚本,自动加载为“/etc/sysconfig/iptables”文件中。
如。
将当前调试号的iptables规则保存到配置文件中,并通过iptables服务脚本自动加载。
Iptables-save>
/etc/sysconfig/iptables
Serviceiptahlesrestart
2.iptables-restore—从以保存的配置文件中导入的哦iptables规则(文件必须是使用iptables-save导出的配置数据)
5.综合使用
1.
1.入站规则:
1.iptables–AINPUT–ieth0–ptcp–mmultiport–dport21、25、80、110、143-jACCEPT
2.iptables–AINPUT-s201.13.12.14–ptcp--dport22–mlimit–limit4/hour–jACCEPT
iptables–AINPUT-s201.13.12.14–ptcp--dport22–jACCEPT
3.iptables–AINPUT-s192.168.1.5–ptcp--dport22–mmac–mac-source00:
0C:
27:
30:
4E:
5D–jACCEPT
4.iptables–AINPUT-s192.168.1.0/24–ptcp--dport3128–jACCEPT
2.转发规则:
1.iptables–AFORWARD–s192.168.1.0/24–d192.168.2.2-pudp–dport53–jACCEPT
2.iptables–AFORWARD–d192.168.1.0/24–s192.168.2.2-pudp–sport53–jACCEPT
3.默认规则
Iptables–PINPUTDROP
Iptahles-PFORWARDDROP
Iptahles–POUTPUTACCEPT
2.项目综合实战中的访问控制
网络区域
用途
IP地址分段
外网
通过网通100M光纤接入Internet
IP/掩码:
218.54.56.58/30
默认网关:
218.54.56.57
DMZ区
服务器区域、安全缓冲区域
192.168.0.0/24
内网
企业内部的3个物理网络段
192.168.1.0/24
192.16
升级会员 