2小时玩转iptables企业版.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 3.5.4 multiport -m multiport --sports|--dports|--ports埠1[,埠2,..,埠n] 一次性匹配多個埠，可以區分源埠，目的埠或不指定埠 例如： iptables -AINPUT -p tcp -m multiport --dports \ 21,22,25,80,110 -j ACCEPT 注意： 必須與-p參數一起使用 4.實例分析 單伺服器的防護 如何做閘道 如何限制內網用戶 內網如何做對外伺服器 連接追蹤模組 4.1單伺服器的防護 弄清對外服務物件 書寫規則 網路介面lo的處理 狀態監測的處理 協議+埠的處理 實例：一個普通的web伺服器 iptables -AINPUT -i lo -j ACCEPT iptables -AINPUT -p tcp -m multiport --dports 22,80 -j ACCEPT iptables -AINPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -PINPUT DROP 注意：確保規則順序正確，弄清邏輯關係，學會時刻使用-vnL 4.2如何做閘道 弄清網路拓撲 本機上網 設置nat 啟用路由轉發 地址偽裝SNAT/MASQUERADE 實例：ADSL撥號上網的拓撲 echo 1 /proc/sys/net/ipv4/ip_forward iptables -tnat -APOSTROUTING -s /24 -o ppp0 \ -j MASQUERADE 4.3如何限制內網用戶 過濾位置filer表FORWARD 鏈 匹配條件-s -d -p --s/dport 處理動作ACCEPT DROP 實例： iptables -AFORWARD -s -j DROP iptables -AFORWARD -m mac --mac-source 11:22:33:44:55:66 \ -j DROP iptables -AFORWARD -d -j DROP 4.4內網如何做對外伺服器 服務協定（TCP/UDP） 對外服務埠 內部伺服器私網IP 內部真正服務埠 實例： iptables -tnat -APREROUTING -i ppp0 -p tcp --dport 80 \ -j DNAT --to iptables -tnat -APREROUTING -i ppp0 -p tcp --dport 81 \ -j DNAT --to :80 4.5連接追蹤模組 為什麼要使用連接追蹤模組 FTP協議的傳輸原理 傳統防火牆的做法 如何使用 4.5.1 FTP協議傳輸原理 使用埠 command port data port 傳輸模式 主動模式（ACTIVE） 被動模式（PASSIVE） 4.5.1 FTP協議傳輸原理 主動模式 client server xxxx |----|----------|---|21 yyyy |---|----------|----|20 FW1 FW2 被動模式 client server xxxx |----|----------|---|21 yyyy |----|----------|---|zzzz FW1 FW2 4.5.2傳統防火牆的做法 只使用主動模式，打開TCP/20 防火牆打開高範圍埠 配置FTP服務，減小被動模式埠範圍 4.5.3如何使用連接追蹤模組 modprobe ip_nat_ftp iptables -AINPUT -p tcp --dport 21 -j ACCEPT iptables -AINPUT -m state --state \ RELATED,ESTABLISHED -j ACCEPT iptables -PINPUT DROP 5.網管策略 怕什麼 能做什麼 讓什麼vs不讓什麼 三大“紀律”五項“注意” 其他注意事項 5.1必加項 echo 1