Linux实践工程师学习笔记二十三

网络安全

防火墙的作用：过虑两个网络之间的数据包

Linux内核的Netfilter

进出数据包，以及发送到本机的数据包都要经过内核的处理

INPUT链用来过滤进入本机的数据包

OUTPUT链用来过滤从本机发送出去的数据包

FORWARD链用来过滤从本机路由出去的数据包

一个数据包的头部包括源地址、源端口、目的地址、目的端口、协议类型

包过滤正是根据这些特征来过滤数据包

Linux 下通过在三个链中设置规则来过滤

包的处理方式

#iptables -A INPUT -p icmp -j DROP   将进入本机，协议类型为icmp的数据包丢弃。

       -A    添加规则

       INPUT 对INPUT链进行操作

       -p    协议类型

       -j     指定动作，可以是ACCEPT(接收),LOG(日志),REJECT(弹回)

#iptables -L -n        显示三条链的过滤规则

       -L    显示所有链的所有规则

       -n    以数字形式显示

#iptables -F     清空所有链的所有规则

每个包进入本机时都被INPUT链检查

出去时经过OUTPUT链检查

转发时经过FORWARD检查

TCP/IP是双向通信的，所以添加规则时必须注意使INPUT链和OUTPUT链的规则对应。

       -D   rulenum   删除第几条规则

       -I     rulenum   在第几条前插入规则

       -P    修改链的默认策略，如默认状态ACCEPT，默认情况下数据包的处理方式

       -s    源地址 -m     匹配扩展条件

       -d    目的地址       -t     维护的表，默认为filter,另外还有一个nat表

       --line-numbers              规则中显示编号

#iptables -L -n --line-numbers       这样方便删除指定行编号的规则或在指定编号前插入

拒绝所有连接到本机21端口的所有连接

#iptables -A INPUT -P tcp -d 192.168.0.22 --dport 22 -j DROP

       --dport    目的端口

       --sport    源端口

在实际使用过程中服务器还不够严密，还存在被利用的弱点。如22端口，为防止没有请求过的包，在本机主动发送出去，需要检查包的状态。看包是否是人家请求过我，而我回应别人的。Linux的防火墙支持状态匹配检查。

#iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

       -m   匹配状态，上面表示跟本机连接过的包才能从22端口出去

如果正在使用ssh远程管理服务器，不要将第一条的22端口规则删掉，等添加完上面这条规则，才能把存在弱点的第一条删除，否则远程管理会立刻断掉。

80端口也同样设置

#iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

防止服务器在80端口主动发送请求，防止病毒利用。添加完后，删除OUTPUT中以前添加的那条80端口规则。

假设自己是ssh客户机，访问别人的ssh服务器，先经过OUTPUT链出去

#iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

当包回就，从对方22端口，如果对方有病毒，可能会使用22端口发送请求，所以只接受已建立连接的数据包。

#iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

#service iptables save     保存劳动成果

现在防火墙算配好了，不仅非常严密，还非常有效，有效防止别人攻击你的服务器的各种服务，可防止主动型的病毒或木马攻击。

LOG目标

过滤包的检查机制，可以指定某种要求的包写入日志中。

#iptables -A INPUT -p tcp --dport 22 -j LOG --log-level 5 --log-prefix “IPTABLES:”

       -j LOG    记录日志

       --log-level 5    写入日志时需指定级别，与日志服务器配合使用

       --log-prefix “IPTABLES:”      指定写入日志时，记录的前缀字符，主要方便用户分析日志。

添加LOG目标规则时，保证规则前同样的包没有被丢弃或接受，即要注意添加规则的次序。

编缉日志配置文件/etc/syslog.conf 添加：

kern.=notice          /var/log/firewall.log

(消息来源内核kern，级别notice),将内核这个级别消息，记录到firewall.log文件中，等号表示刚好等于这个级别的消息。为什么是notice?因为我们曾经用man syslog知道消息的默认级别notice为5，与LOG目标一致。

注意：日志级别5要跟syslog.conf中的级别一致，级别可通过syslog的manual帮助获得。

#service syslog restart

#tail /var/log/firewall.log

注意将前面在/etc/syslog.conf文件添加过的

*.*          @192.168.0.22

那行删除，还要将/etc/sysconfig/syslog文件中，那行还原为：

SYSLOGD_OPTIONS=”-m 0”

不管哪个服务，修改过配置文件，要立刻生效，必须重启服务。