iptables入门:邮件服务器简单防护

原创
运维 系统运维
如果你刚刚学习了iptables的原理和基本语法,但还不清楚在线上服务器环境中如何实际的利用这个工具,那么建议阅读本文。iptables一般有两种工作模式,一种用作NAT路由器,一种作为主机防火墙。本文我们会介绍一个简单的邮件服务器主机防护脚本。

本文针对iptables初学者。如果你刚刚学习了iptables的原理和基本语法,但还不清楚在线上服务器环境中如何实际的利用这个工具,那么建议阅读本文。

iptables的两种主要工作模式

对于iptables的数据包而言,有以下几个流向:

PREROUTING→FORWARD→POSTROUTING

PREROUTING→INPUT→本机→OUTPUT→POSTROUTING

大家可以留意下,数据包的主要两种流向(其实也是我们后面iptables的两种工作模式):一是做为NAT路由器,另一种是做为主机防火墙。

iptables数据流入和流出详细流程建议参考下图:

图  iptables数据包流入和流出详细流程图

图  iptables数据包流入和流出详细流程图

iptables根据不同的数据包处理功能使用不同的规则表。它包括如下三个表:filter、nat和mangle。

  • filter是默认的表,它包含真正的防火墙过滤规则。内建的规则链包括:INPUT、OUTPUT和FORWARD。
  • nat表包含源和目的地址及端口转换使用的规则,内建的规则链包括PREROUTING、OUTPUT和POSTROUTING。
  • mangle表包含用于设置特殊的数据包路由标志的规则,这些标志随后被filter表中的规则检查。内建的规则链包括:PREROUTING、INPUT、FORWARD、POSTROUTING和OUTPUT。

表对应的相关规则链的功能如下:

  • INPUT链:当一个数据包由内核中的路由计算确定为本地的Linux系统后,它会通过INPUT链的检查。             
  • OUTPUT链:保留给系统自身生成的数据包。
  • FORWARD链:经过Linux系统路由的数据包(即当iptables防火墙用于连接两个网络时,两个网络之间的数据包必须流经该防火墙)。
  • PREROUTING链:用于修改目的地地址(DNAT)。
  • POSTROUTING链:用于修改源地址(SNAT)。

iptables详细语法如下所示:

iptables [-t表名] <-A| I |D |R > 链名[规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网][--sport 源端口号] [-d 目标IP地址 | 目标子网][--dport 目标端口号] <-j 动作> 

注:此语法规则详细,逻辑清晰,推荐以此公式记忆。我们在刚开始写iptables规则时就应该养成好习惯,用公式来规范脚本,这对于我们的以后工作大有帮助。

这一节我们通过编写一个简单的用于邮件主机防护iptables脚本来熟悉iptables语法规则。网络拓朴很简单,iptables本身机器IP为:192.168.1.101/24,另一台机器的IP为:192.168.1.102。

普通的邮件主机防护脚本

普通的邮件主机防护脚本比较容易实现。邮件主机主要开放二个端口:80和25,其他端口则关闭,另外由于这里没有涉及多少功能,所以模块的载入也很简单,只涉及Filter表,而且脚本的初始化也很简单。

我们可以按照编写iptables的流程顺序来写脚本,脚本内容如下:

(注:此服务器置于自己的机房内,所以没有开放22端口,调试时直接进机房调试。如果远程操作,需要打开22端口。)

#/bin/bash
iptables -F
iptables -X
iptables -Z
 
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
 
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 
 
iptables -A INPUT -p tcp -m multiport --dports 25,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

说明一下:

前面三条可以将iptables初始化。

modprobe这段是手动加载模块的过程。一般如果用 service iptables start 来启动iptables,会加载很多不必要的模块,所以这里我们采用手动加载的方式。ip_conntrack模块在平时的测试学习环境可以开启,方便追踪数据包的流向。不过,生产环境下我不建议大家开启此模块,以免加重服务器的负载。

默认规则下方的两条用于开启系统回环端口,以免造成不必要的麻烦。具体是什么样的麻烦?大家可以先想一想,文末会给出解答。

最后一条是允许RELATED和ESTABLISHED状态的连接通过iptables。为什么要这样设置,也会在文末解答。

iptables脚本开启后,我们可以用命令查看一下结果,如下所示:

iptables -nv -L

此命令显示结果如下:

Chain INPUT (policy DROP 13539 packets, 763K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  480 32744 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 25,80 
   13  1411 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 
Chain OUTPUT (policy ACCEPT 472 packets, 52779 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0   

这时80和25之外的端口就被iptables成功隐蔽了。比如我们尝试在另一台机器上nmap扫描这台服务器:

nmap -sT 192.168.1.101

此命令显示结果如下:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-05-25 00:46 CST
Interesting ports on 192.168.1.101:
Not shown: 1678 filtered ports
PORT   STATE SERVICE
25/tcp open  ssh
80/tcp open  http
MAC Address: 00:E0:62:12:7B:65 (Host Engineering)
 
Nmap finished: 1 IP address (1 host up) scanned in 37.721 seconds

看到这个结果说明iptables生效了。

另外,对刚刚学习iptables的朋友提供一个建议。一开始玩iptables很容易犯的一个错误就是把自己锁在服务器外面了。针对这种情况,我们可以编写一个crontab计划任务,每5分钟关闭一次防火墙,等完全调试完后再关闭此crontab任务:

vim /etc/crontab
*/5 * * * * /etc/init.d/iptables stop

以上只是初级的防护脚本。至于其它的SYN和Ping及其它攻击,等大家熟悉了解其原理后,可以在此脚本的基础上添加。

以下是上文中两个问题的解答:

一、为什么要打开系统回环接口?

Linux系统默认会有一块名为lo的环回网络接口,而真正的网卡一般则被Linux系统识别成名为eth0, eth1这样的网络接口。

一般,lo接口对应的ip地址为127.0.0.1。

当你从一台linux主机向自身发送数据包时,实际上的数据包是通过虚拟的lo接口来发送接受的,而不会通过你的物理网卡eth0/eth1。

如果lo接口被墙,会发生ping/telnet/ssh本机(本机域名、localhost和127.0.0.1)不通的情况,会给调试带来一些麻烦。

二、为什么要设置RELATED、ESTABLISHED状态检测?

相对于纯IP过滤,状态防火墙更加智能,效率更高。这个比较适合FTP服务器。有关iptables的状态机制,可参阅这篇文章:http://os.51cto.com/art/201108/285209.htm

【编辑推荐】

  1. 深入浅出Netfilter/iptables防火墙框架(基础篇)
  2. 深入浅出Netfilter/iptables防火墙框架(入门篇)
  3. iptables实战系列:公共网络服务防火墙
责任编辑:yangsai 来源: 51CTO.com
相关推荐

2015-08-04 10:16:13

U-Mail邮件系统

2012-02-23 23:46:26

2009-09-02 14:23:19

邮件服务器性

2009-09-01 11:18:26

邮件服务器

2014-09-29 16:52:00

2009-09-02 14:34:42

邮件服务器

2009-09-02 14:27:29

邮件服务器

2009-09-02 14:01:50

邮件服务器

2009-09-02 14:43:26

邮件服务器

2011-01-20 10:08:25

postfix安装

2011-07-08 14:24:49

邮件服务器U-Mail

2011-03-22 09:07:13

Nagios监控Linux

2015-08-25 15:34:51

2009-09-02 17:25:02

邮件服务器

2010-06-02 16:48:49

postfix邮件服务

2011-02-21 14:12:15

Postfix服务器安装

2009-09-08 13:48:13

NFS服务器

2009-09-17 16:06:18

2010-12-21 18:18:52

2010-08-04 09:39:09

点赞
收藏

51CTO技术栈公众号