0x01 前言

我的服务器在家里,其中一台虚拟机作为DMZ主机,我并没有打开过多的端口。有时候又不想通过VPN连接家里的服务器,这时候就需要通过SSH或RDP连接。

如果使用默认的SSH和RDP端口进行通讯,这将会引发安全问题,那通过iptables对端口和流量进行管理就变得无比重要。

0x02 禁止与放行

我的使用环境对安全的要求并不是很严格,我直接将进站的所有数据包设为全部丢弃,对需要使用的端口逐一放行。

在此之前需要先检查iptables的状态与目前所存有的规则。无论是centos7还是之前的版本,都可以使用service进行启动与关闭:

#iptables 未启动的状态
[[email protected] ~]# service iptables status
Redirecting to /bin/systemctl status  iptables.service
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)

#iptables 启动的状态
[[email protected] ~]# service iptables status
Redirecting to /bin/systemctl status  iptables.service
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: active (exited) since 五 2016-08-12 21:33:16 CST; 4s ago
  Process: 2802 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 2802 (code=exited, status=0/SUCCESS)

8月 12 21:33:16 test.t.com systemd[1]: Starting IPv4 firewall with iptables...
8月 12 21:33:16 test.t.com iptables.init[2802]: iptables: Applying firewall rules: [  OK  ]
8月 12 21:33:16 test.t.com systemd[1]: Started IPv4 firewall with iptables.

将iptables设为开机启动并立即启动iptables:

#将iptables 设为开机启动
[[email protected] ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

#立即启动iptables
[[email protected] ~]# systemctl start iptables

检查iptables现有的规则:

[[email protected] ~]# iptables -L -vn --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
#此条规则意为对已存在的连接的数据包作放行处理
1      294 20768 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
#此条规则意为对icmp数据包作放行处理
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
#此条规则意为对内部lo数据包作放行处理           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
#此条规则意为对SSH默认的TCP协议,端口22的数据包作放行处理           
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
#如果入站数据包不符合以上任何一条规则,则返还host prohibited信息给源主机。
5        8  1846 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 160 packets, 25600 bytes)
num   pkts bytes target     prot opt in     out     source               destination

在将入站数据包默认规则修改为丢弃之前,请确认你的SSH端口在放行规则之列。否则你将失去对系统的连接:

[[email protected] ~]# iptables -P INPUT DROP 
[[email protected] ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

[[email protected] ~]# iptables -L -vn --line-number
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      553 41713 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5       26  6040 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 56 packets, 6736 bytes)
num   pkts bytes target     prot opt in     out     source               destination

从上面两端代码高亮处可看出,默认的规则已经从ACCEPT修改为DROP。接下来需要将默认的两段reject-with icmp-host-prohibited删掉。

#删掉INPUT链中第5行的规则
[[email protected] ~]# iptables -D INPUT 5

#删掉FORWARD链中第1行的规则
[[email protected] ~]# iptables -D FORWARD 1

#保存修改
[[email protected] ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

#查看现有规则
[[email protected] ~]# iptables -L -vn --line-number
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      986 67722 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 25 packets, 2568 bytes)
num   pkts bytes target     prot opt in     out     source               destination

#重启iptables
[[email protected] ~]# service iptables restart

如果想开放某个端口或对某个IP开放某个端口,可以参考:

# -A INPUT 将规则附加到INPUT链中
# -s [ip] 源主机ip
# -d [ip] 目标主机ip
# -p 协议,可以是tcp或udp
# --dport 目标端口
# -j 规则
# 下面这段的意思是:对源主机ip为10.1.1.0/24发送到主机192.168.1.0/24:8443的数据包作放行处理
[[email protected] ~]# iptables -A INPUT -s 10.1.1.0/24 -d 192.168.1.0/24 -p tcp --dport 8443 -j ACCEPT

#如果不需要使用那么详细的设置,也可以用下面的命令
[[email protected] ~]# iptables -A INPUT -p tcp --dport 8443 -j ACCEPT

添加规则后如果不保存,在使用service iptables restart重启iptables服务后,未保存的规则将会被抹掉。如果想保存新加入的iptables规则,可使用如下命令:

#保存iptables
[[email protected] ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

#重启iptables服务
[[email protected] ~]# service iptables reload
Redirecting to /bin/systemctl reload  iptables.service

0x03 转发

如果接触过VPN服务器,那么下面的命令你肯定了解:

iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o eth0 -j MASQUERADE

因为VPN客户端所获的的IP是服务器分配的内网IP,那么只需要使用POSTROUTING进行源地址转换,而MASQUERADE则可以自动获取eth0网卡的IP,自动将10.10.1.0/24这个网段的IP进行SNAT。

如果像我的使用环境:外网–>[8443]DMZ(10.1.1.12)–>[22]Server1(10.1.1.16),就需要下面这两条规则:

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8443 -j DNAT --to-destination 10.1.1.16:22

iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 22 -j SNAT --to-source 10.1.1.12

因为我是处于DMZ主机外,不但要使用第一条规则将8443端口的数据包转发到10.1.1.16:22,还要将从10.1.1.1:22返还的数据包通过8443端口发出去。

0x04 结语

确实是有点复杂,但慢慢理解,也是能消化的。

源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据

上面的流程图说明了转发的过程。在VPN环境中,用户是处于路由规则之内,所以只需要用POSTROUTING;而在外网访问内网时,用户处于路由规则之外,就需要使用PREROUTING进行地址转换。