服务器配置札记五(iptables)

暴露在外网的服务器面临很大的安全隐患，因此应该加强安全防护。iptables和selinux是我目前所知的能够显著加强安全系统措施，下面说的是配置iptables。

前面所说的nis和nfs服务配置都是在selinux和iptables关闭的情形下才能成功，如果启用了selinux和iptables，可能需要额外的配置。

查看selinux状态： getenforce

查看iptables状态： service iptables status

更改selinux的状态可以编辑/etc/sysconfig/selinux文件。如果selinux已经启用，可以使用setenforce来改变临时状态。由于selinux是与系统集成的，在未启用的情形下是不能使用setenforce来改变的状态的。此时需要编辑/etc/sysconfig/selinux文件，然后重启来启动selinux。

iptables是作为系统服务，启用和停止方法和其他服务类似。iptables顾名思义应该是管理数据包的，其中对系统影响最大的当属进入系统的包。iptables使用表、链、规则的结构对包或者报文进行管理。常用的表示filter(过滤器)，内置了INPUT,OUTPUT,FORWARD三条链。实际中只操作过filter这个表，下面内容只针对这张表。

使用iptables -L可以查看当前系统的过滤规则。永久性的规则保存在/etc/sysconfig/iptables文件里。文件架构如下：

*filter                                     <==iptables表名，即下面内容属于表filter

:INPUT ACCEPT [0:0]                          <== INPUT链的策略，默认是接受(即没有匹配规则就允许数据包通过)

:OUTPUT ACCEPT[0:0]                     <==OUTPUT链的策略，默认是接受

:FORWARD ACCEPT[0:0]

-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

….

这是文件中的结构示例。参数的含义可以使用iptables -h查看。常用的参数有：

-A  append的缩写： 将这条规则追加到链的末端。注意链的匹配是顺序进行的，有时候顺序就很重要。同理-D则是删除，-I插入到链的顶部，-R是替换，-F则是移除所有规则。

-m match的缩写：匹配状态，协议，地址等

-p procotol的缩写：包的协议,常用的是tcp和udp。icmp则是主机和路由之间的协议。

-P policy的缩写：链的规则，常用有ACCEPT,DROP,REJECT。:INPUT ACCEPT [0:0]即链的策略为接受。

-i interface的缩写：包流经的网口，包括lo,eth0,eth1等。

-s source的缩写：包的来源，ip地址或者主机名，则–sport指定包的端口

-d destination的缩写：包的去向，ip地址或主机名， –dport指定包的端口

-j jump的缩写：指定如果符合条件处理包的规则，常用为ACCEPT,DROP和REJECT。

配置实例：

1. 清除所有规则： iptables -F

2. 查看当前规则：iptables -L。这时候可以看到三张表都是空的，默认规则都是接受。还好默认规则是接受，否则ssh服务都将在iptables -F这个命令后就失去响应。

3. 允许ssh的包经过： iptables -A INPUT -p tcp –dport 22 -j ACCEPT

4. 允许内部链路通过： iptables -A INPUT -i lo -j ACCEPT

5. 允许主机和路由通信的icmp协议通过： iptables -A INPUT -p icmp -j ACCEPT

6.允许已建立连接或者相关的包通过： iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

1. 允许192.168.1.0、24网段的包进入：iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

2. 拒绝其他所有包: iptables -A INPUT -j REJECT –reject-with icmp-host prohibited

其中–reject-with 指示拒绝类型为主机禁止，如果不指定类型则默认为主机不可达。

由于对外只开放了22端口，如果主机上有ftp,web等服务将无法在192.168.1.0/24之外的网段访问。如果sshd监听多端口，可以测试也将无法连接。

由于INPUT链的策略默认是接受，为了主机安全应当只让受信任的主机或者指定端口接入。在链的最后添加iptables -A INPUT -j REJECT是一个很好的选择。但是应当谨记规则是逐条匹配的，对于INPUT链来说这条规则应该在最后。INPUT链中位于这条规则之后的追加规则都将失效。因为这个顺序问题在配置的时候可是郁闷了很多天，血淋淋的教训啊。当初天真的认为把规则写在COMMIT之前就能生效，默认的规则都没动，导致了悲剧的发生。

按照如此配置，将NIS和NFS的服务固定端口，然后开放端口即可。如果信任，可以直接允许24网段直接访问即可。