iptables

最新推荐文章于 2024-08-18 15:10:43 发布
最新推荐文章于 2024-08-18 15:10:43 发布
阅读量958 收藏 22
点赞数 13
文章标签: 网络 php 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83693610/article/details/140274610
版权

linux防火墙:  iptables、netfilter

防火墙的类别:

     软件防火墙:iptables、ISA

     硬件防火墙:华为、思科

按防护墙作用范围分类:   主机防火墙  、网络防火墙

原理:根据数据包的源ip、目标ip、源port、目标端口、协议、状态、资源、内容,如果数据包符合预定的规定,则放行;如果不符合规则,则阻拦数据包。

tcp数据包:

数据包:   

  source port:源端口     destination :目标端口  sequence number :请求序号  

  acknoledgment number :应答序号       data offset :数据偏移量

状态标志位:

FIN:表示要断开连接 (如果是要请求断开的话,fin值是1,否则是0)

SYN:表示请求建立链接的包(如果是要请求链接的话,syn值是1,否则syn是0)

ACK:表示这个数据包是对于之前对方发送数据包的响应数据包(如果是响应数据包的话,那么ack的值为1,否则ack的值为0)

URP:紧急标志,当设置此位置时,数据的优先于其他数据的

PSH:推送标志,这个标志告诉应用程序立刻发送数据

PST:重置标志,重置tcp链接

主机直接的通信条件:

sip:源ip

dip:目标ip

smac:源mac地址

dmac:目标mac地址

sport:源端口

dport:目标端口

syn:0           fin:0          ack:1

iptables防火墙

作用:可以对进出的数据包,进行过滤,也可以实现地址、端口的转换

iptables的基本组成:

PREROUTING:在对数据包进行路径选择之前所应用的链(防火墙刚收到的数据包)

FORWARD:将数据包从一个网络转发到另一个网络的过程所应用的链

POSTROUTING:在数据包进行路径选择之后所应用的链

INPUT:对数据包的目标时防火墙的本身的情况下使用

OUPUT:对有防火墙的上层应用所产生的数据包应用的链

filter:过滤数据包   (三个链:INPUT、OUTPUT、FORWARD)

nat表:不能过滤数据包,仅仅修改数据包的IP的端口 (三个链:  OUTPUT、  PREROUTING、 POSTROUTING)

mangle表:不能过滤数据包也不能修改,仅仅修改数据包的报文,比如说修改ttl值 (五个值)ttl:每次转发ttl值减1,ttl值是0时就会从网络丢弃。

rawa表:决定是否对被追踪到状态进行处理.(两个链:PREOUTING、OUTPUT)

iptables的工作流程

数据包向后转发的时候会指定一个IP地址,路由选择不一定是基于IP做选择。

iptables应用:centos6和centes7中的防火不一样

centos6:防火就只有iptables
centos7:支持iptables和firewalld,默认用的firewalld

iptable、firewalld本质一样
在使用firewalld的时候,其实还是调用iptables来完成工作

禁用firewalld

centos7默认的防火墙软件是firewalld

#设置防火墙永久关闭【下次启动系统的时候,firewalld不启动】

[root@localhost ~]# systemctl disable  firewalld

#立刻关闭防火墙     [root@localhost ~]# systemctl stop firewalld

确认启动情况

出现disabled 表示下次开机的时候,防火墙不会自动启动;出现inactive(dead) 表示防火墙已经关闭了。

安装iptables

安装组件:iptables-services

组件作用:实现iptables的管理操作,例如启动、关闭、重启等

[root@localhost ~]# yum install iptables-services -y

启动防火墙:

[root@localhost ~]# systemctl start iptables

设置防火墙开机自动启动:

[root@localhost ~]# systemctl enable iptables

查看防火墙的状态:

出现enables 表示防火墙是开机自己启动,出现active 表示防火墙在运行。

防火墙的常规操作

iptables命令

格式:  iptables  【-t  表名】  COMMAND  链名       【规则序号】

说明:

如果表名省略,则默认时对filter进行操作。

COMMAND:是要执行的命令,包括添加规则、删除规则、替换规则、修改规则。

如果规则序号省略,那么通常是对最后一个进行操作。

匹配条件:是对什么样的数据包进行过滤

执行的操作:是匹配到数据包如何处理,比如放行、阻止。

iptables相关命令(COMMAND)

-A:   链名:在指定的链中追加规则(末尾追加)
-L(大写i) 链名 【num】:在指定的链中插入规则(默认首部插入)
-D 链名 【num】:删除指定的链中的规则(默认是删除最后一个)
-R 链名 【num】:替换规则
-F 链名:清除链中的规则,如果不指定链名,则删除整个表的全部的链的规则
-N:自定义一个新链
-X;删除自定义的链(必须是空链)
-P  链名: 修改一个链的默认规则
-L:显示iptables中的规则列表
                -n:以数字方式显示(如果不加-n会将数字反解为服务名,往往速度特变缓慢)
                -v:显示规则的详细信息,包括每个规则所匹配到的数据包数量
               --line:在显示规则的时候,在规则的前面显示一个序号
-t  表名:指定查看哪个表中的规则【默认是查看filter】
-j:

执行的操作做:  ACCEPT :放行        DROP:丢弃                 REJECT:认为数据包危险,告诉客户数据包危险没放行,并且丢弃数据包           SNAT:源地址转换             DNAT:目标地址转换

案例1:查看filter表中规则:    iptables   -L   -n  --line   -t    filter

案例2:清楚nat表中的规则:iptables   -t   nat     -F

案例3:保存防火墙规则:  service   iptables   save 

    通用匹配:  -s:匹配数据包的源IP       -d:匹配数据包的目标IP                 -i:匹配数据包是从哪个网卡进入的               -o:匹配数据包是从哪个网卡发出的

案例:     禁止1.1.1.1访问主机      iptables  -t  filter  -A INPUT  -S  1.1.1.1  -j   DROP

   允许1.1.1.2访问主机              iptables  -t   filter  -A  INPUT  -s  1.1.1.2  -j   ACCEPT

删除filter中的第一条规则:   iptables  -t  filter  -D  INPUT  1

禁止别人通过ens37网卡来访问           iptables   -t   filter   -A  INPUT  -i    ENS37   -j   ACCEPT

允许别人通过ens33网卡来访问                 iptables -t filter -A INPUT -i ens33 -j ACCEPT

禁止主机访问192.168.0.116            iptables   -t   filter   -A  OUTPUT  -d  192.168.6.116  -j   DROP

允许主机访问192.168.6.11    iptables   -t   filter   -A   OUTPUT   -d   192.168.6.116   -j    ACCEPT

扩展匹配

tcp扩展:-p: 指定数据包中协议类型(tcp、udp、icmp)

-p  tcp--sport:指定源端口                      -p tcp--dport:指定目标端口

-p tcp--tcp-flag  列表1   列表2:列表1指定要检查的标志位,列表2指定列表1中必须为1的标志位,如果列表1中有,但列表2中没有,那么这个标志位必须为0

例子:将数据包源IP为1.1.1.1,协议类型为tcp,目标端口为22的数据包放行

iptables  -t  -A INPUT  -s 1.1.1.1 -p tcp  --dport 22  -j  ACCEPT

例子:将数据包源IP为1.1.1.1,三次握手的第一次的数据包丢弃

iptables  -t  filter  -A INPUT -s  1.1.1.1 -p tcp --tcp-flag ack,fin,syn syn -j DROP

iptables  -t  filter  -A OUTPUT -s 1.1.1.1 -p tcp --tcp-flag ack,fin,syn syn,ack -j DROP

icmp的扩展

例子:将客户端IP为1.1.1.1的主机所发送的ping包丢弃

iptables  -t filter -A INPUT -s 1.1.1.1 -p icmp -j DROP

ping的命令使用的是icmp协议

格式:-p icmp

-p icmp --icmp-type X           ping的请求包的类型8,ping的响应的类型0

案例:禁止让物理机ping虚拟机,但是虚拟机可以ping物理机

iptables -t filter -A INPUT -s 192.168.6.116 -p icmp--type 8 -j DROP
#禁止物理机ping虚拟机

iptables -t filter -A OUTPUT -s 192.168.6.116 -p icmp --icmp-type 0 -j ACCEPT
#允许6.116主机发送ping包
显示扩展

状态扩展

匹配处于各种状态的数据包

格式:

-m state --state 状态

状态的表示方式:

NEW:表示新的链接请求(可以是三次握手的第一次,也可以是ping的第一次)

ESTABLISHED:表示请求链接的相应,链接建立完成的数据包

案例:实现防止木马基于80端口进行反弹式链接

 

第一步: iptables -t filter -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
第二步: iptables -t filter -A OUTPUT -p tcp --sport 80 -m state --state NEW -j DROP
第三步: iptables -t filter -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

2401_83693610
关注
  • 13
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPTABLES
weixin_42171644的博客
01-26 3110
IPTABLES题目IspSrvRouterSrv 题目 服务器 IspSrv 工作任务 IPTABLES 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全的前提下,最小限度放行流量通信; 放行 ICMP 流量。 服务器 RouterSrv 上的工作任务 IPTABLES 添加必要的网络地址转换规则,使内部客户端能够访问外部网络; 添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务; 修改 INPUT 和 FORWARD 链默
iptables详解
魏志标的博客
06-26 6948
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
0问题提问
qq1274214057的博客
08-14 737
条件构造器PRC远程过程调用、springcloud,dubbo+zookeeper抽象类????抽象类和普通类的区别?抽象类使用 abstract 关键字定义,不能被实例化,只能作为其他类的父类。普通类可以直接实例化。抽象类可以包含抽象方法和非抽象方法。抽象方法没有方法体,必须由子类实现。普通类只能包含非抽象方法。你们项目中有没有用到什么设计模式?ThreadLocal是什么?线程本地变量。
【应用】 Flask 和 WebSockets 开发实时聊天应用程序
CITYDATA
08-14 205
您应该会看到消息实时显示在所有连接的客户端上。实时聊天应用程序越来越受欢迎,因为它们提供即时通信和引人入胜的用户体验。构建更高级的实时应用程序奠定坚实的基础。预祝您编码愉快,抓紧看看小编的其他文章吧,说不定还有更多的启发。以上是一些常规的基本功能,让我们继续扩展此应用程序,添加私人消息、聊天室和用户身份验证等高级功能。连接提供双向通信通道,实现客户端和服务器之间的实时交互。让我们通过添加对聊天室的支持来增强聊天应用程序。使用用户身份验证增强您的聊天应用程序。使用私人消息功能增强您的应用程序。
网络硬盘录像机NVR解決方案:海思3520D模组与全面的NVR方案支持
Lnton羚通科技
08-16 603
通过深度优化的协议解析,保证了摄像头与NVR之间的数据传输稳定高效,避免了常见的兼容性问题。我们基于Hisi海思平台的NVR方案,凭借其卓越的ONVIF兼容性、强大的系统性能和丰富的功能模块,在激烈的市场竞争中脱颖而出。功能全面性:相较于一些针对特定市场的NVR产品,我们的方案涵盖了从基本的录像与回放,到复杂的告警与系统管理等多种功能,能够满足不同用户的多样化需求。我们基于Hisi海思平台推出的NVR全套方案,凭借其强大的兼容性、丰富的功能模块,以及出色的系统稳定性,为用户提供了一站式的安防解决方案。
Connection reset by peer报错解决
m0_65307735的博客
08-16 313
Connection reset by peer报错解决
WebSocket 实现:注解与原生方式对比
qq_51321722的博客
08-14 755
WebSocket 作为一种在单个长连接上进行全双工、双向通信的协议,已经成为现代Web应用中实现实时通信的重要技术。本文将探讨如何使用注解和原生方式来实现 WebSocket,并对这两种方法进行比较。
真实故障案例-网页缓慢(打不开网页,测试公网连通性又是通的)mtu/mss
Fe_smoothly的博客
08-16 687
mtu mss上网的网段无法打开网页,登录QQ,ping域名都正常,dns解析正常。
思科RIP动态路由配置3
2302_76730689的博客
08-14 674
路由信息协议(Routing Information Protocol,RIP)是应用较早、使用较普遍的动态路由协议,也是内部网关协议,由于RIP以跳数作为衡量路径的开销,且规定最大跳数为15,因此RIP在实际应用中是有一定限制的,通常适用于中小型的企业网络。Router-A(config-router)#network 网段!#9查看Switch-A、Router-A、Router-B的路由表。#3配置Router-A的名称及其接口IP地址。#7在Router-A上配置动态RIP。
计算机网络面试题汇总
Blocking The Sky
08-14 909
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。它的出现,是为了避免身份被篡改冒充的。比如Https的数字证书,就是为了避免公钥被中间人冒充篡改。数字证书构成公钥和个人等信息,经过Hash摘要算法加密,形成消息摘要;将消息摘要拿到拥有公信力的认证中心(CA),用它的私钥对消息摘要加密,形成数字签名。公钥和个人信息、数字签名共同构成数字证书。
网络网络基础概念&&背景&&TCP/IP 五层模型&&跨网络传输详解
最新发布
m0_74722801的博客
08-18 635
网络网络基础概念&&背景&&TCP/IP 五层模型&&跨网络传输详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值