防火墙篇--iptables

最新推荐文章于 2023-11-29 23:18:32 发布
最新推荐文章于 2023-11-29 23:18:32 发布
阅读量514 收藏
点赞数 3
分类专栏: Linux系统管理篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cpureman/article/details/107736174
版权

文章目录

前言:

iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全

Liunx包过滤防火墙概述:

Netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”
  • 是干活的,负责是放过还是不放过

iptables

  • 位于/sbin/ipatbles,用来管理防火墙规则的工具
  • 称为Linux防火墙的“用户态”

包过滤的工作层次

  • 主要是网络层,针对IP数据包
  • 体现在对包内的IP地址,端口等信息的处理上
  • 防火墙直接控制着端口–服务,IP,协议
  • 对应着一些协议:TCP和UDP
    在这里插入图片描述

iptables的表,链结构

规则链:

  • 链就是规则的集合,不同的场景会读到不同的链
  • 规则的作用:对数据包进行过滤或处理
  • 链的作用:容纳各种防火墙规则
  • 链的分类依据:处理数据包的不同时机

默认包括5种规则链

  • INPUT:处理入站数据包,进防火墙的时候会读INPUT链
  • OUTPUT:处理出战数据包,出防火墙的时候会读OUTPUT链
  • FORWARD:处理转发数据包,中间的过程是FORWARD链去处理,尽量做在INPUT链上
  • POSTROUTING链:在进行路由选择后处理数据包;从内向外会查路由表;将源地址转换为外网地址出去
  • PREROUTING链:在进行路由选择前处理数据包;PREROUTING先把目标IP转换为私有IP在查询路由表进行数据转发
    规则表:
  • 表当中包含着不同种的链
  • 表的作用:容纳各种规则链
  • 表的划分依据:防火墙规则的作用相似

默认包括4个规则表

  • raw表:确定是否对该数据包进行状态跟踪
  • mangle表:为数据包设置标记;mangle打标签,raw表去识别标签,追踪状态
  • nat表:修改数据包中的源,目标IP地址或端口nat表和fileter是用的最多的表
  • filter表:确定是否放行该数据包(过滤);防火墙的默认表filter,核心的表
    在这里插入图片描述

数据包过滤的匹配流程:

规则表之间的顺序:

  • raw–>mangel–>nat–>filter
    规则链之间的顺序
  • 入站:PREROUTING–>INPUT
  • 出站:OUTPUT–>POSTROUTING
  • 转发:PREROUTING–>FORWARD–>POSTROUTING
    规则链内的匹配顺序
  • 按顺序依次检查,匹配即停止(LOG策略例外)
  • 若找不到相匹配的规则,则按该链的默认策略处理
    在这里插入图片描述
    ●匹配流程示意图:
    在这里插入图片描述

iptables安装:

关闭firewalld防火墙:

[root@promote ~]# systemctl stop firewalld.service
[root@promote ~]# systemctl disable firewalld.service

安装iptables防火墙

[root@promote ~]# yum -y install iptables iptables-services

设置iptables开机启动

[root@promote ~]# systemctl start iptables.service
[root@promote ~]# systemctl enable iptables.service

iptables的基本语法:

  • 语法结构:iptables [-t表名] 选项 [链名] [条件] [-j 控制类型]
  • -I是在条目首部插入;-A是尾部插入
[root@promote ~]# iptables -t filter -I INPUT -p icmp -j REJECT

对ICMP协议拒绝
在这里插入图片描述
注意事项:

  • 不指定表明时,默认指filter表
  • 不指定链名时,默认指表内的所有链
  • 除非设置链的默认策略,否则必须指定匹配条件
  • 选项,链名,控制类型使用大写字母,其余均为小写

数据包的常见控制类型:

  • ACCEPT:允许通过
  • DROP:直接丢弃,不给任何回应
  • REJECT:拒绝通过,必要时会给提示
  • LOG:记录日志信息,然后传给下一条规则继续匹配

iptables的管理选项:

添加新的规则:

  • -A:在链的末尾追加一条规则
  • -I:在链的开头(或指定序号)插入一条规则
    举例:
[root@promote ~]# iptables -I INPUT -p udp -j ACCEPT    ##允许UDP协议通过
[root@promote ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT    ##允许TCP协议通过
[root@promote ~]# iptables -I INPUT 2 -p icmp -j ACCEPT    ##在第二条当中允许TCP协议通过

查看规则列表:

  • -L:列出所有的规则条目
  • -n:以数字形式显示地址,端口等信息
  • -v:以更详细的方式显示规则信息
  • –line-numbers:查看规则时,显示规则序号
    在这里插入图片描述
    删除,清空规则:
  • -D:删除链内指定序号(或内容)的一条规则
  • -F:清空所有的规则
    举例:
    我们想清空TCP53
    在这里插入图片描述
    使用命令:
    [root@promote ~]# iptables -D INPUT 3 删除INPUT第三行的内容
    再次查看发现内容被删除
    在这里插入图片描述

不加-t直接 -F清空的是默认filter表的内容

[root@promote ~]# iptables -F

清空指定列表要加 -t 表名称

[root@promote ~]# iptables -t nat -F    ##清空nat表

设置默认策略
-P:为指定的链设置默认规则清空所有默认策略
要么是ACCEPT要么是DROP表的所有链

[root@promote ~]# iptables -filter -P FORWARD DROP
[root@promote ~]# iptables -P OUTPUT ACCEPT
  • 常用管理选项汇总:
    在这里插入图片描述

规则的匹配条件:

通用匹配:
可直接使用,不依赖于其他条件或扩展
包括网络协议,IP地址,网络接口等条件
隐含匹配:
要求以特定的协议匹配作为前提
包括端口,TCP标记,ICMP类型等条件
显示匹配:

  • 要求以“-m 扩展模块”的形式明确指出类型
  • 包括多端口,MAC地址,IP范围,数据包状态等条件

常见的通用匹配条件:

  • 协议匹配:-p 协议名
  • 地址匹配:-s 源地址,-d目的地址
  • 接口匹配:-i入站网卡,-o出站网卡
[root@promote ~]# iptables -I INPUT -p icmp -j DROP

INPUT链路中icmp协议直接被拒绝

[root@promote ~]# iptables -A FORWARD ! -p icmp -j ACCEPT

除了icmp协议以外其他的所有协议都放通

举例:

[root@promote ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP   ##16.0网段私网地址全部被拒绝
[root@promote ~]# iptables -A INPUT -i ens33 -s 10.0.0.0/8 -j DROP     ##10.0公网地址全部被拒绝
[root@promote ~]# iptables -A INPUT -i ens33 172.16.0.0/12 -j DROP  ##172网段全部被丢弃

端口是跟着数据流向决定的
在这里插入图片描述
常用的隐含匹配条件端口匹配:

  • –sport源端口,–dport目的端口
  • ICMP类型匹配:–icmp-type ICMP类型
[root@promote ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
##在转发链中源地址为4.0端口,协议为UDP协议,53端口允许通过;也就是DNS的服务功能允许通过;DNS端口号为53
[root@promote ~]# iptables -A INPUT -p tcp --dport 20:21 -j ##ACCEPTftp服务允许通过

常用的显示匹配条件

  • 多端口匹配:
    -m multiport --sports 源端口列表
    -m multiport --dports 目的端口列表
  • IP范围匹配:-m iprange --src-range IP范围
  • MAC地址匹配:-m mac --mac-source MAC地址
  • 状态匹配: -m state --state 连接状态
    常用管理选项汇总:
    在这里插入图片描述

SNAT策略概述:

SNAT策略的典型应用环境:
SNAT策略主机共享单个公网IP地址接入Internet
SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包源地址
前提条件:

  • 局域网各主机正确设置IP地址/子网掩码
  • 局域网各主机正确设置默认网关地址
  • Linux网关支持IP路由转发

SNAT策略实验

实验环境:

  • 准备三台虚拟机;三台虚拟机都是绑定VMnet1仅主机模式
  • 192.168.100.10作为内部主机
  • 中间虚拟机配置双网卡作为防火墙
  • 12.0.0.10作为外部主机

推荐步骤:
防火墙主机配置:
1.先将作为防火墙的那台虚拟机配置内网的网关
在这里插入图片描述
2.另一个网卡配置作为外部主机的网关
在这里插入图片描述
3.修改完后,要重启网卡,再用命令查看网卡信息
在这里插入图片描述
4.配置数据转发功能;修改配置文件/etc/sysctl.conf
在这里插入图片描述
让他生效
在这里插入图片描述
5.清空防火墙规则,因为马上要自己配置
在这里插入图片描述
客户端配置:
1.配置内部虚拟机的IP地址为内部地址,配置完后要重启网卡
在这里插入图片描述
2. 这时Ping一下防火墙主机看是否ping通
在这里插入图片描述
外网主机配置:
1.安装httpd服务,并启用服务,这边服务之前已经安装好了,只需启用就可以了
在这里插入图片描述
2.关闭防火墙功能,和临时防护功能
在这里插入图片描述
3.绑定仅主机模式网卡
在这里插入图片描述
4.返回的内网主机在网站上访问来自外网的apache服务
在这里插入图片描述
5.返回外网主机查看日志文件,发现有内网访问服务的记录
在这里插入图片描述
6.防火墙主机配置防火墙规则:配置指定NAT表,在首部插入postrouting链,指向源地址192.168.100.10,指定外网出口ens37,将地址解析为12.0.0.1
在这里插入图片描述
7.在返回的外网主机查看日志文件发现,来访的地址发生变化
在这里插入图片描述

DNAT策略概述:

DNAT策略的典型应用环境:
在Internat中发布位于企业局域网内的服务器
DNAT策略的原理:
目标地址转换修改数据包的目标地址

DNAT策略实验

1.在内部虚拟机中启动阿帕奇服务;在防火墙主机配置将目标地址12.0.0.1地址做转换,指定TCP协议,指向80端口
在这里插入图片描述
2.返回到外网主机发现可以访问来自内网的apache服务
在这里插入图片描述

防火墙规则的备份和还原:

  • 将iptables规则保存到文件中进行备份:
    iptables-save > /路径/名称

  • 重新加载备份文件中的iptables规则:
    iptables-restore < 备份文件的完整路径

长大要当太空人
关注
专栏目录
2021全国职业技能大赛-网络安全赛题解析———防火墙iptables(超详细)
Aluxian_的博客
10-26 1万+
2021全国职业技能大赛-网络安全赛题解析———防火墙模块A防火墙的基本规则操作什么是防火墙iptables):有问题私信博主 模块A防火墙的基本规则操作 什么是防火墙iptables): IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这
iptables 用法总结
h721510279812的专栏
09-03 777
一、iptables IP和mac绑定 方法一:iptables iptables -A FORWARD -s 10.10.0.2 -m mac --mac-source 00:10:4b:15:16:6c -j ACCEPT   就将 10.10.0.2 与其MAC地址绑定了 方法二:arp  1 .建立 /etc/ether 文本文件(文件名可以任取),其中包含正确的IP/MAC对应
论文研究-iptables防火墙技术研究及实现 .pdf
08-21
iptables防火墙技术研究及实现,丁健,杨建良,计算机网络的迅速发展给人类社会带来了前所未有的飞跃,极大的提高了工作效率,丰富了人们的精神生活,而与此同时也带来了一个日
防火墙 iptables的使用
最新发布
X2683933654的博客
11-29 569
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙
宝塔linux数据存在哪里,云服务器宝塔修改将默认数据保存路径到数据盘
weixin_36212212的博客
05-12 1615
因为windows系统可视化管理,大家基本都知道不能把重要的数据保存到C盘里,否者重装系统,数据必然会丢失。对于centos系统,很多新手不太懂的保存路径的问题,特别是安装了宝塔这个管理软件,默认会将数据全部保存到系统盘上。因为一旦系统重装,数据必然丢失。如何修改将默认数据保存路径到数据盘 。讲这个问题之前请确认你已经挂载好了数据盘。如果是按教程挂载的,宝塔首页会显示有个数据库 /web存在的。默...
iptables 防火墙
weixin_55614692的博客
07-06 169
防火墙netfilter/iptables 一、Linux防火墙基础1.1 ptables的表、链结构1.1.1 Linux包过滤防火墙概述 1.2 数据包控制的匹配流程1.2.1 四表1.2.2 五链1.2.3 四表五链总结1.2.4 规则链之间的匹配顺序1.2.5 规则链内的匹配顺序∶ 二、编写防火墙规则准备工作:2.1 基本语法、控制类型2.1.1 iptables防火墙的配置方法∶2.1.2 iptables 命令行配置方法∶2.1.3 常用的控制类型∶2.1.4 常用的管理选..
iptables防火墙详解
虎哥LoveDroid
02-16 1963
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptables 是 Linux 管理防火墙规则的命令行工具,处于用户空间。
Linux学习整理-网络防火墙iptables-实践1
weixin_45776100的博客
01-19 1189
iptables的语法及用法 192.168.0.0/24 访问用机器(Centos) --------------------- iptables设定机器(Ubuntu) 192.168.0.211 192.168.0.203 2
linux防暴力白名单怎么添加,Linux防火墙--iptables--白名单配置
weixin_28879085的博客
05-06 696
1.服务器22端口和1521端口开通给指定IP[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0...
Linux防火墙--iptables(一)基础
Ghost_02的博客
07-30 480
一.iptables 简介       iptables防火墙是由Netfilter项目开发的,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、指定策略过滤等。而iptables使用Netfilter框架进行过滤。Netfilter本身不对数据包进行过滤---它只是允许可以过滤数据包的函数挂接到内核的位置。 二.iptables的过滤策略      iptables策...
防火墙系列(四)-----iptables防火墙规则
驻足
04-20 726
推一波我的博客 Marsguest’s Blog 防火墙系列(四)—–iptables防火墙规则 关于iptables iptables是集成在linux下的包过滤防火墙,这个防火墙是免费的,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables仅仅是linux下防火墙的管理工具,防火墙功能的具体实现是netfilter ,它是Linux内核中实现包过滤的内部结构。 ...
IPTABLES进阶
不再疯要傻
07-21 752
主要讲述iptables模块,由于iptables模块太多,所以只能慢慢补充,用到哪个加哪个 ========================================================================================================== iptables -A INPUT [-m state] [--模块参数 状态]
iptables命令
m0_57730097的博客
12-06 1492
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定链 iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定链 iptables -D 链名 规则序号 删除指定规则 iptables -I...
宝塔面板关键目录解析
吴大锤的专栏
10-17 2824
/www/ ├── backup ---------------------------------------->宝塔面板的备份文件目录 │ ├── database------------------------------------>宝塔面板的数据库备份目录 │ ├── panel---------------------------------...
iptable 规则之mac
caoshunxin01的专栏
02-23 1747
这里(http://en.wikipedia.org/wiki/Mac_address)有关于MAC地址的一些信息。      1、阻止MAC地址为XX:XX:XX:XX:XX:XX主机的所有通信: iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP 2、允许MAC地址为XX:XX:XX:XX:XX:XX主
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables 深度详解
weixin_38859100的博客
04-21 2224
iptables 是 Linux 中比较底层的网络服务,它控制了 Linux 系统中的网络操作,在 CentOS 中的 firewalld 和 Ubuntu 中的 ufw 都是在 iptables 之上构建的,只为了简化 iptables 的操作,因此,对于学习了解 iptables 对我们了解 firewalld 和 ufw 的工作机制都是很有益处,当然,这里提一句,firewalld 和 uf...
iptables 防火墙命令解析
chichooyy的博客
03-02 2433
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
iptables限定只能连接指定的IP和MAC
jshagw的博客
05-28 3771
操作系统 CentOS6.4 x86_64 iptables限定只能连接指定的IP和MAC的目标是:主机连接外面的设备时,要指定IP和MAC,防止外面入侵交换机,将包转发到另外一台不同MAC的设备。 首先要理解iptables的state四种状态 NEW,ESTABLISHED,RELATED,INVALID。 NEW状态:主机连接目标主机,在目标主机上看到的第一个想要连接的包 ESTABLI...
Ubuntu 16.04 LTS服务器iptables防火墙配置指南
5. **保存并启用规则**:使用iptables-save命令保存配置,然后用iptables-restore命令载入规则,使之生效。 6. **自动加载规则**:为了使防火墙在系统启动时自动加载规则,需要修改sysconfig/iptables文件或创建一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值