Linux iptables防火墙服务 | 知识讲解 | 超详细(一)

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量936 收藏 2
点赞数 1
文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dark_Tk/article/details/114942792
版权

iptables服务

➤前述:

linux 系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfulter和iptables组成主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理

➤netfilter/iptables的关系

➤netfilter:属于"内核态" 的防火墙功能体系,是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
➤iptables:属于"用户态"的防火墙功能体系,是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录
➤netfilter/iptables 后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw,mangle,nat和filter 四个规则表,表中所有规则配置后,立即生效,不需要重启服务
在这里插入图片描述

➤四表五链

➤四表:

raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT PREROUTING
mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT.OUTPUT.FORWARD.PREROUTINGPOS.TROUTING
nat表:负责网络地址转换,用来修改数据源包中的源、目标IP地址或端口。包含三个规则链,OUTPUT.PREROUTINGPOS.TROUTING
filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT.FORWARD.OUTPUT

➤五链

INPUT链——处理入站数据包,匹配目标IP为本机的数据包
OUTPUT链——处理出站数据包,一般不在此链上做配置
FORWARD链——转发数据包时匹配流经本机的数据包
PREROUTING链——在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT,相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
POSTROUTING链——在进行路由选择后处理数据包,用来修改源地址,用来做SNAT,相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

➤总结:表里有链,链里有规则

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
在iptable 的四个规则标准,mangle表和raw表的应用相对较少
在这里插入图片描述

➤数据包到达防火墙时,规则表之间的优先顺序:

raw > mangle > nat > filter

➤规则链之间的配置顺序

➤主机型防火墙
入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING>INPUT>本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序>OUTPUT>POSTROUTING
➤网络型防火墙
转发数据(需要经过防火墙转发的数据包):PREROUTING>FORWARD>POSTROUTING

➤规则链内的匹配顺序:

自上向下按顺序依次进行检查,找到匹相配的规则即停止<LOG策略例外,表示记录相关日志>
若在该链内找不到相匹配的规则,则按该链默认策略处理(未修改的状况下,默认策略未允许)

➤ iptables 命令行配置方法

➤iptables的安装

centos7默认使用firewalld防火墙,没有安装iptables. 需要关闭firewalld.

systemctl stop firewalld
systemctl disable firewalld.service
yum -y install iptables iptables-services
systemctl start iptables

➤命令格式:

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

➤参数说明

不指定表名时,默认指filter表
不指定链名时,默认指定表内所有链
除非设置链的默认策略,否则必须指定匹配条件
控制类型使用大写字母,其余均为小写

常用的管理选项:
-A: 在指定链的末尾追加一条新的规则
-I: 在指定链的开头中插入一条新的规则
-R: 修改替换指定链中的某一条规则
-P: 设置指定链的默认策略
-D: 删除指定链的策略
-F: 清空指定链的所有策略
-L: 列出指定链中所有规则
-j:  执行目标
-p: 协议
-n: 使用数字形式显示输出结果[如显示IP地址而不是主机名]
-v: 显示详细信息,包括每条规则的匹配包数量和匹配字节数
--line-numbers: 查看规则时,显示规则的序号

常用的控制类型:
ACCEPT:允许数据包通过
DROP: 直接丢弃数据包
REJECT: 拒绝数据包通过
DNAT :修改数据包的目的地址
SNAT :修改数据包的源地址
MASQUERADE :伪装成一个非固定公网IP地址
LOG: 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

►实例

►查看规则列表

iptables [-t 表名] -n -L [链名] [--line-numbers]
iptables -[vn]L  #不能写成-Ln
iptables -n -L --line-numbers

在这里插入图片描述

►添加新的规则

iptables -t filter -A INPUT -p icmp -j REJECT
如不指定表则默认时filter表

在这里插入图片描述
#禁止ping通 ,过滤入站所有icmp的数据包,就是不让icmp协议的数据包通过

iptables -I INPUT -p tcp --dport 22 -j DROP
拒绝TCP的22的目的端口

在这里插入图片描述
在这里插入图片描述
登陆本机查看结果

►在第二行增加一条规则
iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT

在这里插入图片描述

►删除第一条规则[从下网上删]
iptables -D INPUT 1
在这里插入图片描述

iptables -D INPUT -p icmp -j REJECT

若规则列表中有多余相同的规则,按内容匹配只删除的序列号最小的

►设置默认策略
iptables [-t 表名] -P <链名> <控制类型>

iptables -P INPUT DROP

在这里插入图片描述

►清空规则
iptables [-t 表名] -F [链名]

iptables -F INPUT

在这里插入图片描述

1.-F仅仅是清空链中的规则,并不影响-P设置的默认规则,默认规则需要是手进行修改
2.-P设置了DROP后,使用-F一定要注意,推荐先增加一条放通22
3.如果不写表名和链名,默认清空filter表中所有链里的所有规则

➤规则的匹配条件

1.通用匹配

可直接使用,不依赖于其他的条件按或扩展,包括网络协议、IP地址、网络接口等条件
协议匹配 -p 协议名
地址匹配 -s 源地址、-d 目的地址
接口匹配 -i 入站网卡、-o 出站网卡

iptables -A FORWARD ! -p icmp -j ACCEPT #除了icmp协议,其他所有都可以转发
iptables -A INPUT -s 192.168.78.22 -j DROP  #来自192.168.78.22 的入站数据包直接丢弃
iptables -I INPUT -i ens33 -s 192.168.78.0/24 -j DROP  #来自192.168.78.0网段的网卡的入站数据包直接丢弃

在这里插入图片描述

2.隐含匹配

要求以特定的协议匹配作为前提[包括端口、TCP标记、ICMP类型等条件]
端口匹配:–sport 源端口 --dport目的端口
--sport 100 指定
--sport 100:200 指定100~200
--sport :100 100以下
--sport 100: 100以上

iptables -A INPUT -p tcp --dport 1:5 -j ACCEPT #行尾添加入站数据包类型为tcp协议前往端口1到5的数据可以通过

在这里插入图片描述

  1. TCP标记匹配
--tcp-flags TCP标记

iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT #插入一条入站网卡为tcp数据包标记为 syn,rst,ack中的 syn数据可以通过

在这里插入图片描述

  1. ICMP类型匹配
--icmp-type ICMP类型[可以是字符串及数字代码]
Echo-Request[请求] 代码为8
Echo-Reply[回显] 代码为0
Destination-Unreachable[目标不可达] 代码为3

iptables -A INPUT -p icmp -j REJECT

iptables -I INPUT -p icmp --icmp-type 8 -j DROP # 禁止其他主机Ping 本机
iptables -I INPUT -p icmp --icmp-type 0 -j ACCEPT #允许本机Ping 其他主机
iptables -I INPUT -p icmp --icmp-type 3 -j ACCEPT #当本机ping不通其他主机显示不可达

server1:
在这里插入图片描述
在这里插入图片描述

server2:
在这里插入图片描述

在这里插入图片描述

  1. 显示匹配
要求以-m模块模式的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配
-m multiport --sport 源端口列表
-m mulitiport --dport 目的端口列表

注意:
ftp : 20(数据端口) 21(控制端口)
ssh :22
DNS: 53
apache-tomcat:8080

iptables -A INPUT -p tcp -m multiport --dport 8080,22,21,20 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

在这里插入图片描述

6.IP范围匹配

-m iprange --src-range IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.xxx.xxx-192.168.xxx.xxx -j DROP
iptables -A FORWARD -p udp -m iprange --dst-range 192.168.1.xxx-192.168.1.xxx -j DROP

7.MAC地址匹配

-m mac --mac-source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

8.状态匹配

-m state --state 连接状态
常见的连接状态
NEW 与任何连接无关的,还没开始连接
ESTABLISHED 响应请求或者已创建连接的
RELATED 衍生的已有连接
INVALID 不能被识别属于哪个连接或没有任何状态

iptables -A FORWARD -m state --state ESTABLISHED;RELATED -p -tcp ! --syn -j DROP
半世情`半世醉¹³¹⁴
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux防火墙iptables用法
二进制君
08-12 37
在早期的 Linux 系统中,默认使用的是iptables配置防火墙。尽管新型 的firewalld防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。考虑到 iptables 在当前生产环境中还具有顽强的生命力,我觉得还是有必要再好好地讲解一下这项技术。iptablesLinux 防火墙工作在用户空间的管理工具,是IP 信息包过滤系统是一部分,用来设置、维护和检查 Linux 内核的 IP 数据包过滤规则。filterinputoutput和。
iptables指令逻辑详解
Cherishhere的博客
03-11 554
前言:本文主要讲解iptables的基本概念,工作处理流程,配置指令 一、基本概念 iptables用以进行网络防火墙,具体概念由表(table)、链(Chain)、规则构成。一个iptables包含多个表,一个表包含多条链、一条链包含多条规则,每条规则包含一个匹配项和数据包处理动作。iptables包含filter、nat、mangle、raw四张表,其中filter表最常用,链一共有...
iptables详解【11】: 网络防火墙
focus_lyh的博客
10-24 344
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 阅读这篇文章需要站在前文的基础之上,如果在阅读时遇到障碍,请回顾前文。 我们一起来回顾一下之前的知识,在第一篇介绍iptables的文章中,我们就描述过防火墙的概念,我们说过,防火墙从逻辑上讲,可以分为主机防火墙与网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙: 往往处于网络入口或边缘,针对于网络入口进行防护,服务
Linux安全防火墙iptables)配置策略
最新发布
qq_53058639的博客
06-01 1899
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
linuxiptables讲解
weixin_33859231的博客
04-20 104
iptables(netfilter网络过滤器)iptableslinux上特有的防火墙机制,功能非常强大。CentOS默认是没有iptables规则。iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。常用选项:iptables -nvL 查看规则(-n为数字显示输出的ip地址和端口 -v 为可视化显示 -L为列出所有的规则)iptables -F   清除规则(f...
iptable详解
weixin_34303897的博客
11-23 250
查看iptables状态-重启 iptables 所在目录 /etc/sysconfig/iptables service iptables status 查看iptables状态 service iptables restart iptables服务重启 service iptables stop iptables服务禁用 启动iptables ...
2-7-配置iptables防火墙增加服务器安全
weixin_30346033的博客
05-16 227
本节所讲内容: • iptables常见概念 • iptables服务器安装及相关配置文件 • 实战:iptables使用方法 • 例1:使用iptables防火墙保护公司web服务器 • 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 • 例3:限制某些IP地址访问服务器...
linux防火墙简单介绍(iptablesiptables.service、firewalld)
紫薯的博客
10-02 806
对于第一次学习linux防火墙的同学来说,各种名词可能会把自己脑袋搞晕,不清楚各个名词之前的关系,我就是如此。网上的资料有很多但是很杂很乱,新出来的ChatGPT比百度好用多了,我在这里进行归纳整理,帮助初学者更好的理解,以下演示环境为centos7。 防火墙主要分为硬件防火墙和软件防火墙,硬件防护墙是专门设计的一台主机,其中的操作系统主要以提供数据包数据的过滤机制为主,将其他不必要的功能拿掉,因此数据包过滤的效率最佳。本文讲解软件防火墙,硬件防护墙这里不讨论。
iptables 防火墙(一)| 四表/五链、数据包匹配流程、编写 iptables 规则
开源世界
06-23 1020
一名致力于在技术道路上的终身学习者、实践者、分享者,一位忙起来又偶尔偷懒的原创博主,一个偶尔无聊又偶尔幽默的少年。 一、Linux 防火墙基础 Linux防火墙主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,典型的包过滤防火墙,基于内核编码实现,具有非常稳定的性能和高效率。 iptables:用来管理 Linux 防火墙的命令程序,位于/sbin/iptables目录下,属于用户空间的防火墙管理体系。 netfilter:Linux 内核中实现包过滤防火墙的内部结构,一般不以程序或文件的形式存在
linux iptables 防火墙快速入门教程
12-28
该演示ppt详细讲解了如何正确配置linuxiptables防火墙及附有一有实例讲解.让初学者更易掌握iptables的应用.
Linux防火墙——iptables之SNAT与DNAT详细讲解
橘子的博客
05-11 552
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
iptables-服务
看驴生豪迈,不过从头再来
06-09 551
文章目录iptables help iptables help [root@localhost ~]# iptables --help iptables v1.4.7 Usage: iptables -[ACD] chain rule-specification [options] iptables -I chain [rulenum] rule-specification [op...
linux的iptable和iptabes-services一些使用方法
weixin_44207346的博客
03-16 900
分类----------功能 ----------------- 作用链---------------------------------参数。DNAT--------目标地址转换------进口PREROUTING-----------------to-destination。SNAT--------源地址转换---------出口POSTROUTING---------------to-source。4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。
Linux iptables防火墙服务 | 知识讲解 | 详细(二)
Dark_Tk的博客
03-19 219
➤SNAT原理与应用: ➤SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) ➤SNAT原理 修改数据包的源地址 ➤SNAT转换前提条件: 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启IP路由转发 ➤NAT配置设置: 临时配置 1.echo 1 > /proc/sys/net/ipv4/ip_forward 2.sysctl -w net.ipv4.ip_forward=1 永久打开: vim /et
Linuxiptables服务详解
无糖可乐没有灵魂
06-29 1615
iptables中,-J选项用于指定应该执行哪个目标(target)动作,允许用户定义自己的目标动作。
linux 配置iptables
qq_43560721的博客
08-11 444
安装iptablesiptables-services yum install -y iptables yum install iptables-services y 停止firewalld服务 systemctl stop firewalld systemctl mask firewalld 配置并保存规则 iptables -A INPUT -p tcp --dport 端口号 -j ACCEPT service iptables save...
Linuxiptables服务
Wk_yyy的博客
02-28 454
一、iptables的认识 1、iptables和firewalld一样,都是一种动态控制防火墙的工具,通过设定一系列的策略从而保证在与其他主机进行数据传输时系统的安全性。 2、iptables具有filter、nat、mangle、raw四种内建表,各个表中又有内建链,有各自不同的功能。 二、iptables常用内建表 1、filter表:filter表示iptables的默
有图的iptables解释
雷电一号
04-03 184
主要参考:https://blog.csdn.net/wlzx120/article/details/52300774,取精华凭想象补充图形和部分说明。 原理 5个位置 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入/离开本机的内网接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值