iptables学习笔记

于 2022-08-09 22:03:05 发布
阅读量377 收藏 1
点赞数
分类专栏: Linux 文章标签: 学习 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dream_lei/article/details/126256598
版权

Iptables防火墙

1.防火墙的种类及使用说明

  • 硬件防火墙
    • 三层路由:华为/H3C/Cisco,公司使用H3C SecPath F1000-AK125ACG1000-AK230应用网关作为防火墙
    • 深信服
    • Juniper
  • 软件防火墙
    • iptables
    • firewalld
  • 云防火墙
    • 阿里云:安全组

2.必须熟悉的名词

  • 容器:瓶子,罐子,存放东西
  • 表(table):存放的容器
  • 链(chain):存放规则的容器
  • 规则(policy):准许或拒绝规则
Netfilter表(table)链(chains)规则(policy)
一栋楼楼里的房子房子里的柜子柜子里的物品

3.iptables执行过程

3.1 工作流程

  1. 防火墙是层层过滤的,实际是按照配置贵的的顺序从上到下,从前到后进行过滤的.

  2. 如果匹配上规则,即明确表示是阻止还是通过,数据包就不在向下匹配新的规则

  3. 如果规则中没有明确表示是阻止还是通过,也就是没有匹配规则,向下进行匹配,直到匹配**默认规则**得到明确的组织还是通过.

  4. 防火墙的**默认规则所有规则执行完才执行的**

3.2 表与链

  • iptables是 4 表 伍 链

  • 4表: filter表 nat表 raw表 mangle表

3.2.1 表的说明

一.filter表

  • 防火墙:屏蔽或准许端口/ip
filter表强调:主要和主机自身有关,真正负责主机防火墙功能的(过滤流入流出主机的数据包)
filter表是iptables默认使用的表,这个表定义了三个链(chains) 工作场景:企业主机防火墙
INPUT负责过滤所有目标地址是本地地址的数据包,通俗的说:就是过滤进入主机的数据包
FORWORD负责转发流进记住的数据包.器转发的作用,和NAT关系很大,LVS NAT模式,net.ipv4.ip_foreword=0
OUTPUT处理所有源地址是本机地址的数据包,即从主机发出去的数据包

二.nat表

  • 实现nat功能
    • 实现共享上网(内网服务器上外网)
    • 端口映射
    • ip映射
nat表
OUTPUT和主机发出去的数据包有关,改变主机发出数据包的目的地址
PREROUTING
POSTROUTING

4.安装iptables

4.1停止并禁用firewalld自启动

[root@k8s-02 ~]# systemctl stop firewalld
[root@k8s-02 ~]# systemctl list-unit-files | grep firewalld
firewalld.service                             enabled #可以看到是开机自启
[root@k8s-02 ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

4.2安装iptables-services

[root@k8s-02 ~]# yum install -y iptables-services #安装
[root@k8s-02 ~]# systemctl start iptables	#启动
[root@k8s-02 ~]# systemctl enable iptables	#自启
[root@k8s-02 ~]# iptables -nL #看一下规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

5.使用iptables

5.1 iptables命令参数

参数含义
-L显示表中的所有规则
-n不要把端口或ip反向解析为域名
-t指定表 --不指定默认是filter表
-Aappend追加准许ACCEPT 一般是加入准许类规则使用
-Ddelete 删除 -D INPUT 1
-Iinsert拒绝的规则放在最上面
参数含义
-pprotocal协议 tcp/udp/icmp/all
dport目标端口
–sport源端口
-s–source 源IP 指定端口需要加上-p 协议
-d–destination 目标IP
-m指定模块 (多个端口multiport)
-i输入的时候从哪个网卡进入
-o输出的时候从哪个网卡出去
参数含义
-j满足条件后的动作:DROP/ACCEPT/REJECT
参数含义
-F清除所有规则,不会处理默认的规则
-X删除所有用户自定义的链
-Z链的计数器清零(数据包计数器与数据包字节计算器)

5.2配置filter表规则

  • 清空所有配置
[root@k8s-01 local]# iptables -F
[root@k8s-01 local]# iptables -X
[root@k8s-01 local]# iptables -Z
[root@k8s-01 local]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
  • 允许访问22端口
root@iptables ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • 禁止某个IP访问
[root@iptables ~]# iptables -I INPUT -s 172.20.20.18 -j DROP #设置规则
[root@iptables ~]# iptables -nL	#查看
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  172.20.20.18         0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@iptables ~]# iptables -D INPUT 1 #删除
[root@iptables ~]# iptables -nL	#再次查看
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
  • 开放/禁止多个端口
[root@iptables ~]# iptables -I INPUT -p tcp -m multiport --dport 1024:1026 -j ACCEPT #开放1024-1028端口
[root@iptables ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 1024:1026
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

  • 禁止ping

    • 内核操作(临时)
    [root@iptables ~]# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all	#禁止
[root@iptables ~]# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all 	#允许
    • 内核操作(永久)
    echo net.ipv4.icmp_echo_ignore_all=1 >/etc/sysctl.conf	#禁止
echo net.ipv4.icmp_echo_ignore_all=0 >/etc/sysctl.conf	#允许
    • iptables操作
    iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP		#丢弃
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j REJECT	#拒绝

  • 限制并发及速率

-m limit限制模块

-m linit --limit 10/minute #限制每分钟只能有十个数据包,每6秒生成一个

–limit-burst[n]在同一时间内允许通过的请求"n"为数字,不指定默认为5

-m limit --limit 10/minute --limit-burst 5
  • 防火墙规则的保存与恢复

保存:iptables-save 默认输出到屏幕 iptables-save >/etc/sysconfig/iptables写入到配置文件

恢复:iptables-restore </etc/sysconfig/iptables,或者重启iptables服务

5.3 nat表配置

  • 查看nat表
[root@iptables ~]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@iptables ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
  • 配置
[root@iptables ~]# iptables -t nat -A POSTROUTING -s 172.20.20.0/24 -j SNAT --to-srouce 10.0.0.1
# -s 172.20.20.0/24 需要转换的地址   --to-srouce 10.0.0.1 转换成的地址
[root@iptables ~]# echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf #开启内核的转发
[root@iptables ~]# sysctl -p #重新载入
net.ipv4.ip_forward = 1
Dream_lei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1104
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
iptables的基础学习笔记
迷逝
04-28 1917
iptables的基础学习 前言 在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptablesiptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 iptables 简介 什么是iptablesiptables 是 Linu
防火墙iptables规则配置
jc的博客
08-25 454
文章目录1. 概述:2. iptables规则:3. iptable安装与命令:3.1 安装:3.1 命令格式:3.2 常用选项:3.3 常见控制类型:4 规则匹配类型:4.1 通用匹配:4.2 隐含匹配:5 SNAT与DNAT5.1 SNAT5.2 DNAT6 防火墙备份与还原6.1 导出(备份)防火墙规则6.2 导入(还原)规则 1. 概述: 分类: 硬件防火墙:思科ASA,H3C的Se...
iptables大概工作流程
风风羊
06-05 1523
基本步骤如下: 1. 数据包到达网络接口,比如 eth0。 2. 进入 raw 表的 PREROUTING 链,这个链的作用是赶在连接跟踪之前处理数据包。 3. 如果进行了连接跟踪,在此处理。 4. 进入 mangle 表的 PREROUTING 链,在此可以修改数据包,比如 TOS 等。 5. 进入 nat 表的 PREROUTING 链,可以在此做DNAT,但不要做过滤。 6. 决定路由,看是...
iptables详解
shujuliu818的专栏
07-07 2万+
文章主要对iptables四表五链,以及iptables应用场景做了详细描述
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 #### 数据包流向顺序 数据包在通过iptables的不同链和表时,遵循特定的顺序。了解这一流程对于正确配置iptables至关重要,因为它有助于理解数据包是如何被处理、过滤或修改的。 -...
iptables的基本使用
liuxe1990的博客
05-02 752
防火墙:一道保护性安全屏障,起到隔离公网,保护内网
iptables 处理流程
weixin_34293141的博客
06-30 121
参考文档: http://linux-ip.net/nf/nfk-traversal.pdf http://lingxiankong.github.io/blog/2013/11/19/iptables-in-neutron/ 转载于:https://www.cnblogs.com/gaozhengwei/p/7098015.html...
linux iptables 命令简介
whatday的专栏
01-02 2185
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
Iptables工作原理使用详解
weixin_30279751的博客
08-01 376
Iptables防火墙简介Iptables名词和术语Iptables工作流程基本语法Filter参数说明NAT表:Icmp协议TCP FLAG 标记什么是状态检测iptables的状态检测是如何工作的iptables 自定义链实例Iptables防火墙简介Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工...
iptables 防火墙
weixin_43357497的博客
08-16 996
iptables 1. 防火墙种类及使用说明 硬件 华为 华三 深信服 软件 iptables firewalld 云防火墙 阿里云:安全组(默认的是白名单,防火墙规则是拒绝) 2. 必须熟悉的名词 容器:瓶子 存放东西 表(table):存放链的容器 链(chain):存放规则的容器 规则(poliy) :准许或拒绝规则 ACCEPT DROP 3. iptables执行过程 工作流程 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下从前到后进行过滤的。 如果匹配上规则,明
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
iptables源代码分析之主流程分析
脚踏实地,不断突破自我,每天有收获就OK
12-07 4901
由于我们只关注ipv4. 看程序的流程就是要从主线开始看起。 目录结构我 libiptc:iptables控制层代码 iptablesiptables主体代码 extensions:iptables扩展代码,一般是xtables_register_matches函数注册被初始化的struct xtables_match结构体 我执行的iptables命令是 iptables ...
服务器安全之iptables iptables
linuxlsq的博客
09-21 3464
服务器安全之iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值