Linux iptables防火墙配置(语法介绍、两实例配置全过程)

最新推荐文章于 2024-10-11 00:14:59 发布
最新推荐文章于 2024-10-11 00:14:59 发布
阅读量1k 收藏 2
点赞数
分类专栏: 渗透测试
原文链接:http://ci.hfut.edu.cn/hdh/listm.htm
版权

目录

1、发展

2、策略分类 

3、原理 

4、命令用法及格式

5、实例

5.1 允许内部网络访问

5.2 主要完成的内网访问外网的ping, ftp(21,20),telnet(23)的服务,括号中为端口号。外网访问防火墙的相应服务。其中为了使内网网段,内外网卡等作为变量。将它们定义为变量,内网网卡IP为LAN_IP,外网网卡IP为:INET_IP,内网网段IP为LAN_RANGE,允许被访问的外网IP:OUTINET,允许访问防火墙的外网IP:ININET

1、发展

Linux2.0 的内核中开始集成了 Ipfwadm,Ipfwadm 通过三个规则栈: INPUT OUTPUT 、和 FORWARD 实现传统的数据包过滤技术。在 2.1 版本以后的 Linux 内核中 Ipfwadm 开始被 Ipchains 所代替, Ipchains Ipfwadm 相比具有两个优势:
在包过滤规则中可以明确定义多种协议,如, ICMP ,而不仅限于 TCP UDP
开发者增加了在几乎任何规则中使用否定的能力,如:可以通过声明一条规则“拒绝所有那些不是来自网络内部的外出数据包”来实现反欺骗。
2.3 版本的 Linux 内核开始, Linux 开发者开始致力于 Iptables 的工作, Iptables 主要针对商业环境下带状态检测的包过滤技术进行了增强。

2、策略分类 

Iptables防火墙中提供了3种策略规则表:FilterMangleNAT

  • FilterFilter表示专门过滤包的,内建三个链,可以对包进行DROPLOGACCEPTREJECT等操作。
  • Mangle:这个表主要用来修改数据包包头中的某些值。如:TTLTOSMARK
  • NATNAT表的主要用处是网络地址转换。

3、原理 

  1. 当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决定包的目标。
  2. 如果目标主机是本机,则如上图直接进入Input链,再由本地正在等待该包的进程接受。
  3. 否则,如果从以太网卡进来的包目标不是本机,再看是否内核允许转发,如果不允许则DROP掉,如果允许转发,则送出本机。
  4. Linux防火墙主机自身产生包,由OUTPUT链出

4、命令用法及格式

#iptables [-t table] command [match] [ target]

其中:

1[-t table]选项 [-t table]选项允许使用filternatmangle3种可用的表选项。该选项不是必须的,如果未指定,则filter用作缺省表。

(2)command命令 command命令是iptables中最重要的部分,它对指定了iptables命令的具体操作,例如,插入规则、将规则添加到规则链的末尾或删除规则。

常用参数:
-A 将一条或多条规则附加到链的末尾。
-P  用于设置规则链中缺省执行的策略,即所有与链中任何规则都不匹配的数据包将被强制使用此链的策略。
-F  用于快速删除规则,如果指定了链名,该命令删除链中的所有规则;如果未指定链名,该命令删除所有链中的所有链中所有规则

(3)match匹配 iptables命令中由 match部分指定数据包所应具有的特征(如源和目的地地址、协议等),用于和规则的匹配。

常用参数:
-i  指定本规则适用的进入/外出网络接口。通常有eth0、eth1、lo、ppp0等
-p 用于检查某些特定协议,包括TCP、UDP、ICMP,或者用逗号分隔的任意这3种协议的组合列表以及ALL ,可以使用!符号,表示不与该项匹配。
-s  用于匹配数据包的源主机名称、源IP地址或网络地址,可以使用!符号,表示不与该项匹配。
-d  用于匹配数据包的目的地主机名、目的地IP地址。该匹配还允许对某一范围内IP地址进行匹配,可以使用!符号,表示不与该项匹配。

(4)target目标选项  目标是规则中所指定的操作,与规则匹配的数据包将按照目标中定义的操作来执行。Match选项中必须使用大写的目标选项,如(ACCEPT、DROP、REJECT等。)
ACCEPT:允许这个数据包通过。
DROP: 丢弃这个数据包。
REFECT:删除通过的数据包,该目标的工作方式与DROP相同,但它和DROP的不同在于,REJECT不会在服务器和客户机上留下死套接字。

5、实例

5.1 允许内部网络访问

第一步,设置默认策略:
iptables –P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP
第二步,允许所有来自防火墙的网络流量进入Internet;激活SPI,允许任何相关的返回流量回到防火墙。
iptables –A INPUT –i eth0 –s  202.101.123.1 –d any/0  –j ACCEPT
iptables –A OUTPUT –m state --state  ESTABLISHED,
RELATED –j ACCEPT
第三步,实现内部网络接口和网络外部接口之间的数据转发;激活SPI
iptables –A FORWARD –i eth1 –o eth0 –s 172.16.0.0/16 –d any/0 –j ACCEPT
iptables –A FORWARD –m state --stae ESTABLISHED,RELATED –j ACCEPT

5.2 主要完成的内网访问外网的ping, ftp2120,telnet23的服务,括号中为端口号。外网访问防火墙的相应服务。其中为了使内网网段,内外网卡等作为变量。将它们定义为变量,内网网卡IPLAN_IP外网网卡IP为:INET_IP内网网段IPLAN_RANGE,允许被访问的外网IPOUTINET允许访问防火墙的外网IPININET

拓扑图如下:

配置步骤:
1)初始化脚本
#清除所有防火墙规则,相当于默认的禁止规则
iptables  –F 
iptables -P INPUT DROP  # 丢弃输入的包
iptables -P OUTPUT DROP  #丢弃输出的包

iptables -P FORWARD DROP  # 丢弃所有转发的包
iptables -A INPUT -i lo -j ACCEPT  #打开本次回环的输入
iptables -A OUTPUT -o lo -j ACCEPT  #打开本地回环的输出
iptables -A INPUT -i eth0 -j ACCEPT  #打开内网网卡的输入
iptables -A OUTPUT -o eth0 -j ACCEPT  #打开内网网卡的输出
iptables -t nat -A POSTROUTING  -s  192.168.10./24 -j SNAT --to  200.200.200.1
#将内网网段的ip地址改变为源地址为外网网卡的ip地址。相当于将内网的ip地址伪装为外网地址。


2)允许内网ping到外网机器
iptables -A FORWARD -i eth0 -p icmp -s 192.168.10.0/24 --icmp-type 8 -d any/0 -j ACCEPT 
iptables -A FORWARD -o eth0 -p icmp -s any/0 --icmp-type 0 -d 192.168.10.0/24 -j ACCEPT

3)允许外网ping到防火墙
iptables -A INPUT -i eth1 -p icmp -s any/0 --icmp-type 8 -d 200.200.200.1 -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -s 200.200.200.1 --icmp-type 0 -d amy/0 -j ACCEPT
exit 0

4)允许内网访问外网的telnet服务
iptables -A FORWARD -i eth0 -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp -s any/0 --sport 23 -d 192.168.10.0/24 --dport 1024:65535 -j ACCEPT

5)允许外网访问防火墙的telnet服务
iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d 200.200.200.1 --dport 23 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s 200.200.200.1 --sport 23 -d any/0 --dport 1024:65535 -j ACCEPT

6)允许内网访问外网的ftp服务
#ftp
#allow intranet ftp internet
OUTINET=$1
LAN_RANGE=$2
UNPPORTS=1024:65535
iptables -A FORWARD -o eth0 -p tcp -s $OUTINET --sport 21 -d $LAN_RANGE - -dport $UNPPORTS -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp -s $OUTINET --sport 20 -d $LAN_RANGE -- dport $UNPPORTS -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s $LAN_RANGE --sport $UNPPORTS -d $OUTINET - -dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s $LAN_RANGE --sport $UNPPORTS -d $OUTINET - -dport 20 -j ACCEPT
exit 0

6)允许内网访问外网的ftp服务
#ftp
#allow intranet ftp internet
OUTINET=$1
LAN_RANGE=$2
UNPPORTS=1024:65535
iptables -A FORWARD -o eth0 -p tcp -s $OUTINET --sport 21 -d $LAN_RANGE - -dport $UNPPORTS -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp -s $OUTINET --sport 20 -d $LAN_RANGE -- dport $UNPPORTS -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s $LAN_RANGE --sport $UNPPORTS -d $OUTINET - -dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -s $LAN_RANGE --sport $UNPPORTS -d $OUTINET - -dport 20 -j ACCEPT
exit 0

7)允许外网访问防火墙的ftp服务
#ftp
#allow internet ftp intranet
ININET=$1
INET_IP=$2
UNPPORTS=1024:65535
iptables -A INPUT -i eth1 -p tcp -s $ININET --sport $UNPPORTS -d $INET_IP --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s $ININET --sport $UNPPORTS -d $INET_IP - -dport 20 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s $INET_IP --sport 21 -d $ININET --dport $UNPPORTS -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp -s $INET_IP --sport 20 -d $ININET --dport $UNPPORTS -j ACCEPT
exit 0

转载自: 胡老师的PPT 《防火墙技术》

iptables防火墙配置
weixin_45948376的博客
11-23 6770
实验 iptables防火墙配置 实验的目的 熟悉防火墙的基本原理。 熟悉包过滤防火墙的测试。 实验内容 1)学习Linux防火墙的基本架构 2)学习IPtable的基本原理 3)学习IPtable的使用方法 实验环境 1)虚拟机:Linux主机 2)宿主机:Windows客户端 实验原理 防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防
Linux命令详解:iptables 命令
morgan363的专栏
03-27 1345
iptables 是组成 Linux 平台下的包过滤防火墙,与大多数的 Linux 软件一样,这个包过滤防火墙是免费的,它可以替代昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常 Linux 运维工作中,经常会设置 iptables 防火墙规则,用来加固服务安全。
linux防火墙配置实例,Linux防火墙配置实例.doc
weixin_29526767的博客
05-12 164
Linux防火墙配置实例我们该如何利用Linux操作系统自带的防火墙来提高网络的管理控制功能呢?具体的来说,我们可以分三步走。一是先在Linux服务器上开一个后门,这个后门是专门给我们网络管理员管理服务器用的。二是把所有的进站、出站、转发站接口都关闭,此时,只有通过我们上面开的后门,管理员才能够远程连接到服务器上,企图任何渠道都不能连接到这台主机上。三是根据我们服务器的用途,把一些需要用到的接口...
linux防火墙配置实例,CentOS 配置防火墙详解及实例
weixin_34072296的博客
05-12 158
CentOS配置防火墙昨天帮朋友配置CentOS服务器,一开始为了方便测试直接把防火墙关了,之后便需要配置防火墙,网上找了几个防火墙规则都有错误,后来发现是博主发帖不认真,有太多字符错误,下面是我整理的亲测可用的防火墙规则的配置过程:修改 iptables-config首先修改iptables-config文件的一个配置项$ vi /etc/sysconfig/iptables-config把文...
Linux防火墙iptables学习笔记(五)linux+iptables构筑防火墙实例
wailaizhu的博客
12-08 1261
本文旨在用为公司做防火墙实例,让大家对Linux+iptables防火墙的安装和配置有一个大致的了解,希望能起到抛砖引玉的作用。 系统环境与网络规化 先了解一下公司的环境,公司利用2M ADSL专线上网,电信分配公用IP为218.4.62.12/29,网关为218.4.62.13,公司有电脑五十多台,使用DHCP,IP是192.168.2.XXX,DHCP Server建
iptables 防火墙配置
来日可期的博客
09-15 4836
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
linux系统管理与服务器配置高志君课后答案_网络服务器搭建配置与管理--Linux(第3版微课版十二五职业教育国家规划教材)...
weixin_39978863的博客
12-22 2322
导语内容提要杨云、唐柱斌主编的《网络服务器搭建配置与管理--Linux(第3版微课版十二五职业教育国家规划教材)》是“十二五”职业教育国家规划教材,也是国家精品课程和国家精品资源共享课程配套教材,以学生能够完成中小企业建网、管网的任务为出发点,以工作过程为导向,注重工程实训和应用,是为高职高专院校学生量身定做的教材。本书以目前Red Hat公司最新版本Red Hat Enterprise Lin...
Linux服务器配置全解析:不同平台安装与优化详解
[Linux服务器配置全解析:不同平台安装与优化详解](https://unixawesome.com/media/images/uploads/preview-sm_20200801210954327218.jpg) # 1. Linux服务器概览 Linux服务器作为网络世界中不可或缺的一部分,在...
【虚拟机网络配置全攻略】:在VMware上部署Kali Linux网络环境
[【虚拟机网络配置全攻略】:在VMware上部署Kali Linux网络环境](https://www.adamcouch.co.uk/wp-content/uploads/2022/10/ssh_proxycommand-1.png) # 1. 虚拟机网络基础知识概述 在虚拟机网络基础的学习中,首先...
Linux网络服务配置与优化:提升网络性能的关键设置
在本章中,我们将探讨Linux网络服务的基础知识,包括网络通信的基本原理和服务的初始化配置方法。了解这些基础知识对于深入学习和掌握后续章节中的网络配置与优化至关重要。 ## 网络通信基础 网络服务的基础是能够...
Linux防火墙配置实例
01-09
操作系统centos centos7版本之前使用的是iptables,centos7版本之后变更为firewalld。   iptables配置实例   iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况   iptables -L -n   删除已有规则   iptables -F   屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们可以使用以下命令,将指定ip发来的包丢弃:   BLOCK_THIS_IP=x.x.x.x   iptables -A INPUT -i eth0 -p tcp -s
Iptables 防火墙 配置
yangli91628的专栏
05-14 505
1、chkconfig --level 35 iptables on 2、配置完后重启服务生效:service iptables restart 启动iptables命令 : system-config-securitylevel-tui  在图形界面添加开放的服务及端口。 然后进行下一步编辑! 3、vim /etc/sysconfig/iptables 修改端口号即可,想让服
IPtables防火墙配置
qq_48644092的博客
01-02 902
一、IPtables介绍 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制 netfilter:内核态,即不以文件和形式存在(kernal apace)的防火墙。–是实现防火墙的功能 iptables:用户态,在/sbin/iptables存在(User space)的防火墙。操作上二者没有区分。 用户和内核交互的一个工具就是ipt
iptables配置网络防火墙
最新发布
佛系摆烂
10-11 596
链是数据包传播的途径,每条链对应多条规则。数据包进入服务器需要经过多道关卡,以下是三条应用在“主机防火墙”中的链。配置防火墙规则时,对于指定的数据包,我们通常可以对它执行相关的动作,以下是常用动作。
iptables防火墙配置及Netfilter框架
weixin_48579910的博客
07-13 1420
iptables是一个功能强大且灵活的防火墙工具,通过定义和管理规则,可以有效地控制和保护网络流量。了解并掌握iptables的基本概念、命令和配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链和规则的组合,实现复杂的网络过滤、地址转换和数据包修改功能。
iptables防火墙配置管理
lilygg的博客
12-14 428
1.启用iptables ##1.先关闭firewalld火墙 [root@localhost Desktop]# systemctl stop firewalld [root@localhost Desktop]# systemctl disable firewalld ##冻结firewalld(注意:mask表示冻结,unmask表示解冻) [root@localhost Desktop]#...
简单的Linux防火墙配置脚本例子
Tiny speck
12-26 881
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值