Linux下iptables实践与详解

已于 2022-10-13 14:18:07 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: Linux全面入门 文章标签: iptables
于 2018-03-04 14:32:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/J080624/article/details/79436569
版权

防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、网络防火墙,从物理上可分为:硬件防火墙、软件防火墙。

保护对象上的分类:

  • 主机防火墙:针对于单个主机进行防护
  • 网络防火墙:往往部署于网络边界,对流入以及流出的流量进行过滤

物理上的分类:

  • 硬件防火墙:拥有经过特别设计的硬件及芯片,性能高、成本高
  • 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低、成本低

【1】基本介绍与操作

① 概述

当主机收到一个数据包后,数据包先在内核空间中处理。若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理。若发现目的不是自身,则会将包丢弃或进行转发。

iptables实现防火墙功能的原理

在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数。iptables这款用户空间的软件可以在这5处地方写规则,对经过的数据包进行处理,规则一般的定义为“如果数据包头符合这样的条件,就这样处理数据包”。

iptables中定义有5条链,说白了就是上面说的5个钩子函数。因为每个钩子函数中可以定义多条规则,每当数据包到达一个钩子函数时,iptables就会从钩子函数中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合钩子函数中任一条规则,iptables就会根据该函数预先定义的默认策略来处理数据包。

iptables定义的表

在每个链上都有一堆规则,但是部分规则是相似的,那我们把一些实现相同功能的规则放在一起,就能轻松的完成复用了—这就是表。

  • filter:负责过滤功能,内核模块 iptables_filter
  • nat:负责进行网络地址转换,内核模块 iptable_nat
  • mangle:拆解报文,进行修改,重新封装,内核模块 iptable_mangle
  • raw:关闭 nat 表上启用的连接追踪机制,内核模块 iptable_raw
  • security:安全相关。CentOS 7 里新增的表,暂且不介绍

表具有一定的优先级:raw–>mangle–>nat–>filter。一条链上可定义不同功能的规则,检查数据包时将根据上面的优先级顺序检查。

② 命令与规则详解**

语法格式如下:

iptables(选项)(参数)
  • 选项
-t<表>:指定要操纵的表;
-A --apend:向规则链中添加条目;
-D --delete:从规则链中删除条目;
-I --insert:向规则链中插入条目;
-R --replace:替换规则链中的条目;
-L --list:显示规则链中已有的条目;
-F --flush:清除规则链中已有的条目;
-Z --zero:清空规则链中的数据包计算器和字节计数器;
-N --new-chain:创建新的用户自定义规则链;
-P --policy:定义规则链中的默认目标;
-h --help:显示帮助信息;
-p --protocol:指定要匹配的数据包协议类型;
-s --source:指定要匹配的数据包源ip地址;
-j<目标> --jump target:指定要跳转的目标;
-i<网络接口> --interface:指定数据包进入本机的网络接口;
-o<网络接口> --output:指定数据包要离开本机所使用的网络接口。

iptables命令选项输入顺序:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> 
--sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名包括:

raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
nat:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。

对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT

对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING

而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

规则链名包括:

INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。

动作包括:

ACCEPT:接收数据包。
DROP:丢弃数据包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。

REJECT:丢弃数据包并给发送此数据包的主机发送一条icmp包来进行说明。

③ 操作防火墙服务的常用命令

查询防火墙状态:

[root@localhost ~] service   iptables status

停止防火墙:

[root@localhost ~] service   iptables stop

启动防火墙:

[root@localhost ~] service   iptables start

重启防火墙:

[root@localhost ~] service   iptables restart

永久关闭防火墙:

[root@localhost ~] chkconfig   iptables off

永久关闭后启用:

[root@localhost ~] chkconfig   iptables on

【2】配置防火墙

修改配置文件命令如下:

vim /etc/sysconfig/iptables

假设添加8656端口:

这里写图片描述

保存配置文件并执行如下命令使其生效:

[root@localhost ~]# service iptables restart

这里记录一个小坑,当你在iptables文件里面修改后,谨记不要使用如下命令:

servcie iptables save

如果直接编辑了配置文件,然后用service iptables save,那么内存里的配置规则是初始的,会覆盖你直接对配置文件的编辑 !

那么该命令如何使用呢?

在你使用命令修改防火墙情况下,使用该命令会使其永久有效!

iptables  -A INPUT -p tcp -m state --state NEW -m tcp --dport 82 -j ACCEPT
#上面的命令即时生效,但是重启iptables服务后就消失了

service iptables save
#iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

【3】iptables实例说明

实例如下:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT


*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1:168]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 8080,8081,8082,8083,8161 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

实例说明如下:

:INPUT ACCEPT [0:0]
# 该规则表示INPUT链默认策略是ACCEPT

:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD链默认策略是ACCEPT

:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT链默认策略是ACCEPT

-A INPUT -i lo -j ACCEPT
#-i 参数是指定接口,这里的接口是lo ,lo就是Loopback(本地环回接口)。
#意思就允许本地环回接口在INPUT链的所有数据通信。

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#意思是允许进入的数据包只能是刚刚我发出去的数据包的回应。
#ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#这两条的意思是在INPUT链和FORWARD链中拒绝所有其他不符合上述任何一条规则的数据包。
#并且发送一条host prohibited的消息给被拒绝的主机。

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#iptables可以使用扩展模块来进行数据包的匹配,语法就是 -m module_name。
#所以-m state 的意思是使用 state 扩展模块的功能。
#-m state --state NEW表示数据包的状态必须是NEW.


iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT
#在所有网卡上打开ping功能,便于维护和检测。
流烟默
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux防火墙应用实践
悦分享
08-11 638
上面的命令每秒钟最多允许100个新连接。使用SNAT共享上网,服务器作为软路由,内部所有的192.168.0.0/24网端内的主机连接外网时,防火墙自动将所有源地址修改为公网IP,最后互联网将信息返回给路由后,由路由再转交给真正的后端主机。这里的--limit-burst=10相当于说最开始有10个可以匹配的包去转发,然后匹配的包的个数是根据--limit=50/s进行限制的,也就是每秒限制转发50个数据包,多余的会被下面符合要求的DROP规则去处理,进行丢弃,这样就实现了对数据包的限速问题。
Linux防火墙——iptables实战操作
匠人精神,持之以恒!
06-13 1162
iptables原理以及参数介绍可以参考我上篇文章:Linux防火墙——iptables原理介绍 :对应规则匹配到的报文的个数。:对应匹配到的报文包的大小总和。:规则对应的target,往往表示规则对应的"动作",即规则匹配成功后需要采取的措施。:表示规则对应的协议,是否只针对某些协议应用此规则。:表示规则对应的选项。:表示数据包由哪个接口(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。:表示数据包由哪个接口(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。:表示规则对应的
linuxiptables和netfilter详解(4):洞悉实现流程及协议栈分析
qq_18144747的博客
01-13 1308
(一)洞悉linux下的Netfilter&amp;iptables:什么是Netfilter? 很多人在接触iptables之后就会这么一种感觉:我通过iptables命令配下去的每一条规则,到底是如何生效的呢?内核又是怎么去执行这些规则匹配呢?如果iptables不能满足我当下的需求,那么我是否可以去对其进行扩展呢?这些问题,都是我在接下来的博文中一一和大家分享的话题。这里需要指出:因为Ne...
Linux iptables 配置详解
韩帅平的博客
11-20 465
1:查看本机关于iptables的设置情况 [root@pacteralinux ~]# service iptables status Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -...
Linux防火墙之iptables详解
weixin_48864579的博客
04-27 276
包过滤防火墙:针对IP及端口2个条件进行数据包的安全过滤,不考虑其他任何因素状态防火墙:包括包过滤防火墙的所有功能,同时追踪数据包的每一个工作状态,如下图所示:重点多了一个状态检查表表可以看作为了特定功能而实现的规则的分类,其目的就是为了便于实现不同的功能及目的。如filter表,实现包过滤功能,做出“通行”或“阻止”的行为,而不对数据包做任何的修改;nat表用于地址转换,转换源地址–SNAT,或转换目标地址–DNAT,五表分别为:INPUTForwardOUTPUTPREROUTING。
linux防火墙之iptables
Nanjing_bokebi的博客
12-23 1880
linux防火墙 文章目录linux防火墙安全技术和防火墙安全技术防火墙的分类包过滤防火墙应用层防火墙Linux 防火墙的基本认识Netfilter防火墙工具介绍iptablesfirewalldnftablesnetfilter 中五个勾子函数和报文流向iptables的组成iptablesiptables 规则说明iptables 用法说明iptables 基本匹配条件iptables 扩展匹...
@iptables防火墙详解
ଲ一笑奈@何
06-15 714
iptables防火墙 一、iptables概述 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。 iptableslinux2.4及2.6内核中集成的服务。 iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables也可以支持7层控制] 二、iptables网路安全前言介绍 #学好iptab
iptables与nftables,ufw与firewalld以及netfilter详解
最新发布
侯刚的博客
09-29 4100
iptables,nftables,ufw,firewalld以及netfilter详解,ufw与firewalld介绍,iptables,ufw以及firewalld与iptables的关系
linux开源网络全栈详解,LINUX开源网络全栈详解:从DPDK到OPENFLOW
weixin_29612623的博客
05-04 590
本书基于Linux基金会划分的开源网络技术层次框架,对处于地位的、较为流行的开源网络项目进行阐述,包括DPDK、OpenDaylight、Tungsten Fabric、OpenStack Neutron、容器网络、ONAP、OPNFV等。本书内容主要围绕各个项目的起源与发展、实现原理与框架、要解决的网络问题等方面展开讨论,致力于帮助读者对Linux开源网络技术的实现与发展形成完整、清晰的认识。本...
详解Linux iptables 命令
09-15
首先,iptables的工作原理是这样的:它与内核态的netfilter模块交互,netfilter负责实际执行由iptables设定的规则。iptables本身是在用户空间运行的,它提供了一系列命令用于创建、查看和修改规则集。 查看iptables...
iptables详解 .pdf
04-29
iptables 详细介绍,随着k8s的兴起,iptables被关注的人更多了。本书详细介绍了iptables的内容,带你滤清各种表及链。在阅读的同时,更多的是要动手操作。技术这一行,实践才是最重要的。
Linux_net_internal.rar_linux 内核详解_linux驱动编程
09-22
Linux驱动程序是内核与硬件设备之间的桥梁。对于网络驱动,常见的任务包括: - **初始化和配置**:加载时初始化硬件,设置设备配置。 - **数据传输**:实现读写操作,将数据从用户空间传递到硬件或反之。 - **中断...
linux 网络安全实践
12-28
### Linux网络安全实践知识点详解 #### 一、Linux网络配置与管理 **1.1 IP地址配置** 在Linux系统中,可以通过`ifconfig`或`ip`命令来配置IP地址。 - **ifconfig命令**:例如,为eth0网卡设置IP地址`192.168.1....
Linux下的SVN服务器搭建步骤
09-15
Linux下的SVN服务器搭建步骤详解】 在Linux环境中,Subversion(简称SVN)是一种流行的版本控制系统,用于管理和协作开发项目。本指南将详细介绍在CentOS 6.5上搭建SVN服务器的步骤,帮助你避免在网上寻找资料时...
VMware EXSI 配置两个网卡(外网和内网)
热门推荐
小小默:进无止境
03-06 6万+
近端时间被服务器之间通信卡住了,折腾了良久,总算是搞定了,这里记录一下一些坑。 【背景】 服务器 使用VMware EXSI进行了虚拟化,服务器端登录界面类似如下: 登录进去,“F2”之后界面如下: 服务器真机是有两个网卡的,一个外网,一个内网。 需求:如下图所示真机中的第二个虚拟机除了要上外网外,还要与网闸的192.168.0.2进行通信。从而达到与网闸另外一段...
Linux命令之top命令查看服务器CPU与内存占用
小小默:进无止境
05-31 5万+
linux的系统维护中,可能需要经常查看cpu使用率,分析系统整体的运行情况。top命令可以实时动态地查看系统的整体运行情况。 【1】top命令 语法格式: top(选项) 选项如下: -b:以批处理模式操作; -c:显示完整的治命令; -d:屏幕刷新间隔时间; -I:忽略失效过程; -s:保密模式; -S:累积模式; -i&amp;amp;amp;lt;时间&amp;amp;amp;gt;:设置间隔时间; -u&amp;amp;amp;lt;用户名&amp;
Linux下vi与vim命令使用与区别
小小默:进无止境
04-07 3万+
它们都是多模式编辑器,不同的是vim 是vi的升级版本,它不仅兼容vi的所有指令,而且还有一些新的特性在里面。vim的这些优势主要体现在以下几个方面:1、多级撤消 我们知道在vi里,按 u只能撤消上次命令,而在vim里可以无限制的撤消。2、易用性vi只能运行于unix中,而vim不仅可以运行于unix,windows ,mac等多操作平台。3、语法加亮 vim可以用不同的颜色来加亮你的代码。4、
CentOS7网络配置-静态IP设置
小小默:进无止境
09-25 2万+
安装完VM后,需要进行网络配置。第一个目标为可以进行SSH连接,可以从本机到VM进行文件传送。故,VM中centos需要可以独立访问外网!【1】修改网络配置文件安装完CentOS 7时,网络是通的。此时网络配置如下:网络配置文件路径:/etc/sysconfig/network-scripts/ifcfg-enp0s3其中“enp03”是你的网卡名称。TYPE="Ethernet" PROXY_ME
Iptables入门指南:详解配置与应用
Iptables指南是一份详尽的教程,由Oskar Andreasson原创并由sllscn翻译,旨在...Iptables指南是一份全面且实用的资源,适合网络管理员、系统管理员以及对网络安全感兴趣的Linux用户深入学习和实践iptables防火墙技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流烟默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值