ipatbles:
(一):
理解:一个命令行工具,用户通过iptables将其设定的安全规则执行到对应的“安全框架”netfilter中。netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙。
机制:按照网络管理员定义的规则rules(条件),当数据包头符合这样的条件,就这样处理这个数据包。
实现: 规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、 UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
netfilter作为内核中是真正的防火墙,所有进出的报文都要通过这些关卡,符合进出条件的才能通过,符合阻拦条件的则被阻止。如上:input关卡和output关卡,这些关卡在iptables中被称为"链"。
(二):
当客户端发来的报文访问的目标地址不是本机,而是其他服务器,当本机的内核支持IP_FORWARD时,我们可以将报文转发给其他服务器,所以,这个时候,我们就会提到iptables中的其他“关卡”,也就是其他“链”。分别是 路由前( PREROUTING )、转发( FORWARD )、路由后(POSTROUTING)
(三):
iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下。
优先级次序(由高而低):raw --> mangle --> nat --> filter
filter表:负责过滤功能,防火墙;内核模块:iptables_filter
nat表:network address translation,网络地址转换功能;内核模块:iptable_nat
mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle
raw表:关闭nat表上启用的连接追踪机制;iptable_raw
(四):
(五):
规则:根据指定的匹配条件来尝试匹配每个流经此处的报文,一旦匹配成功,则由规则后面指定的处理动作进行处理;
表:我们把具有相同功能的规则的集合叫做"表",不同功能的规则,我们可以放置在不同的表中进行管理
机制:每条"链"都是一个"关卡",每个通过这个"关卡"的报文都要匹配这个关卡上的规则,如果匹配,则对报文进行对应的处理,
处理动作:
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给任何回应信息,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
(六):iptables实际操作:
iptables –t filter –L (或者iptables -L): -t选项,指定要操作的表; 使用-L选项,列出对应的表的规则
以上命令会显示出了5条链,如:INPUT链、FORWARD链、OUTPUT链,每条链中都有自己的规则,把“链”比作“关卡”,不同的“关卡”拥有不同的能力,INPUT链、FORWARD链、OUTPUT链都拥有“过滤”的能力。所以,当我们要定义某条“过滤”的规则时,我们会在filter表中定义。
添加规则
1: 在指定表的指定链的尾部添加一条规则,-A选项表示在对应链的末尾添加规则,省略-t选项时,表示默认操作filter表中的规则
命令语法:iptables -t 表名 -A 链名 匹配条件 -j 动作
示例:iptables -t filter -A INPUT -s 150.165.1.1 -j DROP
2: 在指定表的指定链的首部添加一条规则,-I选型表示在对应链的开头添加规则
命令语法:iptables -t 表名 -I 链名 匹配条件 -j 动作
示例:iptables -t filter -I INPUT -s 150.165.1.1 -j ACCEPT
3: 在指定表的指定链的指定位置添加一条规则
命令语法:iptables -t 表名 -I 链名 规则序号 匹配条件 -j 动作
示例:iptables -t filter -I INPUT 5 -s 150.165.1.1 -j REJECT
4: 设置指定表的指定链的默认策略(默认动作),并非添加规则。
命令语法:iptables -t 表名 -P 链名 动作
示例:iptables -t filter -P FORWARD ACCEPT
删除规则
按照规则序号删除规则,删除指定表的指定链的指定规则,-D选项表示删除对应链中的规则。
命令语法:iptables -t 表名 -D 链名 规则序号
示例:iptables -t filter -D INPUT 3
上述示例表示删除filter表中INPUT链中序号为3的规则。
按照具体的匹配条件与动作删除规则,删除指定表的指定链的指定规则。
命令语法:iptables -t 表名 -D 链名 匹配条件 -j 动作
示例:iptables -t filter -D INPUT -s 150.165.1.1 -j DROP
上述示例表示删除filter表中INPUT链中源地址为150.165.1.1并且动作为DROP的规则。
删除指定表的指定链中的所有规则,-F选项表示清空对应链中的规则。
命令语法:iptables -t 表名 -F 链名
示例:iptables -t filter -F INPUT
删除指定表中的所有规则。
命令语法:iptables -t 表名 -F
示例:iptables -t filter -F
修改规则:
如果使用-R选项修改规则中的动作,那么必须指明原规则中的原匹配条件,例如源IP,目标IP等。
修改指定表中指定链的指定规则,-R选项表示修改对应链中的规则,使用-R选项时要同时指定对应的链以及规则对应的序号,并且规则中原本的匹配条件不可省略。
命令语法:iptables -t 表名 -R 链名 规则序号 规则原本的匹配条件 -j 动作
示例:iptables -t filter -R INPUT 3 -s 150.165.1.1 -j ACCEPT
上述示例表示修改filter表中INPUT链的第3条规则,将这条规则的动作修改为ACCEPT, -s 150.165.1.1为这条规则中原本的匹配条件,如果省略此匹配条件,修改后的规则中的源地址可能会变为0.0.0.0/0。
修改指定表的指定链的默认策略(默认动作),并非修改规则,可以使用如下命令。
命令语法:iptables -t 表名 -P 链名 动作(这里注意不要修改默认动作为DROP)
示例:iptables -t filter -P FORWARD ACCEPT
上例表示将filter表中FORWARD链的默认策略修改为ACCEPT
保存规则
保存规则命令如下,表示将iptables规则保存至/etc/sysconfig/iptables文件中,如果对应的操作没有保存,那么当重启iptables服务以后
service iptables save
注意点:centos7中使用默认使用firewalld,如果想要使用上述命令保存规则,需要安装iptables-services。
或者使用如下方法保存规则
iptables-save > /etc/sysconfig/iptables
iptables-restore < /etc/sysconfig/iptables
iptables规则中的匹配条件:
-s用于匹配报文的源地址,可以同时指定多个源地址,每个IP之间用逗号隔开,也可以指定为一个网段。
#示例如下
iptables -t filter -I INPUT -s 192.16.1.111,192.16.1.118 -j DROP
iptables -t filter -I INPUT -s 192.16.1.0/24 -j ACCEPT
iptables -t filter -I INPUT ! -s 192.16.1.0/24 -j ACCEPT
-d用于匹配报文的目标地址,可以同时指定多个目标地址,每个IP之间用逗号隔开,也可以指定为一个网段。
#示例如下
iptables -t filter -I OUTPUT -d 192.16.1.111,192.16.1.118 -j DROP
iptables -t filter -I INPUT -d 192.16.1.0/24 -j ACCEPT
iptables -t filter -I INPUT ! -d 192.16.1.0/24 -j ACCEPT
-p用于匹配报文的协议类型,可以匹配的协议类型tcp、udp、udplite、icmp、esp、ah、sctp等(centos7中还支持icmpv6、mh)。
#示例如下
iptables -t filter -I INPUT -p tcp -s 192.168.1.14 -j ACCEPT
iptables -t filter -I INPUT ! -p udp -s 192.168.1.14 -j ACCEPT
-i用于匹配报文是从哪个网卡接口流入本机的,由于匹配条件只是用于匹配报文流入的网卡,所以在OUTPUT链与POSTROUTING链中不能使用此选项。
#示例如下
iptables -t filter -I INPUT -p icmp -i eth4 -j DROP
iptables -t filter -I INPUT -p icmp ! -i eth4 -j DROP
-o用于匹配报文将要从哪个网卡接口流出本机,于匹配条件只是用于匹配报文流出的网卡,所以在INPUT链与PREROUTING链中不能使用此选项。
#示如下
iptables -t filter -I OUTPUT -p icmp -o eth4 -j DROP
iptables -t filter -I OUTPUT -p icmp ! -o eth4 -j DROP
tcp扩展模块
常用的扩展匹配条件如下:
-p tcp -m tcp --sport 用于匹配tcp协议报文的源端口,可以使用冒号指定一个连续的端口范围
-p tcp -m tcp --dport 用于匹配tcp协议报文的目标端口,可以使用冒号指定一个连续的端口范围
#示例如下
iptables -t filter -I OUTPUT -d 192.168.1.14 -p tcp -m tcp --sport 22 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m tcp --dport 22:25 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m tcp --dport :22 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m tcp --dport 80: -j REJECT
iptables -t filter -I OUTPUT -d 192.168.1.14 -p tcp -m tcp ! --sport 22 -j ACCEPT
multiport扩展模块
常用的扩展匹配条件如下:
-p tcp -m multiport --sports 用于匹配报文的源端口,可以指定离散的多个端口号,端口之间用"逗号"隔开
-p udp -m multiport --dports 用于匹配报文的目标端口,可以指定离散的多个端口号,端口之间用"逗号"隔开
#示例如下
iptables -t filter -I OUTPUT -d 192.168.1.14 -p udp -m multiport --sports 137,138 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m multiport --dports 22,80 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m multiport ! --dports 22,80 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m multiport --dports 80:88 -j REJECT
iptables -t filter -I INPUT -s 192.168.1.14 -p tcp -m multiport --dports 22,80:88 -j REJECT
776
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
