linux防火墙Netfilter(iptables)

已于 2022-02-08 15:26:52 修改
阅读量914 收藏 8
点赞数 1
分类专栏: 操作系统 文章标签: Netfilter
于 2019-11-07 12:23:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beeworkshop/article/details/102952713
版权
  • Linux的防火墙由Netfilter实现:
  1. Netfilter的过滤功能在内核中实现,不依靠daemon。
  2. 工作于OSI 7层模型的第2, 3, 4层。
  3. 只检测报文头。
  4. iptables是Netfilter的客户端管理工具。
  5. Netfilter的模块位于/lib/modules/$(uname -r)/kernel/net/netfilter/中。

  • Netfilter Tables and Chains

    filter is default table.

  • Netfilter Packet Flow
    Netfilter Packet Flow

  • iptables的语法

iptables [ -t 表名 ] < -A |I |D |R > 链名[ 规则编号 ] [ -i | o 网卡名称] [ -p 协议类型] [ -s 源IP地址 | 源子网 ] [ --sport 源端口号 ] [ -d 目标IP地址 | 目标子网 ] [ --dport 目标端口号 ] < -j 动作 >

filter为默认表。

  • 默认策略
    当数据包不符合链中任意一条规则时,iptables将根据该链预先定义的默认策略来处理数据包。
    定义形式
iptables [ -t 表名 ] < -P > < 链名 > < 动作 >
  • DNAT的例子
iptables -t nat  -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.20

端口重定向
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128
  • SNAT的例子
地址转换为出接口ens33的外网接口地址
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE

iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.45
  • 状态跟踪(connection tracking)的例子
    以FTP为例:
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 21 -j ACCEPT
  • 常用命令
iptables -L -n 查看防火墙配置
iptables -nv -L
iptables -L  --line-numbers 或者--line 显示策略的行号
保持原有连接
iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
ping -I 192.168.1.1 192.168.2.1 带原地址ping
查看会话表项conntrack
cat /proc/net/nf_conntrack
[sudo] password for user: 
ipv4     2 tcp      6 299 ESTABLISHED src=192.168.30.1 dst=192.168.30.6 sport=51921 dport=22 src=192.168.30.6 dst=192.168.30.1 sport=22 dport=51921 [ASSURED] mark=0 secctx=system_u:object_r:unlabeled_t:s0 zone=0 use=2
其中:
ASSURED  两个方向上有流量
UNREPLIED  有一个方向没有流量

禁止所有向防火墙发起的连接
iptables -P INPUT DROP
iptables -A INPUT -m state --state NEW -j DROP

自己被iptables挡在外边了!
*/5 * * * * /etc/init.d/iptables stop 

保存配置
iptables-save > /etc/sysconfig/iptables
iptables-save > ipt.20170110

恢复配置
iptables-restore < /etc/sysconfig/iptables
iptables-restore < ipt.20170110
  • 完整的例子
# Flash all rules
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
# Enable ip forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
# Enable syn_cookies
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
#modules
modprobe ip_conntrack_ftp
modprobe ip_nat _ftp
#Default chain policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
#Enable interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# DNS
iptables -A OUTPUT -o ens33 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i ens33 -p udp --sport 53 -j ACCEPT
# SSH Server
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 22 -j ACCEPT
#SSH Client
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --sport 22 -j ACCEPT
#ICMP request
iptables -A INPUT -s 192.168.0.0/24 -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p icmp --icmp-type 0 -j ACCEPT
# ICMP echo
iptables -A OUTPUT -d 192.168.0.0/24 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p icmp --icmp-type 0 -j ACCEPT
# FTP Server
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 1.2.3.4
# DNAT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-dest 192.168.0.254
  • 其他常用例子
    先查看iptables的版本
    iptables --version
    (>1.4.7)
    uname -r
    (>2.6.32)
#!/bin/bash
iptables -F
iptables -X
iptables -Z

modprobe ip_tables
modprobe nf_nat
modprobe nf_conntrack

iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 放开多个端口
iptables -A INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT
# 放开“来过的人”
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 入站流量限速(单位:包)
iptables -A INPUT -f -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
# 防御ping-death(单位:包)
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s --limit-burst 10 -j ACCEPT
# 防御SYN-flooding(单位:包)
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 200 -j ACCEPT
# 防御外部疯狂扫描端口(单位:连接数)
iptables -A INPUT -p tcp --syn -m limit --limit 100/s --limit-burst 100 -j ACCEPT

扫描一下端口:

nmap -P0 -sS 211.3.2.4
lsof -i:1014
存在rpc.statd,使用随机端口
关闭服务
service nfslock stop
chkconfig nsslock off
  • 自动分析黑名单白名单的iptables脚本(不试用于web服务的高并发)
#!/bin/bash
netstat -an | grep :25 | grep -v 127.0.0.1 | awk '{print $5}' | sort | awk -F: '{print $1,$4}' | uniq -c | awk '$1>50 {print $1,$2}' > /root/black.txt
for i in `awk 'print 2' /root/black.txt` ; do
    COUNT=`grep $i /root/black.txt | awk '{print \$1}'`
    DEFINE="1000"
    ZERO="0"
    if [ $COUNT -gt $DEFINE ]; then
        grep  $i /root/white.txt > /dev/null    # 在白名单中的IP除外
        if [ $? -gt $ZERO ]; then
            echo "$COUNT $i"
            iptables -I INPUT -p tcp -s $i -j DROP
        fi
    fi
done
统计相应IP的瞬间连接数,判断并使用iptables的命令进行封堵。

查询公网IP信息 http://www.ip138.com/
判断完成后,设置cron

* /10 * * * * /bin/bash /root/deny_100.sh

可以使用webbench模拟web攻击测试。
安装方法

# yum install -y gcc ctags
# wget http://www.ha97.com/code/webbench-1.5.tar.gz
# tar zxvf webbench-1.5.tar.gz
# cd webbench-1.5
# make
# make install

使用

webbench -c 并发数 -t 运行测试时间 URL

elinks测试web访问(C退出,或者使用-dump选项)。

beeworkshop
关注
专栏目录
Linux内核防火墙Netfilteriptables用户工具
m0_74282605的博客
03-06 373
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
Linux防火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1484
netfilteriptables、firewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
linux netfilter
weixin_30902251的博客
10-12 90
netfilter 是一种内核中用于扩展各种网络服务的结构化底层框架。netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性加入到内核中并不需要从新启动内核。这样,可以通过简单的构造一个内核模块来实现网络新特性的扩展。给底层的网络特性扩展带来了极大的便利,使更多从事网络底层研发的开发人员能够集中精力实现新的网络特性。netfilter有4大特性:1. 每一个协议定义"hoo...
Linux 内核源码分析---netfilter 框架
最新发布
学习记录
08-21 1030
学习记录
Linux Netfilter介绍
weixin_42915431的博客
12-31 7346
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
Linux-Netfilter
weixin_40342459的博客
10-06 295
netfilterlinux 第三代防火墙,前面为 ipfwadm 与 ipchains netfilter 有四个表,五条链,四种状态 四个表: raw 表 在连接链路检测之前,主要做防火墙性能优化用 mangle 表 修改进入linux设备的数据包相关参数,可以改ip的dscp 值,后者加上 mangle 的ma...
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" 本文主要研究了 Linux 防火墙 Netfilter-iptables 扩展机制及应用,旨在解决 Linux 防火墙的扩展性和维护性问题。论文首先分析了 Linux 2.4 内核的 ...
浅谈Linux防火墙Netfilter_Iptables在网络安全中的应用.pdf
09-06
浅谈Linux防火墙Netfilter_Iptables在网络安全中的应用.pdf
Linux防火墙netfilter的编程接口libiptc简介.pdf
09-06
Linux 防火墙 netfilter 的编程接口 libiptc 简介 libiptc 库是 Linux 防火墙 netfilter 的一个编程接口,可以使用 libiptc 库来查询、修改、增加、删除 netfilter 的规则、策略等。大家熟知的防火墙管理工具 ...
Linux防火墙netfilter iptables
weixin_48861962的博客
09-21 599
目录 一、Linux防火墙基础 1.1 ptables的表、链结构 1.1.1 Linux包过滤防火墙概述 1.2 数据包控制的匹配流程 1.2.1 四表 1.2.2 五链 1.2.3 四表五链总结 1.2.4 规则链之间的匹配顺序 1.2.5 规则链内的匹配顺序∶ 二、编写防火墙规则 1.iptables的安装 2.1 基本语法、控制类型 2.1.1 iptables防火墙配置方法∶ 2.1.2 iptables 命令行配置方法∶ 2.1.3 常用的控制类型∶ 2.1.4
linux下的netfilter防火墙配置
09-04
ipt 1/7 http://www.boobooke.com/v/bbk3648 ipt 2/7 http://www.boobooke.com/v/bbk3649 ipt 3/7 http://www.boobooke.com/v/bbk3671 ipt 4/7 http://www.boobooke.com/v/bbk3679 ipt 5/7 http://www.boobooke.com/v/bbk3680 ipt 6/7 http://www.boobooke.com/v/bbk3685 ipt 7/7 http://www.boobooke.com/v/bbk3686
kernel netfilter配置
10-13
kernel netfilter配置,通过这个配置实现IPTABLES的访问。
Netfilter in Linux
lcxhjg的专栏
07-11 415
内核参照2.6.34 (部分2.6.21)Packet flow in netfilter netfilter框架1.        netfilter中的链  2.        netfilter 中的表 a)        netfilter中的表有raw,mangle, filter, nat, security(新加), 表存在于链中, 由ipt_register_table()注册, ...
linux-内核:netfilter框架
赵凯月的博客
06-23 1739
Netfilter/IPTablesLinux2.4.x 之后新一代的 Linux 防火墙机制,是linux内核的一个子系统。Netfilter 采用模块化设计,具有良好的可扩充性。其重要工具模块 IPTables 从用户态的 iptables 连接 到内核态的 Netfilter 的架构中 , Netfilter 与 IP 协议栈是无缝契合的, 并允许使用者对数据报进行过滤、地址转换、处理等操作。主要源代码文件。
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2261
Linux 内核开发 - NetFilter
Linux内核中Netfilter介绍
Linux知识积累
04-28 1549
Netfilter概述 Netfilter/IPTablesLinux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模...
Linux下Netfilter简介
血饮渊虹的博客
10-27 3389
1、什么是Netfilter NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 iptablesLinux下功能强大的应用层防火墙工具, 说到iptables必然提到Netfilteriptables是应用层的,其实质是一个定义规则的配...
Linux防火墙iptables与Netfilter详解
"这篇资料介绍了Linuxiptables防火墙,包括NetfilterIptables的概念以及iptables的表和链结构。" 在Linux系统中,iptables是一个强大的防火墙工具,用于管理和配置内核中的Netfilter框架。Netfilter是内置于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值