使用iptables

最新推荐文章于 2024-08-22 17:22:53 发布
最新推荐文章于 2024-08-22 17:22:53 发布
阅读量1.9k 收藏
点赞数
分类专栏: Linux 技术文章 文章标签: input output 服务器 防火墙 网络 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjbs_270/article/details/120957
版权
 

使用iptables

原文出处:http://www.unixreview.com/articles/2001/0104/0104l/0104l.htm
作者:Joe "Zonker" Brockmeier
编译:ideal <ideal@linuxaid.com.cn>

在上一篇文章中我们讨论了在Linux2.4内核中如何实现对Netfilter框架和iptables的支持,在这一篇文章中我们将继续讨论iptalbes的基本语法和如何创建一个基本的防火墙。

如果你仍然在使用linux2.2.x内核,你将不能使用iptalbes工具,然而也许你希望了解更多的关于iptables方面的知识以为迁移到2.4内核作准备。当前,稳定的最新版本内核为2.4.5,iptables的最新稳定版本为1.2.2。

另外可以在以下地址访问netfilter框架的主页: netfilter.samba.org/netfilter.gnumonks.orgnetfilter.filewatcher.org。同时在四月一六日发布了一个对 ip_conntrack_ftp安全弱点的补丁希望的到关于这个安全弱点的完全描述可以在 http://netfilter.samba.org/security-fix/index.html处得到,并下载补丁程序。

开始工作

毫无疑问用户需要以root身份登录系统来使用iptables工具,以root身份登录进入系统以后,你也许首先希望查看当前防火墙系统中有哪些设置,通过命令"iptables -L"来察看当前设定的防火墙规则,若希望了解防火墙设置的查看详细信息,可以使用"iptables --list"命令来查看。

若没有任何规则链被加载,则输出将如下图所示:

默认情况下,系统有三条规则链:INPUT、OUTPUT和FORWARD,所有规则链的策略都为ACCEPT。也就是说在配置任何规则以前,系统是完全开放的。

若你希望将你的系统作为防火墙使用,那么你需要打开IP转发开关:

echo "1" > /proc/sys/net/ipv4/ip_forward.

添加规则

如果没有任何规则,iptables则不会产生任何效应,下面我们就向现存的规则链中添加一些规则。若你不希望别人通过ping工具来探测你的主机,你可以使用下面的规则来限定:

iptables -A INPUT -p icmp -j DROP

参数"-A INPUT"设定iptables在INPUT链后添加该规则,参数"-p icmp"指示该规则是施用于icmp协议,参数"-j DROP" 指示匹配该规则的数据报应该被丢弃。现在向该服务器发送的ping数据,该服务器将会丢弃这些数据,因此的不到响应。其中协议名"icmp"是和大小无关的,可以是"icmp"也可以是"ICMP"。

若需要删除该规则,使服务器响应ping命令,则使用下面命令:

iptables -D INPUT 1

"-D"参数指示iptables工具删除INPUT规则链中的第一条规则。若你的规则链中有多条规则,则该命令不会影响到规则。这时候你也许希望清除前面所有命令定义的规则而从头开始,可以使用命令:

iptables -F INPUT

该命令指示iptables清空INPUT规则链中的所有规则。

阻塞telnet连接

现在我们来尝试一个稍微复杂一些的例子。我们希望阻塞来自外部网络到服务器的SSH连接但是允许内部网络的SSH连接。为了防止用户的用户名和密码外泄,因此组织所有的连接外部网络的telnet连接。

首先在INPUT规则链中设置一条允许内部网络ssh连接服务器的规则:

iptables -A INPUT -s 198.168.0.0 -p tcp --destination-port ssh -j ACCEPT

参数"-s"指定该规则适用于哪些源地址的连接。"--destination-port"指定TCP连接端口。

下面的规则阻塞所有来自外部网络对内部服务器的SSH连接:

iptables -A INPUT -s ! 198.168.0.0 -p tcp --destination-port ssh -j DROP

该命令和上面的命令是几乎是同一条命令,除了它定义的是阻塞外部网络的SSH连接。若你希望在外部网络中能连接内部服务器则不要定义该规则。要使定义的规则发挥作用,定义规则的主机必需是路由器,所有的数据都经过该服务器才能实现控制,否则这些规则无法发挥作用。同时注意上面规则定义中“!”和后面网络地址之间必须有个空格。

最后,为了阻塞连向外部的telnet连接,向OUTPUT规则链添加如下规则:

iptables -A OUTPUT -p tcp --destination-port telnet -j DROP

这一次定义的规则是添加到INPUT链中。当该规则被定义,用户试图通过telnet链接出去时,将会被阻塞,用户将得不到响应。这可能会引起用户以为是目标服务器出现了问题,因此我们修改该规则,不丢弃telnet数据,而是拒绝该数据:

iptables -F OUTPUT
iptables -A OUTPUT -p tcp --destination-port telnet -j REJECT

清空OUTPUT链接以后,我们将使用一个类似的命令,只是规则目标动作变为"REJECT"。这时候用户telnet外部服务器时会得到链接被拒绝的错误。

若希望允许telnet链接内部服务器,则清空OUTPUT规则链然后重新设定规则:

iptables -A OUTPUT -p tcp --destination-port telnet -d 198.168.0.0 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port telnet -d ! 198.168.0.0 -j REJECT

你也许现在会施用"iptables -L"命令来查看当前定义的规则,确保规则输入正确,输出就如下图所示:

总结

在本文中我们讨论了iptables的基本使用方法,正如你所看到的那样iptables并不是想像中的那么复杂和难以使用,但是它非常强大和灵活。目前iptables仍然处于不断的发展和成熟之中,如果有任何相关问题可以参加邮件列表 http://lists.samba.org/pipermail/netfilter/0进行咨询。

资源链接

The Netfilter Project Homepage ( http://netfilter.samba.org/)
Netfilter Mailing List ( http://lists.samba.org/pipermail/netfilter/)

bjbs_270
关注
专栏目录
iptables
数字人生
08-17 77
1. 查看规则 iptables -L 2. 删除规则 iptables -D 规则 3. 插入规则 iptables -I 规则
防火墙之基础篇(iptable)
NETOCOOL的专栏
10-20 1457
我们知道网上的访问通过tcp/ip封包来进入主机系统的。在linux中它一般要同过ip过滤机制来实现第一层防护,如果通过了这层防护还的通过下一关的检查 那就是TCP_Wrappers 的功能。封包过滤( IP Filter ): 封包过滤是 linux 提供的第一道防火墙呦!但是不同的核心版本会有不一样的封包过滤机制!以 2.2.xx 为核心的 Linux 主要以 ipchains 作为过滤机制,
IPtables的基本操作
weixin_34392906的博客
05-18 90
实验目的:三台虚拟机,win7客户机作为内部局域网的终端设备;中间的Linux-2作为内部局域网的网关以及连接外网的设备;Linux-1作为外网的web服务器设备。最后在Linux-2或者Linux-1上面做iptables防火墙条目来限制禁止win7客户端的访问。首先给外网服务器Linux-1配置作为外网的IP地址,别忘了网关地址,还有子网掩码不能错。使用命令ifconfi...
linux iptables 命令简介
whatday的专栏
01-02 2195
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
iptables详解
每天进步一点点。。。的博客
11-05 426
转载地忘记未知,如有侵权,通知立马删除。(这篇文章先作为收藏,等用到的时候再进行详细阅读)。 一:前言 我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。     对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙,不管你源端口或者目标端口,源地址或
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
在Docker容器中使用iptables时的最小权限的开启方法
09-30
主要介绍了在Docker容器中使用iptables时的最小权限的开启方法的相关资料,需要的朋友可以参考下
CentOS 7 下使用 iptables
01-10
系统升级到CentOS 7后总感觉iptables怪怪的,比如不管怎么保存重启后都被初始化一下,即便我最后发大绝招启动时候加命令: ...RedHat在7中更改了系统软件,不再使用iptables作为系统的防火墙,而是使用了FirewallD
linux 防火墙 iptables常用命令
心之所向,无惧无悔!
07-25 780
iptable -L # 查看iptables 所有规则和撞他
iptables设置
rock
12-26 837
1、iptables命令格式 iptables [-t 表] -命令 匹配 操作 (大小写敏感) 动作选项 ACCEPT 接收数据包 DROP 丢弃数据包 REDIRECT 将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务 SNAT ...
linux下iptables的用法,Linux中IPtables命令的使用方法
weixin_27875131的博客
05-14 1586
Linux中IPtables命令的使用方法发布时间:2020-05-26 14:16:15来源:亿速云阅读:208作者:鸽子Linux下IPtables命令图解Linux下IPtables命令剖析1.命令:-A 顺序添加,添加一条新规则-I 插入,插入一条新规则 -I 后面加一数字表示插入到哪行-R 修改, 删除一条新规则 -D 后面加一数字表示删除哪行-D 删除,删除一条新规则 -D 后面加一数...
Iptables使用
weixin_34304013的博客
04-12 133
三张表:filter表:内建的规则包括:INPUTOUTPUT和FORWARDnat表:内建的规则包括:PREROUTING、OUTPUT、POSTROUTINGmangle表:设置特殊的数据包路由标志规则,内建的规则链包括:PREROUTING、INPUT、FORWARD、POSTROUTING和OUTPUT五条链:INPUT链:当一个数据包由内核中的路由计算确定为本地的...
iptable命令详解
最新发布
weixin_49840888的博客
08-22 1435
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载。
Linux_iptables_常用命令总结
qq_44484541的博客
04-19 3605
【代码】Linux_iptables_常用命令总结。
iptables防火墙
ynyysn的博客
02-17 2063
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
iptables实例
l_s_k的博客
04-08 291
ip 备注 192.168.174.128 本地主机 192.168.174.129 客户端 1:iptables有几个表以及每个表有几个链 Filter : INPUT,OUTPUT,FORWARD NAT : POSTROUTING,PREROUTING,OUTPUT Mangle : INPUT,OUTPUT,FORWARD,POSTROUTING,PRERO...
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
桥接模式使用iptables
07-24
桥接模式在Linux系统下通过iptables工具主要用于网络路由管理和数据包过滤。iptables是一个强大的防火墙管理系统,用于控制入站、出站以及内部主机之间的通信流量。 ### iptables的基本原理 iptables工作于网络栈的不同层级: - **filter表**:处理数据包是否允许进入或离开系统。 - **nat表**:修改数据包的源IP地址、目标IP地址或其他网络参数,通常用于负载均衡和端口转发等场景。 - **mangle表**:改变数据包的内容或标记信息,如更改端口号或设置标记供其他规则使用。 - **raw表**:对数据包进行筛选,在数据包到达filter表之前运行规则。 - **security表**:包含更细粒度的安全策略。 ### 使用iptable配置桥接模式的例子 假设我们想要将两个网络接口连接起来,并允许它们之间直接通信,而无需经过路由器的额外处理。这可以使用iptables的`bridge-masquerade`规则来实现: ```bash sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100 sudo iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.100 -j MASQUERADE ``` 这里,第一行命令将所有目的端口为80的数据包从eth0接口送往指定的目标地址(例如,192.168.1.100)。第二行命令则使得数据包从eth1接口发送出去时,其源IP地址显示为目标地址,以此达到模拟“桥接”的效果。 ### 关键点解释 - `PREROUTING`: 这个链在数据包进入内核前处理,适用于改变目标地址的情况。 - `POSTROUTING`: 这个链在数据包离开内核前处理,适用于改变源地址的情况。 - `DNAT`: Destination Network Address Translation,将外部目标地址转换为内部目标地址。 - `MASQUERADE`: 改变数据包的源IP地址为出口接口的IP地址。 ### 注意事项 - 使用iptables时务必小心谨慎,错误的命令可能导致系统不可用。 - 定期备份iptables规则以防误操作。 - 确保有充分的理解和测试,尤其是在生产环境中应用复杂的iptables规则。 ### 相关问题: 1. iptables如何区分不同类型的网络流量并进行特定的处理? 2. 实现iptables规则的具体步骤是什么? 3. iptables与其他网络安全工具(如firewalld)相比有何优缺点?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值