简述Centos 7端口复用的方式

于 2024-08-16 17:11:19 发布
阅读量596 收藏 5
点赞数 19
分类专栏: 系统安全 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangyingquano/article/details/141264454
版权

一、概念

iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。

1、链

链是一些按顺序排列的规则的列表。

默认情况下,任何链中都没有规则。可以向链中添加自己想用的规则。链的默认规则通常设置为 ACCEPT,如果想确保任何包都不能通过规则集,那么可以重置为 DROP。

默认的规则总是在一条链的最后生效,所以在默认规则生效前数据包需要通过所有存在的规则。

5种链说明如下:

PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)

INPUT链——进来的数据包应用此规则链中的策略

OUTPUT链——外出的数据包应用此规则链中的策略

FORWARD链——转发数据包时应用此规则链中的策略

POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

2、表

表由一组预先定义的链组成。

filter表——用于存放所有与防火墙相关操作的默认表。通常用于过滤数据包。

nat表——用于网络地址转换

mangle表——用于处理数据包

raw表——用于配置数据包,raw 中的数据包不会被系统跟踪。

3、链和表的关系及顺序

PREROUTING: raw -> mangle -> nat

INPUT: mangle -> filter

FORWARD: mangle -> filter

OUTPUT: raw -> mangle -> nat -> filter

POSTROUTING: mangle -> nat

4、实际使用中是从表作为操作入口;表和链的关系

raw 表:PREROUTING,OUTPUT

mangle表:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

nat 表:PREROUTING,OUTPUT,POSTROUTING

filter 表:INPUT,FORWARD,OUTPUT

5、target

ACCEPT: 允许数据包通过

DROP:直接丢弃数据包,不给任何回应信息

REJECT:拒绝数据包通过,需要时会给数据发送端一个相应信息

SNAT:原地址转换,解决内网用户用同一个公网地址上网的问题

MASQUERADE:是 SNAT 的一种特殊形式,适用于动态的、临时会变的 ip 上

DNAT:目标地址转换

REDIRECT:在本机做端口映射

LOG:在/var/log/messages 文件中记录日志信息。然后将数据包传递给下一条规则。也就是只记录不做任何操作。

REJECT 其他参数

--reject-with:可以设置提示信息,拒绝时的提示信息

icmp-net-unreachable

icmp-host-unreachable

icmp-port-unreachable,

icmp-proto-unreachable

icmp-net-prohibited

icmp-host-pro-hibited

icmp-admin-prohibited

当不设置任何值时,默认值为icmp-port-unreachable。

用法:

# iptables -t filter -I INPUT 2 -j REJECT --reject-with icmp-host-unreachable

LOG

只记录匹配到的报文信息。

在配置文件 /etc/rsyslog.conf 中加入下面一行。重启服务即可。

kern.warning /var/log/iptables.log

# service rsyslog restart

LOG 参数

--log-level 选项可以指定记录日志的日志级别,可用级别有emerg,alert,crit,error,warning,notice,info,debug。

--log-prefix 选项可以给记录到的相关信息添加"标签"之类的信息,以便区分各种记录到的报文信息,方便在分析时进行过滤。

示例:

比如,想要将主动连接22号端口的报文的相关信息都记录到日志中,并且把这类记录命名为"want-in-from-port-22",则可以使用如下命令

# iptables -t filter -I INPUT -p tcp -m state --state NEW -j LOG --log-prefix "want-in-from-port-22"

SNAT

配置SNAT,可以隐藏网内主机的IP地址,也可以共享公网IP,如果只是共享IP的话,只配置如下SNAT规则即可。

示例:

# iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 123.123.2.2

如果公网IP是动态获取的,不是固定的,则可以使用MASQUERADE进行动态的SNAT操作。

# iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -o eth0 -j MASQUERADE

二、数据通过iptable的流程

centos 利用iptables端口复用

客户端:192.168.232.128

服务端:192.168.232.129

1、在服务端添加客户端ip访问本机的8000端口的流量转发到22端口

iptables -t nat -A PREROUTING -p tcp -s 192.168.232.128 --dport=8000 -j REDIRECT --to-port=22

iptables -L -t nat --line-numbers #显示所有带序列号的nat策略

iptables -t nat -D PREROUTING number #删除指定的nat策略

在客户端通过ssh连接8000端口,即可实现远程

2、根据源址+源端口做端口复用

服务端将来自客户端ip基于2222端口访问本地8000端口的流量转发到本机的22端口

iptables -t nat -A PREROUTING -p tcp -s 192.168.232.128 --sport=2222 --dport=8000 -j REDIRECT --to-port=22

客户端使用本地ncat/socat开启1111端口,并将1111的流量通过2222端口远程访问服务端的8000端口

nohup socat tcp-listen:1111,fork,reuseaddr tcp:192.168.232.129:8000,sourceport=2222,reuseaddr &

连接本地的1111端口即可连接到服务端ssh端口

3、利用ICMP协议做开关

iptables -t nat -N LETMEIN #创建端口复用链

iptables -t nat -A LETMEIN -p tcp -j REDIRECT --to-port 22 #创建端口复用规则,将流量转发至 22 端口

iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1139 -m recent --set --name letmein --rsource -j ACCEPT #开启开关,如果接收到一个长为 1139 的 ICMP 包,则将来源 IP 添加到加为letmein的列表中

iptables -t nat -A PREROUTING -p icmp --icmp-type 8 -m length --length 1140 -m recent --name letmein --remove -j ACCEPT #关闭开关,如果接收到一个长为 1140 的 ICMP 包,则将来源 IP 从 letmein 列表中去掉

iptables -t nat -A PREROUTING -p tcp --dport 8000 --syn -m recent --rcheck --seconds 3600 --name letmein --rsource -j LETMEIN #如果发现 SYN 包的来源 IP 处于 letmein 列表中,将跳转到 LETMEIN 链进行处理,有效时间为 3600 秒

开启复用

#向目标发送一个长度为 1111 的 ICMP 数据包(加上包头28,总长度实际为1139)

ping -c 1 -s 1111 192.168.232.129

关闭复用

#向目标发送一个长度为 1112 的 ICMP 数据包(加上包头 28,总长度实际为 1140)

ping -c 1 -s 1112 192.168.232.129

4、利用TCP协议做开关

iptables -t nat -N Hacker # 创建子链 做为复用链

iptables -t nat -A Hacker -p tcp -j REDIRECT --to-port=22 # 创建规则,将流量转发到22端口

iptables -A INPUT -p tcp -m string --string 'on' --algo bm -m recent --set --name Hacker --rsource -j ACCEPT # 如果接受到包含'on'字符串的tcp包,就将源ip加入该子链

iptables -A INPUT -p tcp -m string --string 'off' --algo bm -m recent --name Hacker --remove -j ACCEPT # 如果接受到包含'off'字符串的tcp包,将改ip从子链中移除

iptables -t nat -A PREROUTING -p tcp --dport=8000 --syn -m recent --rcheck --seconds 3600 --name Hacker --rsource -j Hacker # 如果发现源ip在子链中,则跳转到子链处理,有效时间3600秒

secaryuan
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables基本概念及操作
Error_404notFound的博客
05-31 730
定义 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于TCP/IP
Centos 7开放和删除端口
05-24
Centos 7开放和删除端口Centos 7 或 RHEL 7 或 Fedora 中防火墙由 firewalld 来管理,而不是 iptables
使用iptables OUTPUT规则实现负载均衡
为君歌一曲
01-14 7997
目的:希望本机服务在发出调用请求的时候,可以负载均衡到不同的目的地址。 这个目的看似有些诡异,一般的负载均衡场景都是服务端在收到请求时,在服务端前段的网关上做负载均衡。但是确实存在这样的场景:在微服务治理场景中,没有了全局的负载均衡器,依赖本地代理实现负载均衡算法,如果某个客户端未连接到注册中心,或者其他场景下和注册中心失联,需要手工配置到目的路由,如改下/etc/hosts文件中,加入目的服务...
iptables规则用法
qq_57207718的博客
03-23 675
postrouting链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)prerouting链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)-dport目的端口 例:iptables -A INPUT -p tcp --dport 22。-sport源端口 例:iptables -A INPUT -p tcp --sport 22。-d目的地址 例:iptables -A INPUT -d 192.168.12.1。
iptables系列教程(二) iptables语法规则_iptables -a output -d(1)
最新发布
erthre的博客
04-17 274
匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。(如未指定,则认为是所有链)注意:-F 是清空链中规则,但并不影响 -P 设置的默认规则。匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)目的地址转换,支持转换为单IP,也支持转换到IP地址池。源地址转换,支持转换为单IP,也支持转换到IP地址池。当数据包没有被任何规则匹配时,则按默认规则处理。匹配协议类型,可以是TCP、UDP、ICMP等。可以是单个端口,也可以是端口范围。Policy,设置某个链的默认规则。
iptables表、链、规则
weixin_52034407的博客
04-21 845
关于iptables的表、链、规则的简单介绍
CentOS 7如何快速开放端口
09-15
主要为大家详细介绍了CentOS 7如何快速开放端口,如何使用firewalld开放Linux端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Centos7如何开启端口的方法示例
09-15
主要介绍了Centos7如何开启端口的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux Centos7系统端口占用问题的解决方法
09-15
Linux CentOS7系统中,有时会遇到端口占用的问题,这可能会导致服务无法启动或通信异常。本篇文章将详细介绍如何解决此类问题,以8080端口为例进行阐述。 首先,我们需要确认哪个进程占用了特定端口。在本案例中...
iptables规则详解
m0_37845900的博客
04-06 196
sad
iptables命令、规则、参数详解
wu瞌睡虫
10-24 4010
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables规则总结
weixin_53139887的博客
01-10 5462
五链四表 链的概念 iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链” 其中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTI
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3187
iptables常用记录
iptables深度总结--基础篇_iptables input output forward(1)
04-03 1044
iprange扩展 指明连续的(但一般不是整个网络)ip地址范围–src-range from[-to] 源IP地址范围–dst-range from[-to] 目标IP地址范围示例: iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --srcrange 172.16.1.5-172.16.1.10 -j DROPicmp协议在网络网络层没有端口(curl 就用不了了,因为curl走的时候tcp协议)
iptables深度总结--基础篇_iptables input output forward(2)
m0_63102527的博客
04-07 640
string pattern 要检测的字符串模式–hex-string pattern要检测字符串模式,16进制格式 示例: iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string - -algo bm --string “google" -j REJECT6. time扩展 根据将报文到达的时间与指定的时间范围进行匹配–datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期。
iptables深度总结--基础篇_iptables input output forward(3)
2401_84166458的博客
04-09 819
multiport扩展 以离散方式定义多端口匹配,最多指定15个端口–source-ports,–sports port[,port|,port:port]… 指定多个源端口–destination-ports,–dports port[,port|,port:port]… 指定多个目标端口–ports port[,port|,port:port]…多个源或目标端口
CentOS 7 iptables 默认规则详解
一直被模仿,从未被超越
06-10 3143
安装 iptables yum install iptables -y #如果没有,安装一下 配置 iptables service iptables status #查看所有防火墙状态规则 iptables -I INPUT -p tcp --dport 443 -j ACCEPT #添加443端口 #屏蔽IP iptables -I INPUT -s 35.0.0.0/...
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1304
对iptables命令的总结
iptables总结存档
u011635437的博客
06-28 916
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。iptables的结构由表Tables,链Chains,规则Rules三部分组成。 首先是iptables的表(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建表: (1). Filter表 Filter是iptables的默认表,它有如下三种内建的链(chains): OUTPUT链 : 就是处
centos7端口转发
10-07
CentOS 7上进行端口转发有两种方法。第一种是将本机端口8080的流量转发至本机端口8088,命令为: [root@centos7 ~]# firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=8088 二种方法是将本机端口8080的流量转发至指定IP192.168.22.55的端口8088,命令为: [root@centos7 ~]# firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=8088:toaddr=192.168.22.55 最后,通过命令[root@centos7 ~]# firewall-cmd --reload来重载防火墙服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值