【iptables】01_基础介绍以及相关案例

已于 2022-11-25 15:27:14 修改
阅读量157 收藏
点赞数
分类专栏: Linux 文章标签: 服务器 网络 运维
于 2022-11-09 19:14:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hebaojing/article/details/127768214
版权

文章目录

基础

整体介绍

iptables的是一个用户空间实用程序,允许系统管理员来配置规则实现路由以及防火墙策略。

  1. 表,对应不同处理数据包的内核模块。表由链组成。

    • filter:过滤
    • nat:网络地址转换
    • mangle: 拆解和封装报文
    • raw:最先接触数据包的表,可以让某个数据包跳过过滤原则

  2. 链,不同访问路径会经过不同的链。常用表包括nat,filter。默认情况:

    • filter表包含 INPUT,OUTPUT, FORWARD内建链。
    • nat表包含 PREROUTING, POSTROUTING ,OUTPUT

在这里插入图片描述

语法

-i eth0 匹配是否从网卡eth0进来
-o 匹配数据流出的网卡
-s 192.168.0.1 匹配来自192.168.0.1的数据包
-d 10.11.44.33 匹配去往10.11.44.33的数据包
--dport 80 匹配目的端口是80的数据包
--sport 80 匹配源端口是80的数据包
-j 动作处理,包括ACCEPT, DROP, SNAT, DNAT, MASQUERADE

SNAT与DNAT介绍

DNAT (destination networkaddress translation)的缩写,即目标网络地址转换,典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip,互联网上的访问者使用公网ip来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上,这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了即DNAT,基于目标的网络地址转换。

SNAT ( source networkaddress translation)的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IPPC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了,所以叫做SNAT,基于源地址的地址转换。

MASQUERADE地址伪装,是SNAT的一个特例。SNAT是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样接收方就认为数据包的来源是被替换的那个IP的主机;
MASQUERADE 是用发送数据的网卡上的IP来替换源IP,因此对于那些IP不固定的场合,比如拨号网络或者通过 dhcp 分配IP的情况下,就得用 MASQUERADE;
DNAT就是指数据包从网卡发送出去的时候,修改数据包中的目的 IP,表现为如果你想访问 A,可是因为网关做了 DNAT,把所有访问 A 的数据包的目的IP全部修改为 B,那么你实际上访问的是B
因为,路由是按照目的地址来选择的,因此DNAT是在PREROUTING链上来进行的,而SNAT 是在数据包发送出去的时候才进行,因此是在POSTROUTING链上进行的。

端口转发

单网卡转发

多个主机之间,实现数据转发功能。中间120服务器用于数据转发。130服务器运行nginx服务,默认端口80,需要将此服务映射到120服务器的5555端口。然后用户直接访问http://192.168.1.120:5555/就可以访问到指定服务。
在这里插入图片描述

  1. 130服务器已部署好nginx服务
    在这里插入图片描述

  2. 如果我们还未做iptables端口转发,直接访问http://192.168.1.120:5555/,肯定是访问不通的。
    在这里插入图片描述

  3. Proxy服务器配置端口转发功能。
    开启路由转发规则并立即生效

echo "net.ipv4.ip_forward = 1" >>  /etc/sysctl.conf

sysctl -p

数据包被转发到目标主机

iptables -t nat -A PREROUTING  -p tcp -d 192.168.1.120 --dport 5555 -j DNAT --to-destination 192.168.1.130:80

转发数据包回路

iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.130 --dport 80 -j SNAT --to-source 192.168.1.120

查看配置好的规则是否已经生效。

[root@centos7 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             centos7              tcp dpt:personal-agent to:192.168.1.130:80

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       tcp  --  anywhere             test1                tcp dpt:http to:192.168.1.120
[root@centos7 ~]#
  1. 访问Proxy服务器指定端口,确认iptables是否已经生效
    在这里插入图片描述

抓包验证

130服务器抓包,tcp协议,指定130服务器网卡,130服务器上的端口80,源主机是120

tcpdump tcp   -i ens192 port  80 and src host 192.168.1.120

在这里插入图片描述

tcpdump -i ens192 host 192.168.1.130 -w 120.pcap
在这里插入图片描述

双网卡转发

在这里插入图片描述

常用操作

  1. 查看指定表dilter的规则,列出行号
iptables -t filter -nvL --line-number
  1. 删除指定规则filter表中的FORWARD链第1条规则
iptables -t filter -D FORWARD 1
  1. 拒绝所有人访问
iptables -t filter -A INPUT -j DROP

引用

  • https://www.cnblogs.com/morgan363/p/11811566.html
  • https://www.cnblogs.com/gaoyanbing/p/12781544.html
  • https://untitled.pw/software/linux/2818.html 防止暴力攻击
  • https://juejin.cn/post/7090181016135925796 内容详细,格式完整
我是旺领导
关注
专栏目录
linux简介及基础教程和实用案例分析及特点阐述.txt
07-10
### Linux简介及基础教程和实用案例分析及特点阐述 #### Linux概述 Linux是一种免费且开源的操作系统内核,由Linus Torvalds于1991年首次发布,并且随着时间的发展逐渐演变成一个完整的操作系统。Linux以其高度...
[Linux系列|iptables]Iptables详解①
qq_43714097的博客
09-22 3237
一. 防火墙基本概述 1. 什么是防火墙? ‘因特网’把世界各地的计算机都紧密的连接在一起,如果我们不严加防卫,一旦网络被侵害,可能出现不可预计的损失,那么在互联网上,我们会采用防火墙的方法来保护我们的网站不受外来攻击或侵害,为此我们需要设定防火墙规则,确定哪些类型的数据允许通过,哪些不允许通过。那么具有这种功能的设备或者软件就称为‘防火墙’。 2. 防火墙种类 · 从逻辑上将,防护墙可以大体分为主机防火墙和网络防护墙 主机防护墙:针对单台主机进
linux防火墙iptables
qq_52825616的博客
04-24 2203
目录 一、防火墙iptables的概述 1、防火墙的作用 2、netfilter和iptables的关系 3、四表五链 4、常用的控制类型 二、配置基础iptables 1、配置格式 2、查看配置列表 3、添加规则 4、设置默认策略 三、规则匹配 1、通用匹配 2、隐含匹配 3、显示匹配 4、状态匹配 一、防火墙iptables的概述 1、防火墙的作用 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软
docker 的 iptables策略详解和用户自定义策略的添加
最新发布
运维玄德公
07-15 1107
docker 的 iptables策略详解和用户自定义策略的添加
防火墙管理之iptables
T3212379478的博客
06-02 1247
iptables是配置netfilter过滤功能的用户空间工具。netfilter才是防火墙真正的安全框架,netfilter位于内核空间。我们可以理解iptables为一种命令行工具。iptables处理数据包的定义方法有,放行(accept)、拒绝(reject)、丢弃(drop)等。netfilter才是真正的防火墙,它是内核的一部分,那它要起作用,就需要在内核中设置关卡,所有进出报文都要通过这些关卡,经过检查,符合放行条件的才能放行,反之阻止。
iptables
supahero的博客
09-17 161
原文链接: https://www.cpweb.top/760 参考文章:https://www.linuxprobe.com/chapter-08.htmlhttps://www.cnblogs.com/zhujingzhi/p/9706664.html#_label1_0 一、防火墙   防火墙主要用来依据策略对穿越防火墙的流量进行过滤,iptables与firewalld是linux系统中用来定义防火墙策略的防火墙管理工具。   iptables服务会把配置好的防火墙策略交由内核层面的n...
运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 1万+
这篇文章给大家介绍iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
iptables常用命令和使用
02-21
### iptables常用命令详解 #### 一、iptables简介 ...掌握iptables的基本用法和命令是管理Linux系统安全的基础。随着对iptables更深入的理解,可以利用更多的高级特性来优化网络环境的安全性和性能。
Linux_net_internal.rar_linux 内核详解_linux驱动编程
09-22
描述中的“详解”意味着我们将涉及的内容会非常详细,不仅会涵盖基础概念,也会包含高级主题,旨在为读者提供全面的了解。 Linux内核是操作系统的核心,负责管理硬件资源,提供系统调用接口,并处理进程调度、内存...
企业级LINUX应用服务器配置案例
09-19
在企业环境中,Linux操作系统因其稳定性、安全性以及开源特性,常被用作应用服务器基础平台。本案例将深入探讨如何配置企业级Linux应用服务器,确保高效、可靠的服务运行。以下是一些关键的知识点: 1. **选择...
iptables防火墙
ynyysn的博客
02-17 2063
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
2021-07-10 linux学习-网络方面(三) 配置防火墙之iptables
x629242的博客
07-10 619
配置防火墙之iptables 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。 一 查看当前规则 iptables -L.
服务器安全之iptables iptables
linuxlsq的博客
09-21 3471
服务器安全之iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
防火墙服务例题
m0_56153480的博客
10-25 183
服务端开启firewalld或者iptables服务,客户端可以通过http://ip/访问到的页面信息为hello,world;客户端可以通过端口2000访问服务器的ssh服务 关闭防火墙和selinux: [root@143 html]# systemctl stop firewalld [root@143 html]# setenforce 0 装包: [root@143 ~]# yum install httpd -y 输入内容: [root@143 ~]# cd /var/www/html/ [
Iptables 基本设置指南
leechm的博客
08-16 3414
目录 Basic Commands 基本命令 Allowing Established Sessions 允许已建立的连接接收数据 Allowing Incoming Traffic on Specific Ports 开放指定的端口 Blocking Traffic 阻断通信 Editing iptables 编辑iptables Logging 记录 Saving iptables 保存设置 Configuration on startup 开机自动加载配置 Tips 技巧 Basi
iptables入门与实战:热点管理案例解析
这篇笔记不仅介绍iptables基础概念,还强调了实践中的应用和注意事项,适合那些准备学习或正在使用iptables的IT人员参考。通过阅读和实践,读者将能够掌握iptables这一强大工具,从而在日常网络管理中更加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值