iptables防火墙 filter表控制 扩展匹配 nat表典型应用

最新推荐文章于 2023-06-06 09:00:00 发布
最新推荐文章于 2023-06-06 09:00:00 发布
阅读量2.8k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jon_stark/article/details/80372221
版权

一 iptables基本管理

            

    1--熟悉iptables框架       

1)iptables的4个表(区分大小写):

iptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)。

2)iptables的5个链(区分大小写):

INPUT链(入站规则)

OUTPUT链(出站规则)

FORWARD链(转发规则)

PREROUTING链(路有前规则)

POSTROUTING链(路由后规则)

   2--iptables命令的基本使用方法

       1)iptabels语法格式           

  1. [root@svr5 ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
  2. [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j REJECT

  4. [root@svr5 ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT
  5. [root@svr5 ~]# iptables -I INPUT -p icmp -j REJECT
  6. //注意事项与规律:
  7. //可以不指定表,默认为filter表
  8. //可以不指定链,默认为对应表的所有链
  9. //除非设置默认策略,否则必须指定匹配条件
  10. //选项/链名/目标操作用大写字母,其余都小写
  11. ########################################################################
  12. //目标操作:
  13. // ACCEPT:允许通过/放行
  14. // DROP:直接丢弃,不给出任何回应
  15. // REJECT:拒绝通过,必要时会给出提示
  16. // LOG:记录日志,然后传给下一条规则



        2)iptables命令的使用案例               

  1. [root@svr5 ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
  2. //追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机
  3. [root@svr5 ~]# iptables -I INPUT -p udp -j ACCEPT
  4. //插入规则至filter表中的INPUT链的开头,允许任何人使用UDP协议访问本机
  5. [root@svr5 ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
  6. //插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机

            查看iptables防火墙规则               

  1. [root@svr5 ~]# iptables -nL INPUT                    //仅查看INPUT链的规则
  2. target prot opt source destination
  3. ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0
  4. ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
  5. ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0
  6. [root@svr5 ~]# iptables -L INPUT --line-numbers        //查看规则,显示行号
  7. num target prot opt source destination
  8. 1 ACCEPT udp -- anywhere anywhere
  9. 2 ACCEPT icmp -- anywhere anywhere
  10. 3 ACCEPT tcp -- anywhere anywhere

        删除规则,清空所有规则               

  1. [root@svr5 ~]# iptables -D INPUT 3
  2. //删除filter表中INPUT链的第3条规则
  3. [root@svr5 ~]# iptables -nL INPUT                //查看规则,确认是否删除
  4. [root@svr5 ~]# iptables -F
  5. //清空filter表中所有链的防火墙规则
  6. [root@svr5 ~]# iptables -t nat -F
  7. //清空nat表中所有链的防火墙规则
  8. [root@svr5 ~]# iptables -t mangle -F
  9. //清空mangle表中所有链的防火墙规则
  10. [root@svr5 ~]# iptables -t raw -F
  11. //清空raw表中所有链的防火墙规则

        设置防火墙默认规则               

  1. [root@svr5 ~]# iptables -t filter -P INPUT DROP
  2. [root@svr5 ~]# iptables -nL
  3. Chain INPUT (policy DROP)
  4. … …

二 filter过滤和转发控制

        1--  iptables防火墙规则的条件         

              1)主机型防火墙案例               

  1. [root@svr5 ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
  2. [root@svr5 ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
  3. [root@svr5 ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
  4. [root@svr5 ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
  5. [root@svr5 ~]# iptables -A INPUT -s 192.168.4.120 -j DROP
  6. //丢弃192.168.4.120发给本机的所有数据包
  7. [root@svr5 ~]# iptables -A INPUT -s 10.0.10.0/24 -j DROP
  8. //丢弃10.0.10.0/24网络中所有主机发送给本机的所有数据包
  9. [root@svr5 ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22-j REJECT
  10. //拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)
            

        2--开启Linux的路由转发功能

            1)Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能。               

  1. [root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward            //关闭路由转发
  2. [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            //开启路由转发
  3. //注意以上操作仅当前有效,计算机重启后无效
  4. [root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
  5. //修改/etc/sysctl.conf配置文件,可以实现永久有效规则

      client             eth0--192.168.4.100

                            网关--192.168.4.5

      proxy             eth0--192.168.4.5

                            eth1--192.168.2.5

       web1            eth1--192.168.2.100

                            网关--192.168.2.5

    设置proxy主机的防火墙规则,保护防火墙后面的Web服务器            

  1. [root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP

       

    3--禁ping的相关策略

            1)默认直接禁ping的问题?               

  1. [root@router ~]# iptables -I INPUT -p icmp -j DROP
  2. //设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
  3. //当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃

            2)禁止其他主机ping本机,允许本机ping其他主机              

  1. [root@router ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
  2. //仅禁止入站的ping请求,不拒绝入站的ping回应包

            注意:关闭ICMP的类型,可以参考help帮助,参考命令如下:               

  1. [root@router ~]# iptables -p icmp --help

三 防火墙扩展规则

    1--根据MAC地址过滤

            1)根据IP过滤的确定是对方修改IP后,防火墙是失效               

  1. [root@router ~]# iptables -F
  2. [root@router ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
  3. //设置规则禁止192.168.4.100使用ssh远程本机

            但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开,需要使用virt-manager开启虚拟机操作:               

  1. [root@client ~]# ifconfig eth0 192.168.4.101
  2. [root@client ~]# ssh 192.168.4.5            

根据MAC地址过滤,可以防止这种情况的发生       

  1. [root@client ~]# ip link show eth0                    //查看client的MAC地址
  2. eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
  3. link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff

  5. [root@router ~]# iptables -A INPUT -p tcp --dport 22\
  6. > -m mac --mac-source 52:54:00:00:00:0b -j DROP
  7. //拒绝52:54:00:00:00:0b这台主机远程本机

    2--基于多端口设置过滤规则

        1)一次需要过滤或放行很多端口时会比较方便               

  1. [root@router ~]# iptables -A INPUT -p tcp \
  2. > -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
  3. //一次性开启20,21,22,25,80,110,143,16501到16800所有的端口

    3--根据IP地址范围设置规则

        1)允许从 192.168.4.10-192.168.4.20 登录               

  1. [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \
  2. > -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
         2)禁止从 192.168.4.0/24 网段其他的主机登录               
  1. [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP

四 配置SNAT实现共享上网

     1--设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)               

1)确保router主机开启了路由转发功能      

  1. [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            //开启路由转发
  2. [root@proxy ~]# echo "net.ipv4.ip_forward"  >> /etc/sysctl.conf

       2)设置防火墙规则,实现SNAT地址转换               

  1. [root@proxy ~]# iptables -t nat -A POSTROUTING \
  2. > -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5

       3)登陆web主机查看日志                  

  1. [root@web1 ~]# tail /var/log/httpd/access_log
  2. .. ..
  3. 192.168.2.5 - - [19/May/2018:16:49:28 +0800] "GET / HTTP/1.1" 200 10 "-" "curl/7.29.0"

      


MASQUERADE     伪装

        iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -j MASQUERADE


filter表:

INPUT            数据包的目的ip地址是防火墙的ip地址,这个数据包是防火墙接收的

OUTPUT        数据包的源地址是防火墙的ip地址,这个数据包是防火墙产生的

FORWARD    数据包的源地址跟目的地址都不是防火墙的ip地址,这个链的规则可以过滤nat表的数据包


nat表:

POSTROUTING

共享上网

service iptables save                    //将临时设置的规则保存到/etc/sysconfig/iptables

systemctl  enable  iptables         //把iptables服务设置成开机自启,后续开机都会调用/etc/sysconfig/iptables文件里的规则

gene_zeng
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 下防火墙的配置及应用说明(NAT & filter
weixin_42260057的博客
07-05 3801
一、整体介绍       防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就...
Linux之iptablesNAT)讲解篇
qq_62311779的博客
06-18 4460
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT: ——查看iptables配置 SNAT(源地址转换):...
Linux-iptablesfilter)详解
qq_62311779的博客
06-12 4434
目录一、iptables简介 :(1)基本认识:(2) 四五链: 1、“四”是指 iptables 的功能 2、“五链”是指内核控制网络的 NetFilter 定义的 5 个规则链。每个规则中包含 多个数据链,防火墙规则需要写入到这些具体的数据链中。 3、 iptables的结构: 4、图解:​二、安装iptables服务: 三、路由转发配置: 四、filte: ——查看 filter 的详细规则—— INPUT 入站链(找我的:—— FORWAR
iptables 防火墙filter
种一颗树最好的时间是十年前,其次是现在!
07-17 2013
IP信息包括过滤系统,它实际上由两个组件netfilteriptables组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。为了更加方便的组织和管理防火墙规则,iptables采用了和链的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中。总结里有链,链里有规则。...
10.6: iptables防火墙filter控制扩展匹配nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙filter 控制扩展匹配nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙filter 控制扩展匹配nat 典型应用。通过学习本节课程,学生将...
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Linux上iptables防火墙的基本应用教程.docx
10-29
iptables 是 Linux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口、iptables 屏蔽指定 IP、IP 段及解封、删除已添加iptables 规章等 iptables 的基本应用。...
CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法
09-15
主要介绍了CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法,需要的朋友可以参考下
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+与链概述+iptables命令参数+配置filter规则+NAT实现共享上网、端口转发、IP映射)
最新发布
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9206
这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
L7-filter总结
09-21 7101
<br /><br />1、概述<br /> <br />  L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的一个外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (OSI应用层) 过滤功能, 限制封杀 P2P、即时通讯(MSN、QQ、AIM)软件。<br /> <br />官方站点http://l7-filter.sourceforge.net/<br /> <br />2
iptables nat含义_iptablesnat
weixin_39848970的博客
12-21 683
iptablesnat可以实现SNAT, DNAT, 双向NAT和两次NAT.一. 源地址NAT1. 标准的SNATSNAT的目的是进行源地址转换,应用于POSTROUTING规则链.在路由决定之后应用.SNAT与出站接口相关,而不是入站接口. 语法如下:iptables -t nat -A POSTROUTING -o -j SNAT --to-source [-][:port-port]...
linux l7,linux iptables L7-filter
weixin_34312149的博客
05-16 263
一、L7-filter介绍TCP/IP模块总共包含四层,在L7-filter之前,netfilter可以过滤前三层数据,分别为网络接口层,网络层,传输层,具体实现方法如下:Network access layer: iptables -A CHAIN -m mac --mac-source …"Internet: iptables -A CHAIN -s IP_ADDRESS …"Transpor...
linux l7filter命令行,iptables--L7-filter实现高级管理
weixin_33558072的博客
05-01 336
l7-filter是一个定义在应用层上的来过滤数据包的。它可以按照不同的应用进行过滤,比如过滤聊天工具QQ、MSN、eDonkey等应用。接下来讲述l7-filter的编译安装和使用:1、准备工作:内核:linux-2.6.28.10.tar.gzl7协议:l7-protocols-2009-05-28.tar.gzl7过滤包:netfilter-layer7-v2.22.tar.gz2、解压内核...
iptables详解之filter
LIUQIANQIAN3333的博客
08-21 470
iptables详解之filter iptables令很多小伙伴脑阔疼,下面我们来说说如何使用iptables。 一、iptables格式 1.1、iptables 帮助 通过iptables --help查看一下iptables用法 [root@note1 ~]# iptables --help iptables v1.4.21 Usage: iptables -[ACD] chai...
iptables的四五链与NAT工作原理
tinychen
02-25 2411
本文主要介绍了iptables的基本工作原理和四五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
防火墙的规则与规则链
weixin_43831670的博客
04-18 2456
前言: 防火墙防火墙(Firewall)也称为防护墙,防火墙位于内部网和 外部网之间的屏障,它按照管理员预先定义好的规则来控 制数据包的进出,防火墙是系统的第一道防线,其作用是 防止非法用户的进入。网络防火墙可视为一种IP封包过滤 器,运作在地层的TCP/IP协议堆栈上,我们可以以枚举的 方式,允许只符合特定规则的封装包通过,其余一律禁止 穿越防火墙(病毒...
iptables nat含义_iptablesNAT
weixin_39760389的博客
12-21 553
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的netfilter,在这里就简要的讲解下iptablesnat,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
iptables防火墙实战:filternat应用扩展规则解析
"10.6章节讲解了iptables防火墙的使用,包括filter控制扩展匹配nat典型应用,以及对相关知识点的总结和解答。文档通过多个案例介绍了iptables的基本管理和应用,如关闭firewalld,启用iptables服务,添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值