iptables
iptables 是一款基于命令行的防火墙策略管理工具,具有大量参数,我们只需要掌握常用的参数并做到灵活搭配即可,这就足以应对日常工作了。
iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。
三张表五条链
filter: input output forward
nat : input output prerouting postrouting
mangle: input output forward prerouting postrouting
五条链:
INPUT:进来的数据包应用此规则链中的策略
OUTPUT:外出的数据包应用此规则链中的策略
FORWARD:转发数据包应用此规则中的策略
PREROUTING:对数据包作路由选择前一共用此链中的策略(所有的数据包进来的时候都有这个链处理)
POSTROUTING:对数据包作路由选择后应用此链中的策略(所有的数据包出来的时候都由这个链处理)
1.启用iptables
[root@client ~]# systemctl stop firewalld.service
[root@client ~]# systemctl disable firewalld.service
[root@client ~]# systemctl start iptables.service
[root@client ~]# systemctl enable iptables.service
2.iptables参数
-P 默认
-A 添加(会添加到最后)
-I(大写的i) 表示插入,后面接数字,可以指定插入位置
-R修改
-F清除
-n表示不作解析
-L列出当前火墙策略
-D (后面接数字)删除某一条规则
-s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如 TCP、UDP、ICMP
–dport num 匹配目标端口号
–sport num 匹配来源端口号
如:
[root@client ~]# iptables -nL #n表示不作解析,L列出当前火墙策略
[root@client ~]# iptables -F #刷新
[root@client ~]# service iptables save #保存
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
刷新
3.iptables策略规则
防火墙策略规则的设置有两种:ACCEPT和DROP。当把 INPUT 链设置为默认拒绝后,就要在防火墙策略中写入允许策略了,否则所有到来的流量都会被拒绝掉。另外,需要注意的是,规则链的默认拒绝动作只能是 DROP,而不能是 REJECT,DROP 和REJECT的区别在于DROP不仅拒绝而且不做响应,而REJECT拒绝之后在访问的一端会有提示
[root@localhost ~]# iptables -P INPUT DROP
[root@localhoat ~]# iptables -P INPUT ACCEPT
4.iptables规则的添加,删除和更改
防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到最前面
规则添加,例如:
[root@localhost ~]# iptables -A INPUT -s 172.25.254.155 -p tcp --dport 22 -j REJECT #向INPUT链中添加拒绝172.25.254.155访问22端口
或
[root@localhost ~]# iptables -I INPUT 1 -s 172.25.254.155 -p tcp --dport 22 -j REJECT #向INPUT链中添加拒绝172.25.254.155访问22端口,
规则删除,例如:
[root@localhost ~]# iptables -D INPUT 1 #删除第一条
规则更改,例如:
[root@localhost ~]# iptables -R INPUT 1 -s 172.25.254.155 -p tcp --dport 22 -j REJECT #把INPUT链中第一条规则改为允许172.25.254.155访问22端口
拒绝172.25.254.155访问22端口
测试:172.25.254.155不能远程连接
172.25.254.252可以远程连接
删除前和删除后
更改前与更改后
5.标识策略
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT #只检测第一次使用22端口用户的访问
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT
6.伪装与转发
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source=172.25.254.140 #地址伪装
[root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 172.25.0.240 #端口转发
测试:地址伪装
端口转发