iptables的小实验

最新推荐文章于 2024-07-26 16:29:45 发布
最新推荐文章于 2024-07-26 16:29:45 发布
阅读量322 收藏
点赞数
分类专栏: linux网络 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49023005/article/details/119809841
版权

iptables其实就是通过表的形式对我们的数据包进行一些限制。

这里的话我们只实验常见的表和链,其他的暂先不实验,因为用的很少。

1. filter表:对进入宿主机和从宿主机发出去的数据包进行过滤

2. nat表:网络地址转换,DNAT,数据包到了当前宿主机的时候,我们把数据的目的地址/端口修改了,然后就可以转发到其他机器了。SNAT,反之。

我们先查看一下宿主当前的规则

[root@master1 ~]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 142 packets, 7804 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br-acc96e30ac37 !br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br-acc96e30ac37 br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br-3330b1262d6f !br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  br-3330b1262d6f br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      docker_gwbridge  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      docker_gwbridge  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  docker_gwbridge !docker_gwbridge  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  docker_gwbridge docker_gwbridge  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 135 packets, 8508 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER (4 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-acc96e30ac37 !br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0           
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  br-3330b1262d6f !br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0           
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker_gwbridge !docker_gwbridge  0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (4 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      br-acc96e30ac37  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      br-3330b1262d6f  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      docker_gwbridge  0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
[root@master1 ~]#

关于DOCKER-xxx的一些规则先不管,这是docker创建的,后边有学习到这部分再细讲吧。

这里我们只关心INPUT ,FORWARD ,OUTPUT 这三个链,这里的话,网上有一个经典的图片来表示我们数据包进入本机和出去的过程

总的来说,我们的数据包就两条路,要么发送给本机,要么就发送给其他机器。发送给其他机器的话,就多了一个FORWARD链,这个我们下面有试验。

我们先试验INPUT和OUTPUT

关于INPUT和OUTPUT的字段这块可以参考另外的文章

我们直接开始试验filter表中的INPUT和OUTPUT

这里先试验INPUT,通过前面的命令,可以看到我们的INPUT和OUTPUT对于数据包的处理都是ACCEPT,这里我们在宿主机上启动一个nginx,然后访问

现在我们添加一条规则,让本机收到80端口的数据包,就直接丢弃

[root@master1 ~]# iptables -t filter -A INPUT -j DROP -p tcp --dport 80

然后再次访问,结果访问不了,证明规则生效

[root@master1 ~]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 542 packets, 30534 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   45  2340 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
..........

[root@master1 ~]# iptables -t filter -D INPUT 1
//因为我们就添加了一条规则,后边这个数字表示第几条

 现在试验一下OUTPUT的规则

[root@master1 ~]# iptables -t filter -A OUTPUT -j DROP -p tcp --dport 22-d 192.168.64.151

 上面的规则是,只要发送到192.168.64.151,并且端口是80的数据包都要被丢弃掉,80是sshd的默认端口,这个时候,我就无法远程连接151这台机器了。

[root@master1 ~]# ssh root@192.168.64.151
ssh: connect to host 192.168.64.151 port 22: Connection timed out

 删除这条规则

[root@master1 ~]# iptables -t filter -D OUTPUT 1
[root@master1 ~]# ssh root@192.168.64.151
root@192.168.64.151's password:

现在试验FORWARD的规则,FORWARD是当收到需要通过防火中转发给其他地址的数据包时,将应用此链中的规则,所以这个时候需要nat表了

[root@master1 ~]# iptables -t nat -nvL 
Chain PREROUTING (policy ACCEPT 148 packets, 8880 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  148  8880 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 148 packets, 8880 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 144 packets, 8688 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  213 12780 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 144 packets, 8688 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      !br-acc96e30ac37  172.19.0.0/16        0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      !br-3330b1262d6f  172.20.0.0/16        0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      !docker_gwbridge  172.18.0.0/16        0.0.0.0/0           

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  docker_gwbridge *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  br-acc96e30ac37 *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  br-3330b1262d6f *       0.0.0.0/0            0.0.0.0/0           
[root@master1 ~]#

nat表中多了POSTROUTING 和PREROUTING 这两个链,它们的意思是

PREROUTING :在对数据包做路由选择之前,将应用此链中的规则,如果想要修改目的地址的话,因为目前是发往本机的,所以我们在这个时候把数据包的目的地址给改了,这样就跳转到其他机器上去了。

POSTROUTING :在对数据包做路由选择之后,将应用此链中的规则,这个是改源地址的。

我们现在有两台机器

master1 192.168.64.150,没有运行nginx

[root@master1 ~]# docker ps 
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES
[root@master1 ~]#

master2 192.168.64.151,运行着nginx

[root@master2 ~]# docker ps 
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                  NAMES
75919ba70120        nginx               "/docker-entrypoint.…"   18 minutes ago      Up 18 minutes       0.0.0.0:7751->80/tcp   zen_kowalevski
[root@master2 ~]#

我们要做的事情就是把发到192.168.64.150:7750的数据包发送到192.168.64.151:7751上。

把192.168.64.150:7750发送到192.168.64.151:7751的数据包源地址改成192.168.64.150

iptables -t nat -A PREROUTING -p tcp --dport 7750 -j DNAT --to 192.168.64.151:7751

我们数据包经过上面的转换,已经可以发送到192.168.64.151了,但是访问的是nginx服务器,这个时候有个响应的过程,响应的话需要添加下面的规则才可以。

iptables -t nat -A POSTROUTING -p tcp -d 192.168.64.151 --dport 7751 -j SNAT --to 192.168.64.150

【 -j SNAT --to 192.168.64.150 等价于 -j MASQUERADE】

补充一下我测试环境的规则

strongleechm
关注
专栏目录
03-iptables-实验
husa的博客
01-28 943
03-iptables-实验实验A(172.16.11.206) B(172.16.11.216) C(172.16.11.207)1 允许B访问A而C不行# A [root@husa ~]# iptables -L -n -v Chain INPUT (policy ACCEPT 782 packets, 74731 bytes) pkts bytes target prot opt
Linux iptables防火墙实验
qq_45070118的博客
06-17 8509
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
网络安全之iptables 实验篇一
weixin_33755847的博客
03-01 409
linux下iptables的重要性大家都不陌生吧?今天就以实验的形式把iptables的基本配置简要总结一下,还请大家不吝赐教,多多斧正才好!有关iptables的具体语法和格式将在理论部分具体阐述,在这里就不赘述了。 先来回顾一下iptables的语法格式: iptables [ -t table ] COMMAND chains [ num ] match c...
防火墙——iptables实验
最新发布
nianwan2157的博客
07-26 284
清空所有的规则表,清空之后客户端可以访问。远程登录该服务器,允许该主机访问服务器的。服务,设置任何人能够通过。实验三:禁止某个主机地址。
iptables综合实验
weixin_34357962的博客
01-10 145
实验目的:使用iptables作为公司内网的网关,使内网用户可以正常访问外网。内网有一台web服务器需要对外提供内网有两台服务器部署了samba,ftp和dns服务,给内网用户使用对192.168.1.10-192.168.1.50的用户限速GW192.168.1.200(连接外网) 192.168.2.1(连接内网)WEB Server192.168.2.202O...
Linux-iptables初识
weixin_30622107的博客
07-16 166
Linux-iptables初识 了解 iptables是与Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好的控制IP信息包过滤和防火墙配置。 netfilter/iptables IP信息包过滤系统是一种强大的工具,可用于添加、编辑和去除规则,这些规则是在做信息包过滤决定时,...
iptables 基本实验
要啥啥不行,偷懒第一名
11-01 785
简单配置telnet、ping中iptables过滤 预备知识 1、Iptablesfilter/nat/mangle表 2、基本命令iptables-L /IPTABLES -F /iptables-D /iptables-A等 3、Iptables的保存于恢复 选项: -L : 显示规则链中已有的条目; -F : 清除规则链中已有的条目; -D : 从规则链中删除条目; -A : 向规则链添加条目; -i : 向规则链中插入条目; -R : 替...
防火墙与入侵检测技术-iptables基本使用实验报告.docx
11-05
防火墙与入侵检测技术-iptables基本使用实验报告
防火墙IPTABLES综合实验
Super_Rookie_Boy的博客
01-23 448
防火墙IPTABLES综合实验 在虚拟主机A中 1.关闭防火墙iptables [root@localhost hp]# service iptables stop iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules:
Linux系统iptables防火墙实验指导书借鉴.pdf
12-25
Linux系统iptables防火墙实验指导书借鉴.pdf
iptables小案例
aoli_shuai的博客
12-01 247
iptables 小案例 需求 :只针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.137.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。 这需求不复杂,但是有许多条规则,写成脚本形式。 脚本内容:#! /bin/bash ipt="/usr/sbin/iptables" //定义一个变量(关于iptables命令的绝对路
《网络安全》实验指导书 Linux系统iptables防火墙
03-24
《网络安全》实验指导书 Linux系统iptables防火墙
iptables防火墙【其二 实验篇】
2301_82109773的博客
05-23 909
SNAT 内网 --> 外网 转换源地址iptables -t nat -A POSTROUTING -s 内网的源地址/网段 -o 出站网卡 -j SNAT --to 要转换的公网源地址。
通过实验学习Iptables规则
qq_36472340的博客
08-29 196
本文对重要的表和链进行了实验验证,包括filter表中的INPUT/OUTPUT/FORWARD链,NAT表中的POSTROUTING/PREROUTING链。
linux iptables配置命令实验
fcglx的博客
12-09 943
1. iptables动作: ACCEPT(允许流量通过)  REJECT(拒绝流量通过) DROP(拒绝流量通过,丢包状态) LOG(记录日志信息) 2. iptables基本参数。-P设置默认策略;-F清空规则链;-L查看规则链;-A在规则链末尾加入新规则;-I num 在规则链头部加入新规则;-D num删除第num条规则;-s匹配来源地址IP/MASK,加!号是反取。-d匹配目标地址;-...
网络安全实验iptables
bug_maker
12-11 1096
网络安全实验iptables 1.为了使用netstat命令需要安装 yum install net-tools 2.还有可能需要安装iptables yum install iptables 完成上述安装之后,就可以进行iptables的配置了 iptables -L -n 用于查看iptables规则 iptables -F 清除预设表filter中的所有规则链的规则
Linux实验记录:使用iptables
d3535的博客
01-30 898
是一种服务。
linux iptables 防火墙实验
weixin_43171033的博客
04-30 932
转自:https://blog.csdn.net/weixin_43762939/article/details/92834101 用于学习iptables的使用
Linux上iptables实验目的
06-02
Linux上iptables实验的主要目的是学习和理解Linux系统的网络安全机制,以及掌握使用iptables进行网络安全防护和管理的技能。通过实验,可以了解iptables的基本概念、工作原理和应用场景,掌握iptables规则的编写和配置方法,学习网络流量分析和安全监控等技术。此外,还可以通过实验加深对Linux系统网络通信的理解,提高系统管理和网络安全的实践能力。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值