【Linux安全之iptables自定义链】

最新推荐文章于 2023-10-02 21:37:09 发布
最新推荐文章于 2023-10-02 21:37:09 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: LINUX 文章标签: linux 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengmeng_921/article/details/126829693
版权

iptables 是运行在用户空间的应用软件,通过控制 Linux 内核 netfilter 模块,来管理网络数据包的处理和转发。在大部分 Linux 发行版中,可以通过手册页 或 man iptables 获取用户手册。通常 iptables 需要内核模块支持才能运行,此处相应的内核模块通常是 Xtables。在这里插入图片描述

Linux安全之iptables自定义链

【1】自定义链的原因【2】用户自定义链的设计【3】用户自定义链创建【4】用户自定义链重命名【5】用户自定义链删除【6】实战演示

Linux安全之iptables自定义链在这里插入图片描述

【1】自定义链的原因

之前,我们一直在使用的都是 iptables 默认链中定义规则,所有我们也可以自定义链。

当默认链中的规则非常多时,不方便我们管理。

想象一下,如果 INPUT链中存放了 200 条规则,这 200 条规则有针对 httpd 服务的,有针对 sshd 服务的,有针对私网 IP 的,有针对公网 IP 的。假如,我们突然想要修改针对 httpd 服务的相关规则,难道我们还要从头看一遍这 200 条规则,找出哪些规则是针对 httpd 的吗?这显然不合理。

所以,iptables 中可以自定义链,通过自定义链即可解决上述问题。

【2】用户自定义链的设计

假设,我们自定义一条链,链名叫 IN_WEB。我们可以将所有针对 80 端口的入站规则都写入到这条自定义链中,当以后想要修改针对 Web 服务的入站规则时,就直接修改 IN_WEB 链中的规则就好了。即使默认链中有再多的规则,我们也不会害怕了,因为我们知道,所有针对 80 端口的入站规则都存放在 IN_WEB 链中。

同理,我们可以将针对 sshd 的出站规则放入到 OUT_SSH 自定义链中,将针对 Nginx 的入站规则放入到 IN_NGINX 自定义链中,这样,我们就能想改哪里改哪里,再也不同担心找不到规则在哪里了。

但是需要注意的是,自定义链并不能直接使用,而是需要被默认链引用才能够使用。

【3】用户自定义链创建

#清空防火墙
$ sudo iptables -t filter -F

#创建一个自定义链为IN_WEB
$ sudo iptables -t filter -N IN_WEB

#可以看到自定义的IN_WEB链
$ sudo iptables -t filter -nvL
Chain IN_WEB (0 references)
pkts bytes target prot opt in out source destination

自定义链创建完成后,查看 filter 表中的链。发现自定义链已经被创建,而且这条自定义链的引用计数为 0 (0 references),也就是说,这条自定义链还没有被任何默认链所引用。所以,即使 IN_WEB 中配置了规则,也不会生效。

自定义链已经创建完毕,现在我们就可以直接在自定义链中配置规则了。

##对自定义链的操作与对默认链的操作基本一致

$ sudo iptables -I IN_WEB -s 192.168.31.139 -j REJECT
$ sudo iptables -t filter -I IN_WEB -s 192.168.31.140 -j REJECT

##两者操作基本一致

$ sudo iptables -t filter -nvL
Chain IN_WEB (0 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all – * * 192.168.31.140 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all – * * 192.168.31.139 0.0.0.0/0 reject-with icmp-port-unreachable

自定义链中已经有了一些规则,但是现在这些规则无法匹配到任何报文,因为我们并没有在任何默认链中引用它。既然 IN_WEB 链是为了针对 Web 服务的入站规则而创建的,那么这些规则应该去匹配入站的报文,所以我们应该用 INPUT 链去引用它。

当然,自定义链在哪里创建,应该被哪条默认链引用,取决于实际的工作场景,因为此处示例的规则是匹配入站报文,所以在 INPUT 链中引用自定义链。

定义引用规则,使用-j指定自定义链

在INPUT链中添加了一条规则,访问本机80端口的tcp报文将会被这条规则匹配到IN_WEB链
$ sudo iptables -t filter -I INPUT -p tcp --dport 80 -j IN_WEB

查看定义的引用规则
$ sudo iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 IN_WEB tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain IN_WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all – * * 192.168.31.140 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all – * * 192.168.31.139 0.0.0.0/0 reject-with icmp-port-unreachable

我们使用 -j 选项指定动作,而此处,我们将动作替换为了自定义链。当 -j 对应的值为一个自定义链时,就表示被当前规则匹配到的报文将交由对应的自定义链处理,具体怎样处理取决于自定义链中的规则。

当 IN_WEB 自定义链被 INPUT 链引用以后,可以发现,IN_WEB 链的引用计数已经变为 1,表示这条自定义链已经被引用了 1 次,自定义链还可以引用其他的自定义链。

那么此刻,我们在 192.168.31.140 上尝试访问本机的 80 端口,已经被拒绝访问,证明刚才自定义链中的规则已经生效了。

【4】用户自定义链重命名

过了一段时间,我们发现 IN_WEB 这个名字不太合适,我们想要将这条自定义链重命名,把名字改成 WEB。

自定义链重命名
$ sudo iptables -t filter -E IN_WEB WEB

查看定义的引用规则
$ sudo iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 WEB tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all – * * 192.168.31.140 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all – * * 192.168.31.139 0.0.0.0/0 reject-with icmp-port-unreachable

【5】用户自定义链删除

好了,我们已经能够创建自定义了,那么怎样删除自定义链呢?可以使用 iptables 的 -X 选项可以删除自定义链。

但是删除自定义链时,需要满足两个条件:

1、自定义链没有被任何默认链引用,即自定义链的引用计数为 0。

2、自定义链中没有任何规则,即自定义链为空。

#(1) 删除引用自定义链的规则
$ sudo iptables -t filter -D INPUT 1

(2) 需要清空对应的自定义链
$ sudo iptables -t filter -F WEB

#(3) 删除自定义链
$ sudo iptables -t filter -X WEB

【6】实战演示

#清空nat链的规则
$ sudo iptables -t nat -F

创建自定义链
$ sudo iptables -N clean_in

限制icmp协议的广播ping
$ sudo iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
$ sudo iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP

#禁止非法包
$ sudo iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP
$ sudo iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
$ sudo iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP

#(1)如果是外网访问本地地址172.16.100.7则交给自定义链clean_in处理
$ sudo iptables -A INPUT -d 172.16.100.7 -j clean_in

#(2)如果自定义链没有一条匹配上,则return回去;自定义链返回
$ sudo iptables -A clean_in -d 172.16.100.7 -j RETURN

#(3)本地回环接口都允许
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT

#(4)禁止端口
$ sudo iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
$ sudo iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
$ sudo iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP
$ sudo iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP

#icmp速率限制
$ sudo iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT

GLAB-Mary
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPtables 自定义
Nanqiao_X的博客
02-08 3367
自定义是为了将iptables规则进行分类管理,想象一下,如果INPUT中存放了200条规则,这200条规则有针对httpd服务的,有针对sshd服务的,有针对私网IP的,有针对公网IP的,假如,我们突然想要修改针对httpd服务的相关规则,难道我们还要从头看一遍这200条规则,找出哪些规则是针对httpd的吗?这显然不合理。 1、创建一个名为in_test的 # iptables -N in_test 2、引用in_test # iptables -I INPUT -p tcp --dpor
iptables(8)iptables自定义
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-24 905
配置自定义规则和配置普通规则是一样的,默认是filter表,插入规则后面根的是自定义名称IN-HTTP自定义在哪里创建,应该被哪条默认引用,取决于实际的工作场景。一个自定义可以引用在多个上,自定义引用到上后,就相当于该配置了自定义的规则。匹配顺序和普通规则的匹配顺序是一样的,在该内从上到下一次匹配,匹配到自定义后,按照自定义内规则的顺序依次匹配。
iptables自定义
weixin_39833509的博客
07-10 1031
转自:https://blog.csdn.net/sl1248/article/details/52350768 https://blog.csdn.net/chengxuyuanyonghu/article/details/51897666 iptables -F iptables -X clean_in iptables -N clean_in iptables...
iptables详解(10):iptables自定义
ss810540895的博客
10-20 944
示例:在filter表中创建IN_WEB自定义#示例:在INPUT中引用刚才创建的自定义#示例:将IN_WEB自定义重命名为WEB删除自定义需要满足两个条件1、自定义没有被引用2、自定义中没有任何规则#示例:删除引用计数为0并且不包含任何规则的WEB好了,自定义就总结到这里,希望这篇文章能够对你有所帮助~各位客官,再见啦,么么哒~~
iptables简介 自定义
lbyyy的专栏
12-26 7973
iptables简介 自定义
iptables自定义chain
魏志标的博客
08-10 1773
iptables中,可以创建自定义(Custom Chains)来组织和管理防火墙规则。自定义可以以更高层次和更好的可读性来管理规则,使配置和维护更加简单。以下为在iptables中创建和使用自定义的示例1:创建chain mychain2:添加规则到自定义禁止192.168.1.0的网段访问本机,丢弃源地址的流量3:调用自定义这将将所有传入 TCP 端口 80 的流量传递到 MYCHAIN 自定义进行处理。如果不调用自定义的规则,则自定义的规则无效4:删除自定义
详解Linux iptables 命令
09-15
例如,`sudo iptables -P INPUT DROP`会设置`INPUT`的默认策略为拒绝所有入站数据包,这通常用于提高系统的安全性。 添加规则是iptables的核心功能,允许根据IP地址、端口、协议等条件进行匹配。`-A`用于追加规则...
linux24-iptables
08-10
Linux IptablesLinux内核中的一个核心组件,主要用于网络安全管理和数据包过滤。它在2.4版本的Linux内核中被集成,并且通常被称为netfilter/iptablesIptables提供了一种强大的机制,能够在网络的各个层面进行...
网络安全课程设计之D防火墙——Iptables.docx
09-17
3)在 iptables 中添加、管理和删除自定义。 实验环境:虚拟机 VMware 或 VirtualBox(https://www.virtualbox.org),linux。 任务: (1)查看 Filter、NAT 和 Mangle 表的现有规则。 (2)清除现有规则。 (3...
iptables自定义设置
05-22
### iptables自定义设置知识点详解 #### 一、iptables简介 `iptables`是Linux系统下常用的网络管理工具之一,主要用于实现包过滤、网络地址转换(NAT)等功能。通过配置iptables规则,我们可以对进出系统的数据包...
Silvanus:自定义防火墙的 Web Iptables 管理员
06-28
iptables 防火墙网络管理员为大型和高级配置设置自定义。 这是测试版未测试版本,请谨慎使用 要求 类似 Linux 的操作系统 带有 cli 模块的 php 5.3+ mysql 5+(或其他数据库原则和 PDO 支持) PDO php 扩展 ...
iptables 自定义
weixin_30795127的博客
05-23 103
  当默认中的规则非常多时,不方便我们管理。   想象一下,如果INPUT中存放了200条规则,这200条规则有针对httpd服务的,有针对sshd服务的,有针对私网IP的,有针对公网IP的,假如,我们突然想要修改针对httpd服务的相关规则,难道我们还要从头看一遍这200条规则,找出哪些规则是针对httpd的吗?这显然不合理。   所以,iptables中,可以自定义,通过自定义即...
iptables 实战】03 自定义
程序员笔记
10-02 309
当前的机器IP为:10.1.0.10自定义IN_WEB,拒绝指定源ip的报文定义INPUT规则,引用 IN_WEB规则可以看到IN_WEB,这个时候references的数量为1了,表示有在引用ping 10.1.0.10,可以看到,此时不通了使用”-X”选项可以删除自定义,但是删除自定义时,需要满足两个条件:1、自定义没有被任何默认引用,即自定义的引用计数为0。2、自定义中没有任何规则,即自定义为空。
iptables 四表五
qq_54947566的博客
03-26 689
四表 Filter表:过滤数据包 NAT表: 用于网络地址转换(IP、端口) Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表: 决定数据包是否被状态跟踪机制处理 五 INPUT: 处理进来的数据包 OUTPUT: 处理出去数据包 FORWARD: 转发数据包时应用此规则中的规则 PREROUTING: 对数据包作路由选择前应用此中的规则 POSTROUTING:对数据包作路由选择后应用此中的规则 Iptables命令选项: .
iptables速查
Mr_Roki的博客
06-14 1008
参数效果 -t指定表-s指定输入源-d指定接收-p tcp指定协议–dport指定端口-j指定规则。这个是可以任何ip访问 只是开放了端口。的一个优势是集合可以动态的修改,即使。规则目前已经启动,新加的入。
iptables自定义增加和删除
weixin_33859665的博客
12-04 3901
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables 自定义zone
04-05
iptables 是用于Linux系统的防火墙工具,可以用于过滤网络数据包,控制网络连接等。在iptables中,可以自定义zone来控制网络连接。 以下是创建自定义zone的步骤: 1. 创建zone文件 在/etc/sysconfig/iptables目录下创建一个新的zone文件,例如zone1。可以使用以下命令创建一个新的zone文件: ``` sudo touch /etc/sysconfig/iptables/zone1 ``` 2. 编辑zone文件 使用文本编辑器打开zone文件,例如使用vi编辑器: ``` sudo vi /etc/sysconfig/iptables/zone1 ``` 在文件中添加以下内容: ``` # Zone definition zone "zone1" { # Firewall rules for zone1 firewall { # Allow incoming SSH connections ssh { action = "ACCEPT"; source = "any"; } # Allow incoming HTTP connections http { action = "ACCEPT"; source = "any"; } # Allow incoming HTTPS connections https { action = "ACCEPT"; source = "any"; } } # Interfaces assigned to zone1 interfaces { eth0; } } ``` 上述内容定义了一个名为zone1的zone,允许SSH、HTTP和HTTPS连接,并分配了eth0接口。 3. 更新iptables配置文件 在/etc/sysconfig/iptables-config文件中添加以下内容: ``` # Define custom zones IPTABLES_MODULES="zone" ``` 这将启用自定义zone功能。 4. 重启iptables服务 使用以下命令重启iptables服务: ``` sudo systemctl restart iptables ``` 现在,zone1已经创建完成,可以使用iptables命令添加更多规则来控制网络连接。例如,可以使用以下命令添加一个允许ICMP连接的规则: ``` sudo iptables -A zone1_allow -p icmp -j ACCEPT ``` 这将在zone1中添加一个允许ICMP连接的规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GLAB-Mary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值