iptables

最新推荐文章于 2024-07-23 13:03:02 发布
最新推荐文章于 2024-07-23 13:03:02 发布
阅读量268 收藏 1
点赞数 1
分类专栏: linux网络iptables 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ncnhhm/article/details/120911799
版权

iptables

1. iptables的安装

安装:
yum install iptables iptables-services -y

rpm -ql iptables-services

启动防火墙
systemctl start iptables.service 
systemctl enable iptables.service

检查模块是否加载成功
lsmod |egrep 'nat|ipt|filter'

手动的加载模块
modprobe ip_tables 
modprobe iptable_filter 
modprobe iptable_nat 
modprobe ip_conntrack 
modprobe ip_conntrack_ftp 
modprobe ip_nat_ftp 
modprobe ipt_state

当然治理使用的是iptables,firewalld也可以进行防火墙的管理

2. iptables命令参数

参数作用
-t指定表,默认filter
-A把规则追加到末尾
-I把规则掺入到第1条,添加拒绝类规则的时候
-p指定协议,tcp udp icmp
–dport目标端口
–sport源端口
-d目标ip地址
-s源ip地址
-i数据进来的时候的网卡
-o数据出去通过的网卡
-j方法:ACCEPT准许 DROP拒绝
-F清除链中的所有规则
-X清空自定义的链的规则
-Z清空计数器
-n不要把端口解析服务名字
-L显示表中的规则
–line-number给每个链的规则加上行号
-D删除规则,根据规则的号码进行删除

3.iptables介绍

表 table用来存放链的容器
链 chain存放规则的容器
规则 policy拒绝/允许

对于centos7,我们可以stop,firewalld,安装iptables.
iptables的匹配规则:

1.从上往下依次匹配
2.一旦匹配上就不在往下匹配了
3.默认规则,放行所有

优先级设置:谁访问多,谁在上边
匹配频次多的放在上面

3.1 四表五链

filter过滤,默认的表,防火墙功能
nat实现NAT转化:1.共享上网 2.端口转发
mangle主要负责修改数据包中特殊的路由标记,如TTL,TOS,MARK等,这个表定义了5个链
raw


在这里插入图片描述
filter表:

INPUT就是过滤进入主机的数据包
FORWARD负责转发流经主机的数据包
OUTPUT就是处理从主机发出去的数据包

nat表

PREROUTING处理用户请求中的目的地址 目的端口 端口转发 ip映射
POSTROUTING处理离开服务器的请求 源端口 源ip :共享上网
OUTPUT和主机放出去的数据包有关,改变主机发出数据包的目的地址

在这里插入图片描述

4. filter表的一些使用案例

先清除默认的

iptables -nL
iptables -F
iptables -X
iptables -Z

配置规则禁止22端口访问
iptables -t filter  -A INPUT  -p tcp --dport 22 -j DROP


这个时候xshell就会断开连接
使用本地的黑窗口

显规则的行号
iptables -nL --line-numbers

删除禁止22的
iptables -D INPUT 1


禁止10.0.0.7的访问我的22端口
iptables -t filter  -A INPUT  -p tcp -s 10.0.0.7--dport 22 -j DROP

禁止所有
iptables -t filter  -A INPUT  -p tcp -s 10.0.0.7  -j DROP

禁止10.0.0.8访问80端口
iptables -t filter  -A INPUT  -p tcp -s 10.0.0.8 --dport 80 -j DROP

禁止某个ip访问
iptables -I INPUT -p tcp -s 10.0.0.8 -i eth0 -j DROP
iptables -A INPUT -p tcp ! -s 10.0.0.8 -i eth0 -j DROP

只允许一台连接 叹号 取反 除了7谁都不能
iptables -A INPUT -p tcp ! -s 10.0.0.7 --dport 80  -j DROP

禁止一个网段不能访问80
iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport 80  -j DROP

禁止10.0.0.7的访问22和80  ACCEPT表示可以与DROP相反
iptables -I -INPUT -p tcp -s 10.0.0.7 -m multiport --dport 22,80 -j DROP

禁止访问22到100之间的所有端口
iptables -I -INPUT -p tcp -s 10.0.0.7  --dport 22:100 -j DROP

禁止icmp类型,例如ping    --icmp-type 8 icmp类型协议号8
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

准许或禁止端口
iptables -I INPUT -p tcp ! --dport 1:1024 -j DROP

多个端口 不连续 80,433,52113,22
iptables -I INPUT -p tcp -m multiport ! --dport 80,443,22 - j DROP

准许或禁止ping
iptables -I INPUT -p icmp --icmp-type any -j DROP

连接状态
NEW:已经或将启动新的连接
ESTABLISHED:已建立的连接
RELATED:正在启动的新连接
INVALID:非法或无法识别的

匹配网络限制策略(限制并发 访问的频率)
在同一时间内允许通过的请求”n”为数字,不指定默认为5
iptables -I INPUT -s 10.0.1.0/24 -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT

5. 保存规则

iptables-save 这样重启会失效

这样重启会不会失效
iptables-save >/etc/sysconfig/iptables

改规则之间可以先保存一个附件,可以restore恢复原来
iptables-restore < /etc/sysconfig/iptables
systemctl restart iptables.service

6. 企业防火墙配置案例

生产环境的防火墙配置
允许ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许本机回环lo接口数据流量流出与流入
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT

准许icmp协议通过
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

准许用户使用的端口通过 80,443
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT

允许用户与服务器建立连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

开启信任的IP网段**
iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT 
iptables -A INPUT -s 172.16.1.0/24 -p all -j ACCEPT 


修改默认规则
iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT

代码:

iptables -F
iptables -X
iptables -Z

iptables -A INPUT -s 192.168.80.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -nL

7. 局域网共享上网配置

7.1 能上网主机的配置

m01 192.168.80.61 内网ip 172.16.1.61
防火墙配置

iptables -F
iptables -X
iptables -Z

iptables -A INPUT -s 192.168.80.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -s 172.16.1.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -nL

当时172.16.1.0/24这个网段访问的时候就把地址转换为192.168.80.61

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 192.168.80.61

iptables -nL -t nat

开启内核转发

vim  /etc/sysctl.conf
net.ipv4.ip_forward = 1

sysctl -p

7.2 不能上网主机配置

web01 内网ip 172.16.1.7
假如有外网,关闭外网

vim /etc/sysconfig/network-scripts/ifcfg-eth0
ONBOOT=yes 改为
ONBOOT=no 开机不自启

ifdown eth0
ip a

这个时候只剩下eth1,添加网关

vim /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61

修改域名解析地址,修改成m01的网关地址

vim  /etc/resolv.conf 
# Generated by NetworkManager
nameserver 192.168.80.2

这个时候就可以使用ping 外网了

[root@web01 ~]# ping www.baidu.com
PING www.a.shifen.com (39.156.66.18) 56(84) bytes of data.
64 bytes from 39.156.66.18 (39.156.66.18): icmp_seq=1 ttl=127 time=27.2 ms
64 bytes from 39.156.66.18 (39.156.66.18): icmp_seq=2 ttl=127 time=27.0 ms
64 bytes from 39.156.66.18 (39.156.66.18): icmp_seq=3 ttl=127 time=26.4 ms
64 bytes from 39.156.66.18 (39.156.66.18): icmp_seq=4 ttl=127 time=26.2 ms

ping 不同问题:
1.www.baidu.com 域名不知道
没有配置nameserver,修改/etc/resolv.conf文件
2. ping没有反应
防火墙的配置有问题,该防火墙的配置相当于白名单,除了白名单里边的其他的人都不允许访问
解决办法:

1.修改默认规则
iptables -P FORWARD ACCEPT

2.配置filter的FORWARD
iptables -A FORWARD -s 172.16.1.0/24 -j ACCEPT
iptables -A FORWARD -d 172.16.1.0/24 -j ACCEPT
-s 源地址  -d 目标地址 forward的进去一个,出来也有一个

8. 本机访问端口转发,可以xshell访问没有外网的主机

访问防火墙服务器的9000端口就可以访问web01的22端口(这个时候web01是没有外网的的)
192.168.80.61:9000 —》 172.16.1.7:22

iptables -t nat -A PREROUTING -d 192.168.80.61 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.7:22

iptables -nL -t nat --line-numbers

这样访问不了的解决办法
对于web01需要配置就是,把eth1的网关配置成防火墙服务器的ip

vim /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61

通过xshell 就也可以连接访问
在这里插入图片描述
在这里插入图片描述

9. ip的一对一映射

ip addr add 10.0.0.81/24 dev eth0 label eth0:0
iptables  -t nat -I POSTROUTING -s 10.0.0.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 10.0.0.2


iptables  -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables  -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81

检查:
ping 10.0.0.81
tcpdump|grep -i icmp(两台机器上分别监测)
telnet 10.0.0.81 873(51上提前配好)

映射多个外网IP上网

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.12
长安有故里y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
dns理论
weixin_45960401的博客
12-15 1749
DNS域名解析服务器 dns 全称 domian name server 域名解析服务 为什么会出现dns服务 、 dns服务是做什么的 如果说ARP协议是用来将IP地址转换为MAC地址,那么DNS协议则是用来将域名转换为IP地址(也可以将IP地址转换为相应的域名地址) 总结一点就是IP地址是面向主机的,而域名则是面向用户的 两个主机之间 通过ip访问 每个网站都有自己的ip 39.156.66.18 www.baidu.com 公网ip 自己的ip是网络运营商给的 用户ip 公网ip 用户访问.....
IP地址详解
chtdgf的博客
12-10 623
IP地址详解 简单概念 1.局域网:一般称为内网 2.简单局域网的构成:交换机,网线,pc(其他it终端) 3.交换机:用来组建内网的局域网设备 路由器两口足以;交换机多口连接 家里的路由器其实是路由器和交换机的杂交品种 4.虚拟机:vmware 有网卡插网线 自定义模式:Vmnet 1~19 VMware提供了19个虚拟的交换机虚拟网线。 所有公司的服务器IP地址都是手工配的(固定的) IP地址 1.IP地址是唯一标识,是一段网络编码(二进制) 全球常用的IP地址:4*8=32位二进制 为了便于记忆,将
Rocky-epel源下载ansible包
Jakobus的博客
03-18 1380
1.配置本地源挂载 /dev/sr0 10464680 10464680 0 100% /media/Rocky 2.设置dns使其能够上网 [root@cs4 yum.repos.d]# ping www.baidu.com PING www.a.shifen.com (39.156.66.18) 56(84) bytes of data. 64 bytes from 39.156.66.18 (39.156.66.18): icmp_seq=1 ttl=
网络安全学习--简单抓包
丢爸
12-10 930
DNS简介
慎铭的博客
01-19 3239
什么是DNS?   域名系统(Domain Name System,DNS)是Internet上解决网上机器命名的一种系统。就像拜访朋友要先知道别人家怎么走一样,Internet上当一台主机要访问另外一台主机时,必须首先获知其地址,TCP/IP中的IP地址是由四段以“.”分开的数字组成(此处以IPv4的地址为例,IPv6的地址同理),记起来总是不如名字那么方便,所以,就采用了域名系统来管理名字和IP的对应关系。   虽然因特网上的节点都可以用IP地址唯一标识,并且可以通过IP地址被访问,但即使是将32位的二
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
Centos离线安装iptables.docx
04-15
Centos离线安装iptables
IPTABLES简介
06-25
iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率。
ping的原理(ICMP)
qq_46045632的博客
02-07 1690
ping的原理 文章目录ping的原理前言一、ICMP是什么?1.ping发送什么,收到什么?2.ICMP用途 前言 我们在网络通信的过程中,常常使用 ping 某一个 IP 地址或者某个域名看下基本连接是否正常;是否有丢包;那么其实ping 的原理是 ICMP 协议 一、ICMP是什么? ICMP :因特网控制报文协议 ICMP通常被认为是IP的一部分,但从体系结构上讲它是位于IP之上的,因为ICMP报文是承载在IP分组中的。这就是说,ICMP报文是作为IP有效载荷承载的,就像TCP与UDP报文段作为
渗透测试流程(一)(千峰学习笔记)
qq_42157992的博客
09-15 1630
安全方向、渗透方向学习笔记
银河麒麟V10 SP1服务版虚拟机安装
qq_32812063的博客
01-06 2850
银河麒麟虚拟机安装测试
第十一周-day45-HTTP协议
linux丶晨星
06-03 389
1.http是什么 用户浏览器输入网址进入的过程发生了什么 DNS解析过程, 域名对应的ip地址 TCP/ip 三次握手, 与服务器建立链接 HTTP请求报文, 用户向服务器要东西(图片 页面) HTTP响应报文, 把你要的内容给你 TCP/ip 四次挥手, 与服务器断开连接 2.DNS解析流程详解 DNS域名解析过程 windows 本地hosts文...
linux 网络环境部署二
L*YUE的博客
02-17 541
目录网关DNS网桥 网关 1.网关的概念 网关就是一个网络连接到另一个网络的关口(实质上是一个网络通向其他网络的ip地址)。 默认网关 一台主机如果找不到可用的网关,就把数据包发给默认指定的网关,由这个网关来处理数据包。 举例 如果有网络A和B,两台主机处在不同的网络里,要实现通信,必须要通过网关。网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B...
TCP连接过程(tcpdump)
weixin_45587086的博客
05-11 618
连接和断开 16:46:13.098117 IP x.47398 > 39.156.66.18.http: Flags [S], seq 3833285689, win 64240, options [mss 1460,sackOK,TS val 577056687 ecr 0,nop,wscale 7], length 0 16:46:13.122892 IP 39.156.66.18.http > x.47398: Flags [S.], seq 1625161224, ack 3...
Linux小程序——进度条
最新发布
m0_66182473的博客
07-23 920
进度条
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长安有故里y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值