linux 防火墙iptables详解

最新推荐文章于 2024-05-05 18:55:56 发布
最新推荐文章于 2024-05-05 18:55:56 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq13650793239/article/details/105557447
版权

一、初识防火墙

Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件;
防火墙类型分为: 主机防火墙 和网络防火墙
实现方法分为:软件防火墙(软件逻辑)和硬件防火墙(硬件和软件逻辑)

二、iptables 五链接四表

iptables五种链接分别是prerouting、input 、output 、forward 、postrouting

  • prerouting:流入的数据包进入路由表之前。
  • input :通过路由表判断后目的地址是本机,然后进入本机内部资源。
  • output :由本机产生的数据向外转发
  • forward :通过路由表判断目的地址是本机,然后通过路由转发到其他地方。
  • postrouting:传出的数据包到达网卡出口前。
  •  
  • 表(功能):

filter:过滤,防火墙;
nat:network address translation;用于修改源IP或目标IP,也可以改端口;
mangle:拆解报文,做出修改,并重新封装起来;
raw:关闭nat表上启用的连接追踪机制;

  • 表(功能)和链对应关系:

raw:PREROUTING, OUTPUT
mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING
filter:INPUT,FORWARD,OUTPUT

  • 处理优先级:raw-->mangle-->nat-->filter
  • 报文流向:

流入本机:PREROUTING --> INPUT
由本机流出:OUTPUT --> POSTROUTING
转发:PREROUTING --> FORWARD --> POSTROUTING


                                                                  处理流程

    
  三、实战示例

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:390]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 843 -j ACCEPT

*nat
:PREROUTING ACCEPT [710:40891]
:POSTROUTING ACCEPT [60:3865]
:OUTPUT ACCEPT [100:6429]
-A PREROUTING -p tcp -m tcp --dport 4903 -j DNAT --to-destination 4.5.9.19:3390
-A PREROUTING -p tcp -m tcp --dport 4904 -j DNAT --to-destination 19.8.1.11:3390
-A POSTROUTING -s 172.10.1.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -p tcp -m tcp --dport 3390 -j MASQUERADE
COMMIT

示例解析:

#使用filter表

*filter

#下面四条内容定义了内建的INPUT、FORWAARD、ACCEPT链,还创建了一个被称为RH-Firewall-1-INPUT 的新链

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:RH-Firewall-1-INPUT - [0:0]

#下面这条规则将添加到INPUT链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。

-A INPUT -j RH-Firewall-1-INPUT

#下面这条规则将添加到FORWARD链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。

-A FORWARD -j RH-Firewall-1-INPUT

#下面这条规则将被添加到RH-Firewall-1-input链。它可以匹配所有的数据包,其中流入接口(-i)//是一个环路接口(lo)。

#匹配这条规则的数据包将全部通过(ACCEPT),不会再使用别的规则来和它们进行比较

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#-m state --state ESTABLISHED,RELATED这个条件表示所有处于ESTABLISHED或者RELATED状态的包,策略都是接受的。

四、NAT转发

SNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了,所以叫做SNAT,基于源地址的地址转换。

DNAT是destination networkaddress translation的缩写,即目标网络地址转换,典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip,互联网上的访问者使用公网ip来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上,这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT,基于目标的网络地址转换。

MASQUERADE 地址伪装,算是snat中的一种特例,可以实现自动化的snat。

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去,

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3

不用指定SNAT的目标ip了,不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
 

 

qq13650793239
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Red hat Linux内置防火墙软件iptables---子链RH-Firewall-1-INPUT
anonymalias的专栏
01-07 9347
iptablesLinux内置的封装包过滤软件。它定义了进出Linux封包的过滤规则。Iptables由多个表格组成,每个表格由若干链组成,每个链由若干规则组成。 其中最常用也是最重要的是管理本机进出封包的filter(过滤器)表格,filter默认包含以下3个链:  INPUT链:定义了进入Linux主机的封包的过滤规则; OUTPUT链:定义了送出Linux主机的封包的过滤规则;FO
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
linux系统添加防火墙,如何使用iptables命令为Linux系统配置防火墙
weixin_39957461的博客
05-11 189
通常系统都有自带防火墙防火墙的存在让系统的安全有了保障,下面小编要给大家介绍的是如何使用iptables命令为Linux系统配置防火墙,一起来学习下吧。通过本教程操作,请确认您能使用linux本机。如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重!我们来配置一个filter表的防火墙。(1)查看本机关于IPTABLES的设置情况代码如下:[root@tp ~]# ip...
2024年最全iptables深度总结--基础篇_iptables input output forward,一个本科渣渣是怎么逆袭从咸鱼到Offer收割机的
最新发布
2401_84545046的博客
05-05 814
示例: iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT。–destination-ports,–dports port[,port|,port:port]…–source-ports,–sports port[,port|,port:port]…iptables -nvL --line-number编号,先后顺序。iptables -nL(包的字节数)
防火墙 规则 linux,Linux 防火墙 iptables 规则
weixin_32688155的博客
05-14 102
[root@localhost logonuser]# cat /etc/sysconfig/iptables*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [26:3412]:RH-Firewall-1-INPUT - [0:0]-A INPUT -j RH-Firewall-1-INPUT-A FORWARD -j R...
Iptables 防火墙 配置
yangli91628的专栏
05-14 440
1、chkconfig --level 35 iptables on 2、配置完后重启服务生效:service iptables restart 启动iptables命令 : system-config-securitylevel-tui  在图形界面添加开放的服务及端口。 然后进行下一步编辑! 3、vim /etc/sysconfig/iptables 修改端口号即可,想让服
iptables:应用防火墙规则:ptables-restore: line 2 failed [FAILED]
RemainderTime
09-24 2527
[root@localhost~]# service iptables restart iptables:将链设置为政策ACCEPT:filter[确定] iptables:清除防火墙规则:[确定] iptables:正在卸载模块:...
详解Linux防火墙iptables禁IP与解封IP常用命令
09-15
主要介绍了详解Linux防火墙iptables禁IP与解封IP常用命令,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
LinuxIPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
iptables详解
fanzhang1990的专栏
06-23 831
(2)SNAT 改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。内网到外网的映射。 (3)MASQUERADE 的作用和SNAT完全一样,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的D
iptables的组成
superjundawn的博客
04-28 286
iptables由五个表和五个链以及规则组成 五个内置链: INPUT,PREROUTING,FORWARD,OUTPUT和POSTROUTING 五个表: filter表:过滤规则表,根据预定义的规则过滤符合的匹配条件,默认表 nat表:进行NAT转换 mangle表:修改数据标记位规则表 raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度 security:用于强制访问控制网络规则,由Linux安全模块实现 优先级高低: security–>raw–>mangle–>nat—&gt
Linuxfirewalld,tcpwrap,xinetd
ZZL95415的博客
03-08 489
1.firewall-cmd:编辑防火墙策略的工具 2.firewalld使用命令行接口配置火墙 (1)firewall-cmd --state                                ###查看火墙状态 firewall-cmd --get-active-zones              ###查看当前活动的域 firewall-cmd --set-
Linux防火墙设置
Knowledge management 伍波露
11-11 173
1) 永久性生效,重启后不会复原 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后复原 开启: service iptables start 关闭: service iptables stop iptables 脚本配置说明cat /etc/sysconfig/iptables 文件,内...
linux防火墙限制ip端口访问,防火墙限制IP地址段访问 iptables
weixin_34377697的博客
04-30 881
vi /etc/sysconfig/iptables# Generated by iptables-save v1.4.21 on Thu Nov 23 10:16:42 2017*filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [65:6796]:syn-flood - [0:0]-A INPUT -i lo -j ACCEP...
iptables四表五链
m0_57730097的博客
12-06 716
五个链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING filter是默认表,过滤规则表,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个表定义了三个链。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT表负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
Linux系统防火墙概述
m0_49265034的博客
03-16 2529
文章目录一、概述二、三表五链 一、概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。
iptables 防火墙命令解析
chichooyy的博客
03-02 2361
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
iptables用法
zyzn1425077119的博客
07-01 380
查看iptables规则 iptables -L 保存规则(如原始无该文件,保存后即有文件):(需要设置:INPUT DROP [0:0]) iptables-save > /etc/iptables.rules 5、执行以下命令,使规则生效 iptables-restore < /etc/iptables.rules 6 设置白名单: -N whitelist...
linux防火墙iptables配置
08-09
要配置Linux防火墙iptables,您可以按照以下步骤进行操作: 1. 首先,关闭firewalld防火墙并取消其开机自启动: ``` systemctl stop firewalld.service systemctl disable firewalld.service ``` 2. 安装iptablesiptables-services: ``` yum -y install iptables iptables-services ``` 3. 启动iptables服务: ``` systemctl start iptables.service ``` 这样,您就成功配置了Linux防火墙iptables123 #### 引用[.reference_title] - *1* [Linux系统防火墙iptables](https://blog.csdn.net/weixin_58544496/article/details/126845679)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* [Linux iptables防火墙详解(二)——iptables基本配置](https://blog.csdn.net/weixin_40228200/article/details/121712224)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [Linuxiptables防火墙配置](https://blog.csdn.net/asdfg___xiaobai/article/details/127651533)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值