iptables 简单使用

最新推荐文章于 2024-06-13 22:50:39 发布
最新推荐文章于 2024-06-13 22:50:39 发布
阅读量941 收藏 1
点赞数
文章标签: 网络 p2p tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36134608/article/details/123495192
版权

ptables网络防火墙
一、简介
  防火墙:可以是硬件也可以是软件: 规则(匹配标准,处理办法)
    netfilter: 是一种框架,工作在内核中,通过iptables命令(用户空间) 来规则交给netfilter(内核空间)。作用实现规则
    iptables: 数据报文过滤,NAT、mangle等规则生成的工具;过滤IP报文首部与TCP报文首部。作用是制定规则
iptables不是服务,但有服务脚本;服务脚本的主要作用在于管理保存的规则,装载及移除iptables/netfilter相关的内核模块;iptables_nat, iptables_filter, iptables_mangle, iptables_raw, ip_nat, ip_conntrack   service iptables start 开启服务
在启动iptables报iptables: No config file错误时
#iptables -P OUPUT ACCEPT
#service iptables save
#service iptables restart

#lsmod  |grep ip     查看模块是否加载
二、iptables表与链简介
 Netfilter/iptables是表的容器;表是链的容器,即所有的链都属于其对应的表; 链是规则的容器;规则一条条过滤的语句。容器的意思是包含或者说属于的关系。
1、规则:匹配标准IP: SIP, DIP(源地址,目的地址)    TCP: SPORT, DPORT,  (源端口,目的端口)        UDP: SPORT, DPORT (源端口,目的端口)       ICMP:icmp-type(icmp类型)
2、iptables链(PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING五个链)
  1)、PREROUTING: 用于修改目的地址(DNAT)
  2)、INPUT: 匹配目的 IP 是本机的数据包
  3)、FORWARD: 匹配穿过本机的数据包(转发数据包)
  4)、OUTPUT:匹配目的 IP 是外部主机的数据
  5)、POSTROUTING: 用于修改源地址 (SNAT)
3、iptables表(filter、nat、mangle与raw四个表)
1)、filter表(过滤):有 INPUT、OUTPUT、FORWARD三个链    用于过滤的时候
2)、nat表(地址转换): 有PREROUTING、OUTPUT、POSTROUTING三个链   用于做 NAT 的时候
3)、mangle表(拆开报文、修改、重新封装): PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING五个链
4)、raw表(关闭nat表连接追踪机制):只能放在PREROUTING、OUTPUT两个链上
链相关知识:可以使用自定链,但只在被调用时才能发挥作用,而且如果没有自定义链中的任何规则匹配,还应该有返回机制;用可以删除自定义的空链,默认链无法删除
每个规则都有两个内置的计数器:一个用来记录被匹配的报文个数;另一个用来记录被匹配的报文大小之和
          各表的优先级,从上到下(由高到底)如下图  例如input链中 先处理mangle表再处理filter表

三、操作命令
语法:iptables  [-t要操作的表]  < 操作命令>  [要操作的链]  [规则号码]  [匹配条件]  [-j 匹配到以后处理动作]
1)、操作命令(-A、-I、D、-R、-P、-F)
    A、管理规则
        -A 链名:附加一条规则,添加在链的尾部
        -I 链名 号码: 插入一条规则,插入为对应链上的第几条;
        -D链名 号码: 删除指定链中的第几条规则;
        -R链名 号码: 替换指定链的规则;
    B、管理链:
        -F  链名:flush,清空指定规则链,如果省略链,则可以实现删除对应表中的所有链
        -P  链名: 设定指定链的默认策略;
        -N:自定义一个新的空链
        -X: 删除一个自定义的空链
        -Z:置零指定链中所有规则的计数器;
        -E: 重命名自定义的链;
    C、查看类:
        -L: 显示指定表中的规则;
            -n: 以数字格式显示主机地址和端口号;
            -v: 显示链及规则的详细信息
            -vv: 更详细信息          
            -x: 显示计数器的精确值      
            --line-numbers: 显示规则号码 
2)、匹配条件:
    A、通用匹配
        -s, --src: 指定源地址
        -d, --dst:指定目标地址
        -p {tcp|udp|icmp}:指定协议
        -i INTERFACE: 指定数据报文流入的接口   可用于定义标准的链:PREROUTING,INPUT,FORWARD
        -o INTERFACE: 指定数据报文流出的接口  可用于标准定义的链:OUTPUT,POSTROUTING,FORWARD
    B、扩展匹配
        a、隐含扩展:不用特别指明由哪个模块进行的扩展,因为此时使用-p {tcp|udp|icmp}
            ①、-p tcp隐含扩展
                --sport PORT[-PORT]: 源端口
                --dport PORT[-PORT]: 目标端口
--tcp-flags mask comp: 只检查mask指定的标志位,是逗号分隔的标志位列表;comp:此列表中出现的标记位必须为1,comp中没出现,而mask中出现的,必须为0;
                --tcp-flags SYN,FIN,ACK,RST SYN  =  --syn     三次握手第一次
                --tcp-flags –syn    三次握手第一次
            ②、-p icmp 隐含扩展
        --icmp-type  0|8: 0: echo-reply  响应报文(回来的ping响应) 或  8: echo-request  请求报文(出去的ping)
            ③、-p udp 隐含扩展
                --sport:源端口
                --dport:目标端口
        b、显式扩展:必须指明由哪个模块进行的扩展,在iptables中使用-m选项可完成此功能
          语法: -m  matchname  [per-match-options]
①、state  状态    结合ip_conntrack追踪会话的状态
                    NEW: 新连接请求
                    ESTABLISHED:已建立的连接
                    INVALID:非法连接
                    RELATED:相关联的
                -m state --state NEW,ESTABLISHED -j ACCEPT
                要对FTP使用iptables要首先要装载ip_conntrack_ftp和ip_nat_ftp模块
            例:    iptables -A INPUT -d 192.168.100.7 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
②、multiport: 离散的多端口匹配扩展
                --source-ports  源端口
                --destination-ports  目标端口
                --ports  端口 
            例:-m multiport --destination-ports 21,22,80 -j ACCEPT
            ③、-m iprange :多个IP地址匹配
                --src-range   源地址
                --dst-range   目标地址
例:   iptables -A INPUT -p tcp -m iprange --src-range 192.168.100.3-192.168.100.100 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
④    、-m connlimit: 根据每客户端IP(也可以是地址块)做并发连接数数量匹配
                --connlimit-above n    连接的数量大于n
               --connlimit-mask prefix_length   prefix_length为掩码(0-32) ,默认是32,即一个IP地址 , 限制网段
例:  iptables -A INPUT -d 192.168.100.7 -p tcp --dport 80 -m connlimit --connlimit-above 2 -j  DROP
            ⑤、-m limit:基于收发报文的速率做检查
                --limit rate[/second|/minute|/hour|/day]  速率限制,默认是3/hour
                  --limit-burst number  空闲时峰值,默认是5
例: iptables -I INPUT -d 10.0.3.11 -p icmp --icmp-type 8 -m limit --limit-burst 3 --limit 20/minute -j ACCEPT
            ⑥、-m string      字符串匹配,能够检测报文应用层中的字符串,屏蔽非法字符
                --algo {bm|kmp}   指定匹配算法,有bm和kpm两种
                --string "STRING"  指定所要匹配的字符串
            ⑦、-m  time   根据报文到达的时间与指定的时间范围进行匹配
                 --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 时间格式为:2019-03-13T12:24:30
                   --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
                   --timestart hh:mm[:ss]   时间格式为 12:24:30
                   --timestop hh:mm[:ss]
                   --monthdays day[,day...]   1-31
 --weekdays day[,day...]   Mon, Tue, Wed, Thu, Fri, Sat, Sun 或者1-7
                   --utc  设置--datestart, --datestop, --timestart and --timestop为UTC时间 
                   --localtz  设置--datestart, --datestop, --timestart and --timestop为内核时间
注意时区差异,CST比UTC时间快8小时           
3)、常用动作(target):
    ACCEPT:放行
    DROP:丢弃
    REJECT:拒绝(明确告诉对方)
    DNAT:目标地址转换
    SNAT:源地址转换
    REDIRECT:端口重定向
    MASQUERADE:地址伪装
    LOG:日志
    MARK:打标记(打个戳)
保存规则:
#service iptables save     保存的位置    /etc/sysconfig/iptables
#iptables-save > /etc/sysconfig/iptables.2019031301    手动保存位置
#iptables-restore < /etc/sysconfig/iptables.2019031301   手动生效
所有条件都可取反:!,-s ! 192.168.100.6  源地址不是192.168.100.6  都被匹配

 

自己人5
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables命令简单学习
12-11
iptables简单使用说明,iptables简介,iptables相关表的介绍
iptables和firewall的区别
04-29
1. **iptables的工作方式**:作为Linux系统中广泛使用的静态防火墙工具,iptables在修改规则时会清空现有的规则库,并重新加载存储在`/etc/sysconfig/iptables`中的配置。这种方式意味着每次对iptables规则进行更改...
iptables教程
最新发布
06-13 1796
如果一个数据包没有匹配到一个链中的任何一个规则,那么将对该数据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的数据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的数据包,或访问我们的服务监听的端口的数据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
CentOS服务器iptables配置简单教程
09-15
主要为大家详细介绍了CentOS服务器iptables配置简单教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
iptgen:使用 NodeJS 的 iptables 规则生成器
07-09
iptgen 使用 NodeJS 的 iptables 规则生成器如何导入? 进入 iptgen 文件夹使用npm install 在你的编辑器上打开项目主文件是 ./app.js列表您可以在 /lists 文件夹中添加新闻 ip 列表,扩展名为 .list。代码示例完整...
070404 iptables简单介绍1
08-08
3、允许本机127.0.0.1到127.0.0.1的所有请求都能正常进行 4、安装DNS服务,并开放给所有主机使用 5、安装WEB服务,并开放给非172.16.
iptables最简设置
07-17
linux内核的防火墙基础设置,可用于基础环境搭建,处理简单的拦截等,入门级
iptables配置和honeyd配置实验报告
06-05
iptables配置实现内外网防火墙,允许内网访问外网http,https,ftp等服务,禁止外网直接访问内网主机,honeyd在ubuntu下的使用,部署简单的蜜罐系统,实现记录攻击者扫描主机及访问web信息及时间
iptables防火墙重点简单总结
07-23
iptables防火墙重点简单总结
iptables 简单教程
03-09
iptables简单教程 linux下防火墙设置
配置iptables,把80端口转到8080的简单方法
09-15
下面小编就为大家带来一篇配置iptables,把80端口转到8080的简单方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧,祝大家游戏愉快哦
iptables简单设置
09-07
iptables简单设置 iptables简单设置 iptables简单设置
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 ...通过简单的几步操作,用户就可以快速地为自己的服务器构建起一层基本的安全防护屏障。对于那些需要频繁配置服务器的运维人员来说,这无疑是一个非常实用的工具。
iptables详解
05-23
以下是一个简单iptables脚本示例,用于创建一个只允许HTTP和DNS流量通过的基本防火墙: ```bash #!/bin/bash # This is a script # Edit by liwei # establish static firewall iptables -F iptables -X iptables...
iptables 简单设置指定端口访问权限.docx
07-22
iptables 简单设置指定端口访问权限新增,删除规则等
iptables命令
10-31
iptables 的日常用语,iptables简单语法
GoWall:GoWall 是用 GoLang 制造的防火墙,它使用 IPTables 作为主干,其想法是允许轻松快速地配置 IPTables
06-05
GoWall 是用 GoLang 制作的防火墙,它使用 IPTables 作为主干,其想法是允许轻松快速地配置 IPTables。 汇编 编译很简单! 构建并运行它! $ go build $ ./main config.json 示例配置 [ { " iface " : " eth0 " ,...
iptables简单配置.doc
05-10
*nix中iptables的最基本配置,文件中列出iptables查看及配置命令。
阿里云linux服务器上使用iptables设置安全策略的方法
01-20
提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器,安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好可以使用yum来安装,安装命令如下: ...
Ubuntu iptables使用
08-11
在Ubuntu中使用iptables可以按照以下步骤进行: 1. 首先,检查系统是否已安装iptables。可以使用以下命令检查是否安装了iptables: ``` sudo whereis iptables ``` 123 #### 引用[.reference_title] - *1* [Ubuntu iptables 简单学习](https://blog.csdn.net/u012911347/article/details/88655602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [iptables: unrecognized service](https://blog.csdn.net/muyeju/article/details/103494231)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值