linux防火墙

最新推荐文章于 2024-05-08 11:18:42 发布
最新推荐文章于 2024-05-08 11:18:42 发布
阅读量181 收藏 2
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41257472/article/details/117882641
版权

linux防火墙

linux包过滤防火墙

linux中的防火墙基于网络层来过滤的
分为内核态用户态

  • linux防火墙针对ip数据包
  • 体现在对包内外的IP地址,端口的信息的处理上

iptables的表链结构

iptables表及作用

  • raw表:是否对该数据包进行状态跟踪
  • mangle表:位数据包设置标记
  • nat表: 修改数据包中的源,目标ip地址或端口
  • filter表:是否放行该数据包(过滤)

iptables链及作用

  • INPUT:处理入站数据包
  • OUTPUT:处理出站数据包
  • FORWARD:处理转发数据包
  • POSTROUTING:在进行路由选择后处理的数据包
  • PREROUTING:在进行路由选择前处理数据包
    在这里插入图片描述

规则表之间的顺序

raw–>mangle–>nat–>filter

规则链之间的顺序

入站:PREROUTING–>INPUT
出站:OPUPUT–>POSTROUTING
转发:PREROUTING–>FORWARD–>POSTROUTING

规则链内的匹配顺序

  • 按顺序依次检查,匹配到就停止
  • 若找不到匹配规则,就按默认的策略处理

iptables安装

首先需要禁用firewalld防火墙
然后安装

[root@localhost ~]# yum -y install iptables-services.x86_64

iptables语法结构

iptables -t 表名 选项 【链名】【条件】【-j 控制类型】

数据包的常见控制类型

  • ACCEPT:允许通过
  • DROP:直接丢弃,不作回应
  • REJECT:拒绝通过,给出提醒
  • LOG:记录日志,不作控制

添加新规则

  • -A:在链的末尾追加规则
  • -I:在链开头或指定序号插入一条规则

iptables相关配置

  • iptables -t filter/nat -L 查看filter或nat表
[root@localhost ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     anywhere            
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
  • iptables -t filter -L -n 以数字形式显示
[root@localhost ~]# iptables -t filter -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
  • iptables -t filter -L -v 显示更详细信息
[root@localhost ~]# iptables -t filter -L -v
Chain INPUT (policy ACCEPT 17463 packets, 31M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:bootps

一般会结合起来用

[root@localhost ~]# iptables -t filter -vnL
Chain INPUT (policy ACCEPT 17486 packets, 31M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
  • iptables -t filter -F 清空filter表
[root@localhost ~]# iptables -t filter -F
  • iptables -t filter -X 清空自定义链
[root@localhost ~]# iptables -t filter -X
  • iptables -t filter -Z 清除计数器
[root@localhost ~]# iptables -t filter -Z
  • iptables -t filter -A INPUT -j REJECT 拒绝所有入站包
[root@localhost ~]# iptables -t filter -A INPUT -j REJECT 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
  • iptables -D INPUT 1 用编号删除链
[root@localhost ~]# iptables -D INPUT 1
  • iptables -P INPUT DROP 定义默认规则
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
  • iptables -R INPUT 1 -j REJECT 修改一条链时需要加编号才可以
[root@localhost ~]# iptables -R INPUT 1 -j REJECT
  • 禁止3.2主机来ping我,定义入站规则,源ip为3.2
[root@localhost ~]# iptables -A INPUT -p icmp -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       icmp --  192.168.3.2          anywhere            
[root@server ~]# ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
  • 禁止我去访问3.2主机的tcp服务,控制出站的包,目标ip为3.2
[root@localhost ~]# iptables -A OUTPUT -p tcp -d 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             192.168.3.2

可以控制网卡流量,INPUT和-i是一对

[root@localhost ~]# iptables -A INPUT  -i ens33 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 13 packets, 868 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  ens33  *       0.0.0.0/0            0.0.0.0/0

OUTPUT和-o是一对

[root@localhost ~]# iptables -A OUTPUT  -o ens33 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 6 packets, 396 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  ens33  *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 464 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            192.168.3.2         
    0     0 DROP       all  --  *      ens33   0.0.0.0/0            0.0.0.0/0
  • 还可以对端口号进行控制,禁止3.2主机访问防火墙的80端口
[root@localhost ~]# iptables -A INPUT  -p tcp --dport 80 -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 18 packets, 1188 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.3.2          0.0.0.0/0            tcp dpt:80
  • !代表除定义的链之外生效
[root@localhost ~]# iptables -A INPUT  -p tcp --dport 80 -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 18 packets, 1188 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   19  1988 DROP      !icmp --  *      *       0.0.0.0/0            0.0.0.0/0
  • 还可以控制icmp的请求包和回应包,禁止3.2请求防火墙ping包
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       192.168.3.2          0.0.0.0/0            icmptype 8

  • echo-request可以用8表示

  • echo-reply可以用0表示

  • 控制多端口,禁止3.2访问防火墙的20.23.80端口

[root@localhost ~]# iptables -A INPUT  -p tcp -m multiport --dport 20,23,80 -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 30 packets, 1980 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.3.2          0.0.0.0/0            multiport dports 20,23,80
  • 多端口连续写,20到80端口用:
[root@localhost ~]# iptables -A INPUT  -p tcp -m multiport --dport 20:80 -s 192.168.3.2 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 6 packets, 396 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.3.2          0.0.0.0/0            multiport dports 20,23,80
    0     0 DROP       tcp  --  *      *       192.168.3.2          0.0.0.0/0            multiport dports 20:80
  • 定义地址范围,禁止3.2到3.211ping防火墙
[root@localhost ~]# iptables -A INPUT -p icmp -m iprange --dst-range 192.168.3.2-192.168.3.211 -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 8 packets, 528 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            destination IP range 192.168.3.2-192.168.3.211
  • 对mac地址控制
[root@localhost ~]# iptables -A INPUT -p icmp -m mac --mac-source 00:0c:29:e5:4b:ad -j DROP 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 10 packets, 660 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            MAC 00:0C:29:E5:4B:AD
  • 控制连接状态
[root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   14   924 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

这些策略只是临时的,想要永久生效写入/etc/sysconfig/iptables中

[root@localhost ~]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
咸鱼王变身
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
iptables防火墙
Arlssaze的博客
09-21 1749
前言 防火墙的重要性无需多言,但我们的实际生产中往往不会去使用我们Linux自带的防火墙而去先择更加易于配置的iptables防火墙。iptables防火墙的不仅功能与firewlld防火墙的功能几乎一致,而且他的配置更加轻松也直观。 netfilter/iptables netfilter 属于“内核态”又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态 用户态,我们运维人员实际关注的是用户态, 内核里的东西往往需要开发才能使用 是内核的一部分,由一些信息包
linux防火墙iptables
qq_52825616的博客
04-24 1916
目录 一、防火墙iptables的概述 1、防火墙的作用 2、netfilter和iptables的关系 3、四表五链 4、常用的控制类型 二、配置基础iptables 1、配置格式 2、查看配置列表 3、添加规则 4、设置默认策略 三、规则匹配 1、通用匹配 2、隐含匹配 3、显示匹配 4、状态匹配 一、防火墙iptables的概述 1、防火墙的作用 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux
Linux】iptables进行防火墙设置以使得可以访问虚拟机的端口
小C的博客
03-09 2121
有的应用在VMWare虚拟机上运行的,想要在物理机上访问对应的应用端口,如flink的web UI(默认端口8081)、tomcat(默认端口8080)等。 由于linux防火墙限制,往往无法访问,需要使用 iptables命令设置防火墙规则放开端口访问。
防火墙技术基础篇:什么是包过滤技术
最新发布
qq_39241682的博客
05-08 1699
当数据在网络中传输时,它们被分割成小的单元,称为数据包。防火墙的包过滤是一种基本的网络安全技术,用于检查这些数据包并根据预定义的规则决定是否允许它们通过防火墙防火墙包过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络的数据包。通过检查每个数据包的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),包过滤防火墙能够决定哪些数据包被允许通过,哪些被阻止或丢弃。
Linux(三十三)Iptables 防火墙
云来云去的博客
06-18 332
netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,用于管理防火墙规则的工具 称为Linux防火墙的“用户态” ACCEPT 允许通过 DROP 直接丢弃 REJECT 拒绝通过 LOG 记录日志信息 查看规则编号 查看详情 清空 清空自...
iptables防火墙(一)
m0_59432158的博客
09-21 265
前言 在Internet中,企业通过防火墙来保护为用户提供各种网络服务的应用系统(如Web网站、电子邮件系统、FTP服务器、数据库系统等),过滤掉企业不需要的访问,避免被恶意的侵。 Linux防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,也因此获得广泛的应用。 一、Linux包过滤防火墙概述 ...
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙设置
05-22
简单 好用 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 简单 好用
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
包过滤防火墙
03-14
包过滤防火墙,分析捉获得IP包,如包的类型TCP,DUP,ICMP等报的状态
数据包过滤技术与防火墙的设计
06-06
在分析数据包过滤原理基础上,对如何制定过滤规则以建立有效的过滤型防火墙进行探讨
包过滤防火墙的设计与实现
05-12
防火墙是一种保护网络的行之有效的安全机制 是保护区的一道安全防线它能够将保护区以外的非法入侵及访问拒之门外对于资金少又有科研人员的单位可采用源代码开放的免费的Linux netfilter/iptables 构建防火墙.
网络安全——防火墙详解
W981113的博客
01-16 1万+
什么是防火墙?路由策略和策略路由 在计算机中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成
【博客271】筛选UDP报文进行分析时,不要基于端口过滤
qq_43684922的博客
05-29 687
内容: 记录用端口过滤来筛选UDP报文时,会出现遗漏的情况 先细说以下分片: 1、IP分片是IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。 2、不同的链路类型规定有不同最大长度的链路层数据帧,称为链路层MTU(最大传输单元)。常见以太网 的MTU为1500,若IP协议在传输数据包时,IP报文长度大于转发接口的MTU,则将数据报文分为若干分片 进行传输,分片报文到达接收方时,由接收方完成重组。 3、对于不同的传输层协议,在IP层上,需不需要进行分片是不同的,比如,对TCP
Iptables工具的使用
无心出岫
04-10 6066
<!-- @page {margin:2cm} p {margin-bottom:0.21cm} -->                                                     Iptables工具的使用
网络安全技术第七章——防火墙技术概述及应用(包过滤防火墙 、代理防火墙、状态检测防火墙、分布式防火墙
热门推荐
ZSWAries的博客
06-01 1万+
防火墙技术概述及应用 1.防火墙的概念 在计算机概念中,所谓防火墙就是指设置在不同网络之间(例如可信赖的企业内部局域网和不可信赖的公共网络)或者是不同网络安全域之间的一系列部件的组合。通过监测、限制、更改进入不同网络或不同安全域的数据流,以尽可能地对外部屏蔽网络内的信息结构和运行状况,防止发生不可预测的潜在的入侵,实现网络的安全保护。 防火墙其实是实现网络和信息安全最基础的设施。 2.高效可靠的防火墙应具备的基本特性 防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外和从外到里的所有信息都
iptables防火墙基础及SNAT、DNAT策略配置
weixin_47153988的博客
08-03 1088
文章目录一、Linux防火墙基础1.1 Linux包过滤防火墙概述1.2 iptables的表、 链结构1.3 数据包过滤的匹配流程二、iptables基础2.1 iptables安装2.2 iptables的基本语法2.3 iptables的管理选项 一、Linux防火墙基础 1.1 Linux包过滤防火墙概述 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的"内核态" iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值