iptabels

最新推荐文章于 2023-06-26 15:01:52 发布
最新推荐文章于 2023-06-26 15:01:52 发布
阅读量292 收藏 2
点赞数
分类专栏: iptables 文章标签: linux iptables 运维 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41524362/article/details/90477616
版权

一.iptables介绍

iptables并不是真正意义上的防火墙,我们可以理解为一个客户端工具,用户通过ipatbles这个客户端,将用户 的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。 netfilter才是防火墙真正的安全框架,netfilter位于内核空间。
iptables是一个命令行工具,位于用户空间,通过这个命令行工具来操作netfilter。 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包 过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能

二.iptables的四表五链

说明
filter过滤,防火墙
nat网络地址转换 ;用于修改源ip或目标ip,也可以改端口
mangle拆解报文,做出修改,并重新封装起来
raw关闭nat表上启用的连接追踪机制

链(内置):
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING

在实际使用中,我们通常是用表来操作,这里列出表和链的关系

rawPREROUTING, OUTPUT
manglePREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
natREROUTING,OUTPUT,POSTROUTING(centos7中还有INPUT,centos6中没有)
filterINPUT,FORWARD,OUTPUT

在这里插入图片描述
报文流向:
流入本机:PREROUTING --> INPUT
由本机流出:OUTPUT --> POSTROUTING
转发:PREROUTING --> FORWARD --> POSTROUTING

三.iptables基本用法

规则格式:iptables [-t table] COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

-t table:
raw, mangle, nat, filter(默认)

COMMAND

  • 链管理:
    -F:flush,清空规则链:省略链,表示清空指定表上的所有的链;
    -N:new, 自定义一条新的规则链;
    -X: delete,删除自定义的规则链;
    -Z: zero,清零,置零规则计数器;
    注意:仅能删除 用户自定义的 引用计数为0的 空的 链;
    -P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:
    ACCEPT:接受
    DROP:丢弃
    REJECT:拒绝
    -E: rEname 重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除;

  • 规则管理
    -A:append,追加;
    -I:insert, 插入,要指明位置,省略时表示第一条;
    -D:delete,删除;
    (1) 指明规则序号;
    (2) 指明规则本身;
    -R:replace,替换指定链上的指定规则;
    -F:flush,清空指定的规则链;
    -Z:zero,置零;
    iptables的每条规则都有两个计数器:
    (1) 匹配到的报文的个数;
    (2) 匹配到的所有报文的大小之和

  • 查看

    -L:list, 列出指定鏈上的所有规则;

     					-n:numberic,以数字格式显示地址和端口号;
 					-v:verbose,详细信息;
 						-vv, -vvv
 					-x:exactly,显示计数器结果的精确值; 
 					--line-numbers:显示规则的序号;

  • chain
    PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

  • -j targetname(处理动作)
    在这里插入图片描述

常用规则匹配器
在这里插入图片描述

命令用法总结
在这里插入图片描述

四.iptables进阶用法

扩展匹配条件:
隐式扩展:在使用-p选项指明了特定的协议时,无需再同时使用-m选项指明扩展模块的扩展机制;
显式扩展:必须使用-m选项指明要调用的扩展模块的扩展机制;

显示扩展:

  1. iprange扩展模块
    用iprange扩展模块可以指定"一段连续的IP地址范围",用于匹配报文的源地址或者目标地址。
    –src-range:源地址范围
    –dst-range:目标地址范围

]# iptables -t filter -I INPUT -m iprange --src-range 192.168.1.128-192.168.1.254 -j DROP

  1. string扩展模块
    使用string扩展模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。
    -m string:表示使用string扩展模块
    –algo:用于指定匹配算法,可选的算法有bm与kmp,此选项为必须选项,我们不用纠结于选择哪个算法,但 是我们必须指定一个。
    –string:用于指定需要匹配的字符串

]# iptables -t filter -I INPUT -m string --algo bm --string “bit” -j REJECT

  1. time扩展模块
    过time扩展模块,根据时间段区匹配报文,如果报文到达的时间在指定的时间范围以内,则符合匹配条件。
    -m time:表示使用time扩展模块
    –timestart:选项用于指定起始时间,00:00:00格式时分秒。
    –timestop:选项用于指定结束时间。
    –weekdays:选项用于用数字指定星期几,还能用缩写表示,例如:Mon, Tue, Wed,Thu, Fri, Sat, Sun
    –monthdays,–datestart,–datestop:指定日期范围

    ~]# iptables -t filter -I OUTPUT -p TCP --dport 80 -m time --timestart 08:55:00 --timestop 17:00:00 -j REJECT

    ~]# iptables -t filter -I OUTPUT -p TCP --dport 80 -m time --weekdays 1,2,3,4,5 -j REJECT

    ~]# iptables -t filter -I OUTPUT -p TCP --dport 8080 -m time -monthdays 1,2 -j REJECT

    ~]# iptables -t filter -I OUTPUT -p TCP --dport 8080 -m time -datestart 2019-04-20 --datestop 2019-04-21 -j REJECT

  2. connlimit扩展模块
    connlimit扩展模块,可以限制每个IP地址同时链接到server端的链接数量,注意:我们不用指定IP,其默认就 是针对"每个客户端IP",即对单IP的并发连接数限制。一般和协议、端口配合使用
    –connlimit-above:限制连接上限
    –connlimit-mask:按照网段限制连接上限

    ~]# iptables -t filter -I OUTPUT -p TCP --dport 22 -m connlimit -connlimit-above 2 -j REJECT

  3. limit扩展模块
    limit模块对"报文到达速率"进行限制,我们可以以秒为单位进行限制,也可以以分钟、小时、天作为单位进行限
    制。
    –limit限制比较有意思,主要用来限制单位时间内可以流入的数据包的数量。
    使用"–limit"选项时,可以选择的时间单位有多种,如下 /second /minute /hour /day

    ~]# iptables -t filter -I INPUT -p icmp -m limit --limit 10/min -j REJECT

  4. tcp-flags模块
    tcp-flags模块也属于我们之前讲到过的tcp扩展模块中的内容。 --tcp-flags指的就是tcp头中的标志位,看来,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报 文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。在网络部分我们讲了三次握手,四次挥手,讲 了TCP的包头,这里主要指tcp包头中的标志位,SYN,ACK,FIN,RST,URG,PSH。
    他的匹配规则是:“SYN,ACK,FIN,RST,URG,PSH SYN”,怎么来理解,我们可以把这串字符拆成两部分去理解,第一部分为"SYN,ACK,FIN,RST,URG,PSH",第二部分为"SYN"。

    第一部分表示:我们需要匹配报文tcp头中的哪些标志位,那么上例的配置表示,我们需要匹配报文tcp头中的6 个标志位,这6个标志位分别为为"SYN、ACK、FIN、RST、URG、PSH",我们可以把这一部分理解成需要匹配的标 志位列表。
    第二部分表示:第一部分的标志位列表中,哪些标志位必须为1,上例中,第二部分为SYN,则表示,第一部分 需要匹配的标志位列表中,SYN标志位的值必须为1,其他标志位必须为0。

    ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT #匹配第一次握手
    ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT #匹配第二次握手

  5. state扩展
    state是一个非常重要的扩展,可以基于连接追踪功能去查看每一报文当前所处的状态。不论什么协议,客户端 第一次访问时,服务器会去内核内存中的追踪表查看他之前是否来过,查不到就证明是第一次来,记录入追踪表,如 果查到以前来过就不检查规则,直接允许访问,这称为连接追踪机制。在访问量特别大的场景下,比如负载均衡服务 器不建议开启,追踪表大只能记录6万多的条目,访问数超过就会无法记录出错,导致所有的连接失败。

    报文状态有五种:
    NEW: 第一次连接时
    ESTABLISHED:已建立的连接;
    INVALID:无法识别的连接;
    RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
    UNTRACKED:row表上关闭连接追踪功能

    ~]# iptables -t filter -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

HOW1E
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
RedHat Linux 8 中火墙介绍 iptables服务使用
Howei__的博客
03-21 3152
火墙介绍 火墙策略管理工具切换 iptabkes 服务命令 iptables常用参数和操作
iptables详解
最新发布
魏志标的博客
06-26 6623
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
iptables 详解
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
RHEL5.7下iptabels防火墙配置(下).docx
10-30
RHEL5.7下iptabels防火墙配置(下).docx
iptgen:使用 NodeJS 的 iptables 规则生成器
07-09
iptgen 使用 NodeJS 的 iptables 规则生成器如何导入? 进入 iptgen 文件夹使用npm install 在你的编辑器上打开项目主文件是 ./app.js列表您可以在 /lists 文件夹中添加新闻 ip 列表,扩展名为 .list。...
iptables-1.4.21-24.el7版本适用于centos系统
12-02
iptable包,搭建K8s集群所需,用于centos系统,修复 kube-proxy 报错,版本iptables-1.4.21-24.el7.x86_64.rpm
实战Nginx:取代Apache的高性能Web服务器 中文版
11-14
nginx选择了epoll和kqueue作为网络i/o模型,在高连接并发的情况下,内存、cpu等系统资源消耗非常低,运行稳定。 ...官方论坛、迅雷在线、赶集网使用nginx的应用示例。最后全面地分析了nginx的核心模块。...
Samba服务器配置.docx
01-13
可以使用iptables命令停止防火墙服务,或者使用iptabels命令添加规则,以便允许Samba服务器的访问。 总结 本文介绍了Samba服务器的安装、配置、添加用户和授权、服务启动和防火墙配置等知识点,旨在帮助读者快速将...
Iptables详解
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables
wzt888的博客
06-14 5673
systemctl stop firewalld systemctl start iptables.service systemctl enable iptables.service 1.三表五链 iptables -t filter -nL #查看filter表,与iptables -nL看到的效果相同 //图片 iptables -t nat -nL #查...
Linux网络相关、防火墙firewalld、netfilter 及iptable的五表五链、语法
weixin_34232744的博客
05-09 176
一、 Linux网络相关 1、ifconfig 查看网卡的ip地址,(yum install net-tools)也可以用ip add-a 断网的情况下都可以查看2、ifdown /ifup 断开/连接 网卡。更改配置的时候,用来重启指定的网卡。如果是远程的机器不可以单独用,可以把它们连起来用:ifdown eth0 && ifup eth03、想多增加一个ip地址,增加虚...
关于iptabels的-A与-I参数
小啊宇的博客
01-12 4928
iptables-参数-A和-I iptables -L -n --line-number 列出链所有的规则 最直观的讲解-A与-I的重要性 -A添加规则的参数,是添加规则在现有的后面 -I添加规则的参数,是添加在规则在现有的前面 如果是互不干涉的规则端口使用-A没关系不会受影响 假设node01节点的机器,我不想让他的ssh链接开放并且限制指定的主机连接 实验主机 三台都是均为虚拟机,主机的内网IP为192.168.1.250 IP 备注 ssh端口均为22 192.168..
解决CentOS7关闭/开启防火墙出现Unit iptables.service failed to load: No such file or directory.
热门推荐
一点不好吃的博客
09-27 24万+
CentOS7中执行service iptables start/stop会报错Failed to start iptables.service: Unit iptables.service failed to load: No such file or directory.在CentOS 7或RHEL 7或Fedora中防火墙由firewalld来管理,如果要添加范围例外端口 如 1000-20...
iptabales
qq_51262840的博客
09-15 194
匹配即停止的原则,当数据包经过每条规则链时,依次按第一条规则,第二条规则。的顺序进行匹配和处理,链内的过滤遵循“匹配即停止” 原则,一旦找不到一条相匹配的规则(使用LOG日志操作的规则除外),则不在检擦本链内后续的其他规则,通过比对完整的链,也找不到与数据包相匹配的规则,就安装该规则的默认策略进行处理。注意:当数据包抵达防火墙时,将依次应用 raw表、mangle表、nat表、filter表中对应链内的规则(如果存在),应用顺序为 raw----mangle----nat-----filter。
iptable 详解_iptable详解
weixin_39852688的博客
12-21 1075
查看iptables状态-重启iptables 所在目录 /etc/sysconfig/iptablesservice iptables status 查看iptables状态service iptables restart iptables服务重启service iptables stop iptables服务禁用启动iptablesmodprobeip_tables关闭iptables(关闭命...
linux防火墙iptables常用命令与基础知识
pingweicheng的博客
05-28 3万+
1.iptables常用命令1.1查看是否已经安装了iptables以及iptables版本号iptables -V (注意:V是大写字母V)1.2 关闭iptablesservice iptables stop1.3 启动iptablesservice iptables start1.4重启iptablesservice iptables restart1.5保存命令行中设置的ipt...
Linux策略路由和iptables OUTPUT链的一个细节
Netfilter
10-01 1万+
十一长假第一天,清晨我放飞一群白鸽范式如果想实现哪个网口进来的流量从哪个网口返回这么一个需求,有一个范式,我先贴出来:iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT iptables -t mangle -
k3s 在部署pod中没有生成iptabels 信息
05-25
k3s 默认使用 CNI 插件 Flannel,而 Flannel 的网络模式是基于 VXLAN 技术的。因此,在 k3s 集群中,iptables 并不是必须的。 如果你希望在 k3s 中使用 iptables,可以考虑使用其他的 CNI 插件,比如 Calico。或者在使用 Flannel 的情况下,可以通过配置 kubeproxy 来启用 iptables。具体做法是,在 kubeproxy 的配置文件中添加以下内容: ``` iptables: masqueradeAll: true ``` 这样就可以启用 iptables,并且对于所有的服务都进行 masquerade 操作,从而使得服务的流量都经过 iptables 处理,生成相应的 iptables 规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值