linux中netfilter火墙访问控制策略优化----iptables

最新推荐文章于 2024-02-02 12:45:24 发布
最新推荐文章于 2024-02-02 12:45:24 发布
阅读量347 收藏 2
点赞数 2
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60200126/article/details/119512016
版权

防火墙iptables

1.火墙介绍

什么是防火墙?有什么作用?

防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。

netfilter/iptables 关系:

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
netfilter/iptables 后期简称为:iptables;
iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。所有规则配置后,立即生效,不需要重启服务。

2.火墙管理工具iptables的切换

在rhel8中默认使用的是firewalld
firewalld----->iptables 火墙转换

dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
systemctl enable --now iptables

3.火墙默认策略

默认的3张表

filter
filter表:经过本机内核的数据,负责过滤数据包
包括的规则链有:input ,output, forward
nat
nat表:涉及到网络地址转换,不经过内核的数据
包括的规则链有:postrouting,prerouting,input,output
mangle
mangle表:主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识(当filter和nat表不够用时使用)
默认的规则链有:input output forward postrouting,prerouting
默认策略中的5条链
input ##输入
output ##输出
forward ##转发
postrouting ##路由之后
prerouting ##路由之前

4. iptables 的使用

1.火墙策略的保存

火墙策略的永久保存
/etc/sysconfig/iptables      #iptables 策略记录文件


永久保存策略
iptales-save > /etc/sysconfig/iptables   导入策略文件
service iptables save

2.iptables命令

(1)iptables命令的格式:

格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :表名(filter nat mangle)
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

iptables
	-t		    ##指定表名称
	-n		    ##不做解析
	-L		    ##查看
	-A		    ##添加策略
	-p		    ##协议
	--dport		##目的地端口
	-s		    ##来源
	-j          ## 动作
		ACCEPT	##允许
		DROP	##丢弃
		REJECT	##拒绝
		SNAT	##源地址转换
		DNAT	##目的地地址转换
	-N		    ##新建链
	-E		    ##更改链名称
	-X		    ##删除链
	-D		    ##删除规则
	-I		    ##插入规则
	-R		    ##更改规则
	-P		    ##更改默认规则  (-P不能修改为REJECT)

数据包状态
RELATED ##建立过连接的
ESTABLISHED ##正在连接的
NEW ##新的
INVALID

(2)详解COMMAND

1.链管理命令(这都是立即生效的)
-P :设置默认策略的(设定默认门是关着的还是开着的)
默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)

 iptables -F 默认清空filter
 systemctl restart iptables 后可以重新查看到表中数据
 iptables -t nat -F PREROUTING
 iptables -t nat -F 清空nat表的所有链

-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空

2.规则管理命令
-A:追加,在当前链的最后新增一个规则
-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条
-R num:Replays替换/修改第几条规则
格式:iptables -R 3 …………
-D num:删除,明确指定删除第几条规则

iptables -L INPUT --line-numbers  查看输入的所有规则编号
iptables -D INPUT 2   即删除编号为2的规则

3.查看管理命令 “-L”
附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
–line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息

注意事项:
不指定表名时,默认表示filter表
不指定链名时,默认表示该表内所有链
除非设置规则链的缺省策略,否则需要指定匹配条件

(3)详解匹配标准

1.通用匹配:源地址目标地址的匹配
-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反,加一个“!”表示除了哪个IP之外

例如:

iptables -A INPUT -m state --state NEW ! -s 172.25.254.40 -p tcp --dport 22 -j ACCEPT  接受所有通过22端口,使用tcp协议进行访问请求的新的数据包,除了ip:172.25.254.40的主机

-d:表示匹配目标地址
-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)
-i eth0:从这块网卡流入的数据
流入一般用在INPUT和PREROUTING上

例如:

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT   接受所有来自本机回环接口的新的数据包

iptables -t nat -A PREROUTING -i ens3 -j DNAT --to-dest 172.25.254.30    DNAT目的地地址转换

-o eth0:从这块网卡流出的数据
流出一般在OUTPUT和POSTROUTING上

iptable -t nat -A POSTROUTING -o ens3 -j SNAT --to-source 172.25.254.140  SNAT源地址转换

(4)扩展匹配

4.1隐含扩展:对协议的扩展

-p tcp :TCP协议的扩展
一般有三种扩展

–dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
–dport 21 或者 --dport 21-23 (此时表示21,22,23)
–sport:指定源端口

-p udp:UDP协议的扩展
    --dport
    --sport
-p icmp:icmp数据报文的扩展
    --icmp-type:

4.2显式扩展(-m)
扩展各种模块
-m multiport:表示启用多端口扩展
之后我们就可以启用比如 --dports 21,23,80

(5)详解-j ACTION

常用的ACTION:
  DROP:悄悄丢弃
 一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表
  REJECT:明示拒绝
  ACCEPT:接受
 custom_chain:转向一个自定义的链
  DNAT
  SNAT
  MASQUERADE:源地址伪装
  REDIRECT:重定向:主要用于实现端口重定向
  MARK:打防火墙标记的
  RETURN:返回
 在自定义链执行完毕后使用返回,来返回原规则链。

拓展:
假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?
分析:对于ping这个协议,进来的为8(ping),出去的为0(响应).我们为了达到目的,需要8出去,允许0进来

在出去的端口上:iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
在进来的端口上:iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

3.SNAT和DNAT的实现

当我们的IP地址快分配完紧张时我们必须要进行地址转换,来节省IP资源,所以我们要通过iptables来实现NAT的地址转换;

SNAT基于原地址的转换
基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。

我们将所有172.25.254.0/24网段的IP在经过服务器的时候全部转化成172.25.254.140这个外网地址:

iptable -t nat -A POSTROUTING -o ens3 -j SNAT --to-source 172.25.254.140

只要是来自本地网络的试图通过网卡访问网络的,都会被统统转换成172.25.254.140这个IP.
地址伪装
如果我们使用的网络IP是随即生成的外网IP(动态变化)
我们就要将外网地址换成 MASQUERADE(动态伪装):它可以实现自动寻找到外网地址,而自动将其改为正确的外网地址。
我们就需要这样设置:

  iptables -t nat -A POSTROUTING -s 172.25.254.0/24 -j MASQUERADE

这里要注意:地址伪装并不适用于所有的地方。

DNAT目标地址转换

对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端 通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器

在外网IP想访问我们时,会自动匹配到我们转换的地址设备当中去:
例如:

iptables -t nat -A PREROUTING -i ens3 -j DNAT --to-dest 172.25.254.30
已认证运维工程师
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linuxnetfilter火墙访问控制策略优化----firewalld
qq_60200126的博客
08-08 226
firewalld火墙优化策略1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld的NAT ####### firewalld ####### dnf whatprovides */firewall-config 查找firewalld图形编辑器安装包 下载后,指令firewall-config 可以启动 1 firewalld的开启 systemctl st
3-7.linux火墙策略优化
wonderful10的博客
12-08 87
1.火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2.火墙管理工具切换 在rhel8默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --now iptables i
网络通信安全:访问控制规则优化.pptx
06-23
;目录;1;2;3;3.1 对应通用基本要求;3.2 访问控制规则介绍;3.3 如何核查是否符合要求?;3.4 结果判定;3.5 若不符合,如何整改? ;3.5 若不符合,如何整改? ;3.5 若不符合,如何整改? ;3.5 若不符合,如何整改? ;PPT模板下载:/moban/ 行业PPT模板:/hangye/ 节日PPT模板:/jieri/ PPT素材下载:/sucai/ PPT背景图片:/beijing/ PPT图下载:/tubiao/ 优秀PPT下载:/xiazai/ PPT教程: /powerpoint/ Word教程: /word/ Excel教程:/excel/ 资料下载:/ziliao/ PPT课件下载:/kejian/ 范文下载:/fanwen/ 试卷下载:/shiti/ 教案下载:/jiaoan/ 字体下载:/ziti/
Linuxnetfilter火墙访问控制策略优化详解(上)—iptables
weixin_44310047的博客
06-04 565
Linux火墙策略优化 1、火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2、火墙管理工具切换 在rhel8默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --
iptables命令-- 服务器访问控制
最新发布
weixin_45172742的博客
02-02 267
iptablesLinux 操作系统用于配置 IPv4 数据包过滤规则的工具。它可以用于设置、查看和修改防火墙规则,以控制网络流量。
iptables 访问控制配置
weixin_38169359的博客
06-15 157
iptables 访问控制配置: 一,四:(按优先级顺序) raw:PREROUTING, OUTPUT mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING filter:INPUT,FORWARD,OUTPUT 二,规则格式: ...
iptables安全访问和防火墙
weixin_75101141的博客
04-06 326
iptables -A INPUT -p icmp -m iprange --src-range 192.168.233.20-192.168.233.30 -j REJECT#禁止网段内的ip地址ping主机。--line-numbers 规则带编号 iptables -t nat -L -n --line-number iptables -t nat -L --line-number。-L 查看 iptables -t nat -L (查看)
Linux火墙策略优化
Morganite的博客
11-18 1180
一、火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 二、火墙管理工具切换 在rhel8默认使用的是firewalld firewalld----->iptables [root@westoslinux ~]# systemctl disable --now firewalld Removed /etc/systemd/system/multi-user.target.wants/firewalld.service. Removed /etc
linux火墙优化策略
weixin_56993834的博客
05-18 109
一·火墙介绍 1.netfilter 2.iptables 3.firewalld 二·火墙管理工具切换 firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --now iptables iptables -------> fiewalld d
网络资源访问控制iptables)和常用策略的介绍
weixin_33739523的博客
12-24 374
网络资源访问控制iptablesiptablesLinux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,那么有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。一种防火墙是一种非常有效地网络安全模式,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍对风险区的访问。一般...
linux访问控制(四)iptables规则管理和常用操作
chinaltx的博客
02-25 909
一、规则的保存和重载 查看当前内存的规则 iptables -S [root@Tyson'sComputer ~]# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT 保存当前内存规则 iptables -S> /path/file iptables-save[option]> /path/...
linux日常管理-防火墙netfilter工具-iptables-1
weixin_30698527的博客
11-22 87
火墙的名字叫 netfilter 工具/命令叫iptables 命令:iptables 选项: -t 指定 -A 在最上面增加一条规则 -I 在最下面增加一条规则 -D 删除一条规则 -A-I-D 后面跟的名称 INPUT -s 跟源地址 -p 跟协议 (tcp udp icmp) --sport/--dport 后跟源端口/目标端口 -d 跟目的的ip -j ...
Linux火墙:netfilteriptables、firewalld、firewall-cmd、ufw
freeking101的博客
04-19 1万+
火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络。
Linux火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1472
netfilteriptables、firewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
linux网络_防火墙-iptables基础
weixin_34244102的博客
11-21 163
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙策略规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables火墙的原理和作用及访问控制
一个努力学习网安的小牛马
10-13 189
iptables火墙访问控制以及原理
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2874
iptables火墙详解
iptables火墙进出控制
不爱吃奶昔(zsl0)的博客
05-06 1416
iptables 是集成在 Linux 内核的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则iptables 默认维护着 4 个和 5 个,所有的防火墙策略规则都被分别写入这些。“五”是指内核控制网络的 NetFilter 定义的 5 个规则
Linux Netfilter网络安全架构详解与iptables应用
每个规则iptables(内核过滤管理工具)进行配置和管理,这使得网络管理员可以根据需要灵活地设置访问策略iptablesLinux网络安全架构的重要组成部分,它提供了丰富的命令行接口,可以实现防火墙的多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值