iptables之iptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)

已于 2024-01-30 20:58:28 修改
阅读量435 收藏 1
点赞数
分类专栏: 防火墙 linux 转载记录 文章标签: 防火墙 linux
于 2024-01-30 20:37:25 首次发布
原文链接:https://blog.csdn.net/Nightwish5/article/details/132271013
版权
转载记录 同时被 3 个专栏收录
382 篇文章 16 订阅
订阅专栏
linux
109 篇文章 10 订阅
订阅专栏
防火墙
7 篇文章 1 订阅
订阅专栏
本文详细介绍了iptables的各个部分,包括链的概念、表的功能及其关系,规则的增删改查,以及iptables的匹配模式、扩展模块如multiport、iprange、string、time等,并展示了如何使用这些功能进行网络访问控制和连接追踪。
摘要由CSDN通过智能技术生成

目录

一、iptables的链

二、iptables的表

2.1表的功能

2.2 表与链的关系

2.3 问题

三、iptables规则的增、删、改、查、存

3.1 iptables操作举例

1.如何查看

2.如何添加规则:

3.如何修改规则:

4.如何清空计数器:

5.备份规则;

6.清空规则:

7.恢复规则:

8.永久生效:

四、iptables匹配模式与案例

4.1 iptables匹配参数

4.2 示例问题

五、Iptables扩展匹配与案例

5.1 Iptables扩展模块-multiport

5.2 lptables扩展模块-iprange

5.3 Iptables扩展模块string

5.4 lptables扩展模块-time

5.5 Iptables扩展模块icmp

5.6 Iptables扩展模块connlimit

5.7 Iptables扩展模块limit

5.8 Iptables扩展模块tcp-flags

六、iptables连接追踪模块案例

一、iptables的链

1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
2.请求经过本机: PREROUTING --> FORWARD --> POSTROUTING
3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING

二、iptables的表


2.1表的功能

平常主要用的是filter表和nat表
    filter: 过滤,网络安全;
    nat: 路由;地址转换;

2.2 表与链的关系

简单解释:
注意图中的向下箭头,这是访问顺序

1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
2.请求经过本机: PREROUTING --> FORWARD --> POSTROUTING
3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING

2.3 问题

问题1:来自`10.0.0.1`的地址,访问本机的`web`服务请求不允许,应该在哪个表的哪个链上设定规则?
答:filter表中的INPUT链上设定规则。

问题2:所有由本机发往`10.0.0.0/24`网段的`TCP`服务都不允许?
答:filter表中的OUTPUT链上设定规则。

问题3:所有来自己本地内部网络的主机,向互联网发送`web`服务器请求都允许?
答:filter表中的FORWARD链设定规则。
c  -->  iptables  --> s



三、iptables规则的增、删、改、查、存

iptables [-t 表名] 选项 [链名] [规则] [动作]


3.1 iptables操作举例


默认不同-t指定表,则默认为filter表。

1.如何查看

-L:查看 -n:不解析 -v 详细 --line-numbers 编号

iptables -L -n -v --line-numbers
2.如何添加规则:

禁止10.0.0.10 ping 10.0.0.200

-I:插入Insert

iptables -t filter -I INPUT -p icmp -j REJECT
iptables -L -n

随后ping 10.0.0.200看效果 , REJECT还会有反馈内容。 如果是DROP则,没有反馈内容


3.如何修改规则:


-R:修改 需要指定规则的编号

iptables -t filter -R INPUT 1 -p icmp -j DROP


4.如何清空计数器:
iptables -Z


5.备份规则;
iptables-save > /etc/iptables.rule


6.清空规则:
iptables -F    #等价于 iptables -t filter -F
iptables -t nat -F


7.恢复规则:
iptables-restore < /etc/iptables.rule


8.永久生效:

将 iptables-restore < /etc/iptables.rule 加入开机自启动文件 /etc/rc.local


四、iptables匹配模式与案例


4.1 iptables匹配参数

4.2 示例问题


1 、 仅允许10.0.0.1 访问 10.0.0.200 服务器的80端口、其他地址全部拒绝。
filter 表;
INPUT;

iptables -t filter -I INPUT -p tcp -s 10.0.0.10 -d 10.0.0.200 --dport 80 -j DROP

#INPUT链默认是接受  policy ACCEPT 。 当走完Input链下的所有规则,一旦符合则不会往下走,如果都不符合的,则走默认规则 policy ACCEPT。


2 、 仅允许10.0.0.1 访问 10.0.0.200 服务器的22端口、其他地址全部拒绝。

iptables -t filter -I INPUT -s 10.0.0.1 -d 10.0.0.200 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -d 10.0.0.200 -p tcp --dport 22 -j DROP


 


3 、所有来访问本机的协议,属于TCP协议的我们通通都放行;

iptables -t filter -I INPUT -p tcp -j ACCEPT
iptables -t filter -A INPUT -j DROP

#测试方法: 时间同步chrony有走udp协议 、 ping走icmp协议


4、凡是由本机发出的TCP协议报文,都允许出去,其他协议不行;

iptables -t filter -I OUTPUT -p tcp -j ACCEPT
iptables -t filter -A OUTPUT -j DROP



5、禁止其他主机从eth0像本机发送ping请求

iptables -t filter -I INPUT -i eth0 -p icmp -j DROP


 


6、允许从本机发送ping请求,其他任何协议都不允许; 【执行完后 ssh会掉线】【注意!】

iptables -t filter -I OUTPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -j DROP



五、Iptables扩展匹配与案例


5.1 Iptables扩展模块-multiport


multiport模块可以添加多个不连续的端口;
示例 :10.0.0.10 访问本机20、21、80、443允许通过;

iptables -I INPUT -s 10.0.0.10 -d 10.0.0.200 -p tcp -m multiport --dport 20:22,80,443,873 -j ACCEPT


 


5.2 lptables扩展模块-iprange


iprange模块可以指定”一段连续的IP地址范围";用于匹配报文的源地址或者目标地址,iprange扩展模块中有两个扩展匹配条件可以使用。

示例:10.0.0.5-10.0.0.10地址段访问ping本机,则丢弃;

iptables -t filter -I INPUT -p icmp -m iprange --src-range 10.0.0.5-10.0.0.10 --dst-range 10.0.0.200 -j DROP


 

5.3 Iptables扩展模块string


●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。
。–algo {bm|kmp}:字符匹配的查询算法;
。[!] --string pattern: 字符匹配的字符串;

情景准备:

yum install httpd -y
echo "hello" > /var/www/html/index.html
echo " video " > /var/www/html/test.html
systemctl start httpd



情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。

#OUTPUT链
iptables -t filter -I OUTPUT -p tcp -m string --algo kmp --string "video" -j DROP


 

情景2 任意时间段都拒绝,用户请求iptables节点,如果请求中包含 “jd.oldxu.net” 则拒绝;

iptables -t filter -F
iptables -t filter -I INPUT -p tcp -m string --algo kmp --string "jd.oldxu.net" -j DROP



5.4 lptables扩展模块-time


time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。
。–timestart hh:mm[:ss]:开始时间
。–timestop hh:mm[:ss]: 结束时间
。[!] --monthdays day[, day…]:指定-一个月的某- 天
。[!] --weekdays day[, day…]: 指定周一-到周天
。–kerneltz:使用内核时区而不是UTC时间 (所以要减8小时)

示例1:拒绝每天8:30~12:30 (00: 3004:30)、13:3018:30 (05:30~10:30), 任何主机发送icmp协
议;

#utc时间,比北京时间快8小时,所以要减8小时。
iptables -t filter -I INPUT -p icmp -m time --timestart 00:30 --timestop 04:30 -j DROP
iptables -t filter -I INPUT-p icmp -m time --timestart 05:30 --timestop 10:30 -j DROP



限制用户在上班时间段访问jd、qq等资源,其他时间可以正常放行:
time和string一起用: (路由器)
限制早上:8:00 ~ 12:00 (00:00-04:00)
限制下午:14:00 ~ 18:00 (06:00-10:00)

#utc时间,比北京时间快8小时,所以要减8小时。
#网络策略   FORWARD链
#上午
iptables -t filter -I FORWARD -p tcp -m string --string "qq" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP
iptables -t filter -I FORWARD -p tcp -m string --string "tb" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP#下午
iptables -t filter -I FORWARD -p tcp -m string --string "qq" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP
iptables -t filter -I FORWARD -p tcp -m string --string "tb" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP


 

#utc时间,比北京时间快8小时,所以要减8小时。
#主机策略   INPUT链
#上午
iptables -t filter -I  INPUT -p tcp -m string --string "qq" --algo kmp -m time --timestart 00:00 --timestop 10:00 -j DROP
iptables -t filter -I  INPUT -p tcp -m string --string "tb" --algo kmp -m time --timestart 00:00 --timestop 04:00 -j DROP

#下午:                 
iptables -t filter -I  INPUT -p tcp -m string --string "qq" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP
iptables -t filter -I  INPUT -p tcp -m string --string "tb" --algo kmp -m time --timestart 06:00 --timestop 10:00 -j DROP



5.5 Iptables扩展模块icmp


· icmp模块:可以控制其他主机无法ping同本机,但本机可以ping同其他主机;
·默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机。
语法: [!] --icmp-type {type[/code] / typename}
指定ICMP类型,echo-request(8请求)、echo-reply (0回应)

iptables -t filter -I INPUT -p icmp -m icmp --icmp-type "echo-request" -j REJECT


5.6 Iptables扩展模块connlimit


connlimit扩展模块,限制每个客户端P地址到服务器的并行连接数。
–connlimit-upto n:如果现有连接数小于或等于n,则匹配。
–connlimit-above n:如果现有连接数大于n,则匹配。

#模拟网站和大流量访问
yum install httpd -y
gcc f_connect.c
./a.out 10.0.0.200


#限制同一IP的并发连接数,超过10个并发连接数则拒绝。
iptabels -t filter -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP



5.7 Iptables扩展模块limit


5.8 Iptables扩展模块tcp-flags


六、iptables连接追踪模块案例


相关概念:

比如记录这些:

conntrack:
查看链接追踪详情: /proc/net/nf_conntrack
调整链接追踪大小: echo "100000" > /proc/sys/net/nf_conntrack_max


应用场景:

  1. 正常情况下服务器的80端口不会主动连接其他服务器,如果出现了80端口连接其他服务器,那么说明出现了
  2. 异常行为,或者可以理解为中了木马程序病毒。反弹端口型木马
  3. 如果关闭80端口的响应报文,就会造成请求进来无法响应;如果开放80端口则又会出现异常行为。
  4. 所以我们需要对80端口做连接追踪限制,凡事从80端口出去的就必须是对某个请求的响应,也就是说通过80
  5. 端口出去的状态必须是ESTABLISHED,不能是NEW


1、允许接收远程主机像本机发送的SSH与HTTP请求(NEW、 ESTABLISHED)
2、同时也仅允许本机像其他主机回应SSH以及HTTP响应(ESTABLISHED)
3、但不允许本机通过22、80端口主动向外发起连接。
 

#INPUT链
iptables -t filter -I INPUT -p tcp -m multiport --dport 80,22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --dport 80,22 -j DROP

#OUTPUT链
iptables -t filter -I OUTPUT -p tcp -m multiport --sport 22,80 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -m multiport --sport 22,80 -j DROP

it潮人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables(5)常用扩展模块iprange、string、time、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1510
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
iptables详解:关系、规则的基本使用
最新发布
qq_68163788的博客
11-19 1163
iptables 是一个用于配置 Linux 内核防火墙规则的工具,它允许系统管理员控制数据包的传输,从而实现网络安全和流量控制。iptables 是一个非常强大和灵活的工具,可以根据网络数据包的来源、目的、协议、端口等多种条件来进行过滤和转发,从而保护网络安全,限制网络访问和提高网络性能。 iptables 主要由三个部分组成:(table)、(chain)和规则(rule)。是用来组织规则的集合,每个包含一组,而则是一系列规则的集合。规则是用来定义数据包的处理方式,可以允许或者拒绝数据包的
Iptables最清晰解释
01-15
Iptables最清晰解释 下文有个词mangle,我实在没想到什么合适的词来达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词达的意思是,会对数据包的一些传输特性进行修改,在mangle中允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
iptables规则
qq_38892883的博客
07-27 2193
参考地址:https://www.cnblogs.com/kevingrace/p/6265113.html 本文内容是参考的以上接,做了一下版式的整理,由于在我的本地笔记上已经做过了。所以就贴图了。    ...
iptables四个五条
热门推荐
那时风起
11-06 3万+
iptables四个五条     其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些的实质性的配置例子。 一、netfilter和iptables说明:     1、   netfilter/iptables IP
iptables结构详解
Jian Sun_的博客
01-26 1003
iptables总的结构 iptables 其实是多个(table)的容器,每个里包含不同的(chain),里边定义了不同的规则(policy),我们通过定义不同的规则,来控制数据包在防火墙的进出。 iptables里的三大 Filter是默认的主机防火墙,过滤流入流出主机的数据包。里边包含INPUT,OUTPUT,FOWARD三个   INPUT过滤进入主机的数据包   OUTPUT处理从本机发出去的数据包   FOWARD 处理流经本主机的数据包,与NAT有关系 ...
网络安全课程设计之D防火墙——Iptables.docx
09-17
2)使用通用匹配条件和扩展匹配条件定义 iptables 规则。 3)在 iptables 中添加、管理和删除自定义。 实验环境:虚拟机 VMware 或 VirtualBox(https://www.virtualbox.org),linux。 任务: (1)查看 Filter...
Shell脚本实现监控iptables规则是否被修改
09-15
主要介绍了Shell脚本实现监控iptables规则是否被修改,本文直接给出实现代码,需要的朋友可以参考下
Docker中iptables规则iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_...
ipt-netflow:适用于Linux内核的Netflow iptables模块(官方)
02-03
`ipt-netflow`是一个开源的iptables模块,专为Linux内核设计,用于在防火墙规则中集成Netflow流量记录功能。这个模块允许网络管理员在数据包通过网络时收集详细的流量统计信息,从而帮助进行网络监控、性能分析和...
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能,参数,配置实例,例如: ah-esp condition conntrack fuzzy iplimit ipv4options length nth pkttype u32 等,基本全部模块
IPTables 规则基础
Arlingtonroad的博客
11-29 2484
iptables 防火墙用于管理包过滤和 NAT 规则IPTables 随所有 Linux 发行版一起提供。了解如何设置和配置 iptables 将帮助您有效地管理 Linux 防火墙iptables 工具用于管理 Linux 防火墙规则。乍一看,iptables 可能看起来很复杂(甚至令人困惑)。但是,一旦您了解了 iptables 的工作原理及其结构的基础知识,阅读和编​​写 iptables 防火墙规则就会很容易。 本文是正在进行的 iptables 教程系列的一部分。这是该系列的第一篇文章
iptables 关系
weixin_33893473的博客
12-31 323
1、在生产中selinux 是关闭的。iptables 根据环境,内网关闭,外网开启。如果是大并发的情况,不开启iptables.2、/var/log/messages 出现kernel:nf_conntrack:table full,dropping packet 是因为业务访问慢造成的 优化: net.nf_conntrack_max = 250...
iptables 防火墙(filter
种一颗树最好的时间是十年前,其次是现在!
07-17 2043
IP信息包括过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。为了更加方便的组织和管理防火墙规则iptables采用了的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中。总结里有里有规则。...
iptables基础——
meltsnow的博客
03-12 754
1.防火墙相关概念 此处先描述一些相关概念。 1)从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 2)从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:...
iptables的关系
weixin_33743248的博客
05-27 160
下图展式了iptables的关系(tables)(chains)INPUTFORWARDOUTPUTPREROUTINGPOSTROUTINGFilter有有有无无Nat无无有有有Mangle有有有有有 转载于:https://blog.51cto.com/zhangjie/1211311...
iptables常用模块介绍
weixin_34308389的博客
03-17 419
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables的四
kakaka666的博客
06-04 1272
对数据包做路由选择之后,将应用此中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给。当数据包到达防火墙时,如果对应的内有规则存在,将按照顺序依次从。:出流量,其实就是防火墙本机向外的地址发送数据包,首先被。做处理,确认通过之后,便可以交给服务器端来进行响应。来进行处理是否需要通过或直接丢弃,最后将交给。:如果是外边的数据包到达防火墙后,要先通过。:如果是外边的数据包到达防火墙后,要先通过。,其内包括五个:prerouting。做相关处理,随后进行路由选择,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值