Linux 防火墙 iptables 详解

最新推荐文章于 2024-06-11 01:21:35 发布
最新推荐文章于 2024-06-11 01:21:35 发布
阅读量4.5k 收藏 22
点赞数 5
分类专栏: Linux 文章标签: linux 网络 服务器
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u012581020/article/details/131305189
版权

1. 什么是防火墙

防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。

防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。

2. iptables 概述

Iptables 是一个用户空间程序,可以用于设置和管理 Linux 操作系统的内核级防火墙。它通过表、链和规则组成,可以灵活地根据不同的需求进行配置。

iptables 具有以下特点:

  • Iptables 作为内核级别的防火墙,具有高效、稳定、安全等优点。
  • Iptables 的表、链、规则结构非常灵活,可适应各种不同的网络环境和应用场景。
  • Iptables 相对于其他防火墙工具而言比较容易学习和掌握,并且拓展性非常强。

3. iptables 的组成

Iptables 的核心是由表(table)、链(chain)和规则(rule)三部分组成的。

3.1 表(Table)

在 iptables 中,表是一个规则的集合,每个表都包含若干个链和一些相关的规则。常用的五种 table 如下:

  1. raw: iptables 默认被加载的是 raw 表,不做特殊处理。
  2. mangle:这个表主要对数据包进行更深入的处理,如标记包、TOS(服务类型)等。本表根据数据包的内容修改一些字段的值。
  3. nat:用于网络地址转换。
  4. filter:主要用来过滤、丢弃不符合规则的数据包。
  5. security:用于 MAC 安全模块与 iptables 链式结构的桥接。

3.2 链(Chain)

在 iptables 中,链是一个规则的集合,每个链都包含一些相关联的规则。Linux 防火墙中默认存在的 3 个链:INPUT、FORWARD 和 OUTPUT。

3.2.1 INPUT 链

Input 链主要对进入本机的网络数据包进行处理,如果不符合某些特定规则,则直接被丢弃。

3.2.2 FORWARD 链

Forward 链主要对不是发往本机,而是需要转发到其他网段的网络数据包进行处理。

3.2.3 OUTPUT 链

Output 链主要对本机发出去的网络数据包进行处理,同样的,如果不符合某些特定规则,则直接被丢弃。

3.3 规则(Rule)

在 iptables 中,规则是一个集合,通过它们来定义过滤器的行为,包括源地址、目标地址、端口号、协议等。每个规则由以下几个部分组成:

  1. 匹配条件:具体的过滤器规则,即匹配哪些流量。
  2. 操作代码:如果匹配成功,该执行哪些操作。
  3. 目标地址:当匹配成功后,将流量引导到哪个目标地址。

4. iptables 命令

iptables 是一种基于命令行的防火墙,用户可以通过命令行修改或临时屏蔽规则,在保证安全性的同时进行更精确和灵活的控制。下面是常用的 iptables 命令:

4.1 iptables-save 命令

保存已有配置文件,保存的方式是可以重定向到某个文件中,例如iptables-save > /etc/sysconfig/iptables

4.2 iptables-restore 命令

启动 iptables 服务后会默认读取 /etc/sysconfig/iptables 中的配置文件,用户可以通过此命令将已有规则重新装入 iptables。

4.3 iptables -L --line-numbers 命令

列出默认 filter 表中所有规则,并显示它们的行号,这对于添加和删除规则很有帮助。

4.4 iptables -A 命令

在指定的链 CHAIN 上创建一条新规则,以限制指定的端口(dport)上使用指定协议(protocol)的数据包流量。TARGET 可以是 ACCEPT、REJECT 或 DROP。例如:iptables -A INPUT -p tcp --dport 80 -j ACCEPT 表示当访问本机的 80 端口时,可以通过。

4.5 iptables -D 命令

从指定链 CHAIN 中删除一条现有规则,规则编号由 iptables -L 命令输出的行号指定。

4.6 iptables -N 命令

在 iptables 中创建一个新的用户自定义链。例如:iptables -N LOG_DROP 创建新链 LOG_DROP。

4.7 iptables -I 命令

插入一条规则到指定链(CHAIN)的特定位置(INDEX)处。此命令的其余部分与先前介绍的相同。

5. iptables 规则的语法格式

在使用 iptables 时,需要遵循一定的规则语法。iptables 规则主要由以下几个部分构成:

  • 匹配条件:必须符合匹配条件才能被命中。
  • 操作选项:当匹配成功时执行的动作,比如 ACCEPT、DROP 和 REJECT 等等。
  • 目标地址:当匹配成功后,将流量引导到哪个目标地址。

下面是 iptables 规则的语法格式:

iptables [-t table] [-A chain] [-I chain [rulenum]] [-D chain rulenum] [-R chain rulenum] [-j target] [match-expression]

其中:

  • -t, --table 表示指定要操作哪个表。iptables 默认使用 filter 表,如果没有明确指定,则会被当作 filter 表来处理。
  • -A, --append 是添加规则,向指定链中增加一条新规则,默认放在链尾。
  • -I, --insert 是插入规则,可以将规则插入到链的任意位置。
  • -D, --delete 是删除规则,可以删除指定链中的规则。
  • -R, --replace 是替换规则,可以直接替换当前规则。
  • -j, --jump 是动作选项,表示需要执行的操作,比如 ACCEPT、DROP 或 REJECT 等。

iptables 规则的匹配条件 match-expression 由多个关键字组成,各个关键字的含义如下:

  • -p 指定协议,可以是 all、tcp、udp、icmp 等。
  • –sport 和 --dport 分别指定源端口和目的端口。
  • -s 和 -d 分别指定源地址和目的地址。
  • -i 和 -o 分别指定数据包的输入接口和输出接口。
  • –state 状态匹配条件,可以是 NEW、ESTABLISHED 或 RELATED。
  • -m 按照数据包的类型进行匹配,如 tcp、udp、icmp 等。

6. iptables 配置实例

下面我们来举一个 iptables 配置实例,以实现一个简单的安全策略:允许 SSH 和 HTTP/HTTPS 流量通过 iptables,并禁止其他所有流量。

6.1 设置默认策略

首先,我们需要设置默认的策略。iptables 共有三个默认策略:DROP、REJECT 和 ACCEPT。DROP 表示直接拒绝,不回应,相当于向黑洞中丢弃;REJECT 表示直接拒绝,并返回一个 ICMP 错误信息,相当于明确地告诉对方该端口不可用;ACCEPT 表示直接接受数据包。

我们需要设置默认策略为 DROP,这样任何不符合规则的流量都将被丢弃。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
  • -P 选项表示设置默认策略,后面跟着需要设置的链名。
  • INPUT 链指向来自外部的包、传入本地机器的包以及因为非法转发被丢弃的包。
  • FORWARD 链指向转发包。
  • OUTPUT 链指向离开本地机器的包。

6.2 允许 SSH 连接

SSH 端口默认为 22。我们需要允许来自指定 IP 地址的流量通过 iptables。假设您希望允许 IP 地址为 192.168.1.100 的机器访问 SSH 端口。

iptables -A INPUT -p tcp -s 192.168.1.100/32 --dport 22 -j ACCEPT

上述命令中,-A 选项表示添加规则,-p tcp 表示协议为 TCP,-s 192.168.1.100/32 表示源地址为 IP 地址为 192.168.1.100,--dport 22 表示目的端口为 22。最后的 -j 将匹配的流量引导到 ACCEPT 规则。

6.3 允许 HTTP/HTTPS 连接

HTTP 端口默认为 80,HTTPS 端口默认为 443。我们需要允许来自任何 IP 地址的流量访问 HTTP 和 HTTPS 端口。

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

上述命令中,-A 选项表示添加规则,-p tcp 表示协议为 TCP,--dport 80--dport 443 分别表示目的端口为 80 和 443。最后的 -j 将匹配的流量引导到 ACCEPT 规则。

6.4 其他流量禁止通过

我们已经设置了需要允许通过的 SSH、HTTP 和 HTTPS 流量。现在,我们需要禁止所有其他流量通过 iptables。

iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP

上述命令中,最后的 -j DROP 表示将匹配的流量引导到 DROP 规则。

7. 总结

Iptables 是 Linux 下的一款内核级防火墙软件,由表、链和规则三部分组成,具有高效、稳定、安全等优点。iptables 可以根据不同的需求进行配置,支持多种协议、条件和动作选项,可以灵活地根据不同的需求进行配置。

大家都说我身材好
关注
  • 5
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux系统:iptables 防火墙
十七拾的博客
02-18 2399
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五表五链、及其相关操作,希望对你有帮助!
Linux防火墙iptables详解
weixin_47669063的博客
03-08 824
正、方向代理、iptables
iptables -m, -p 参数说明
最新发布
ideal-lingyun
06-11 300
iptables -m, -p 参数说明
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 15万+
iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5123
本文介绍Linuxiptables命令的用法。
IPtables服务器配置与管理
wwxxss
11-18 1305
其中表是按照对数据包的操作区分的,链是按照不同的 Hook 点来区分的,表和链实际上是netilter的两个维度。4个表:flter,nat,mangle,raw,默认表是 filter(没有指定表的时候就是filter表)。filter:一般的过滤功能。Raw:优先级最高,设置raw时一般是为了不再让 iptables 做数据包的链接跟踪处理,提高性能。iptables -A INPUT -p icmp --icmp-type 8 -j DROP ,将添加的规则保存到文件中。查看iptables服务。
Linux安全防火墙iptables)配置策略
qq_51545656的博客
11-11 5897
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
详解Linux防火墙iptables禁IP与解封IP常用命令
09-15
主要介绍了详解Linux防火墙iptables禁IP与解封IP常用命令,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
LinuxIPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
Iptables防火墙策略
Lachewuxian的博客
10-06 206
安全技术:1 入侵检测技术:特点是阻断,量化,定位来自内外的网咯的威胁情况。提供报警和事后监督,类似于监控2 入侵防御:以透明模式工作,分析数据包的内容,可以对一起进入本机的内容进行防护,木马 ,蠕虫,系统漏洞进行分析判断,然后进行阻断,主动的防护机制,部署在整个架构,或者是集群的入口支出,(必经之处)3 防火墙:隔离功能,工作在网络或者主机边缘的对网络或者主机进出的数据包按照一定能的规则进行检查,(网络层转发数据包)我们在工作中,一般对防火墙,设置都是白名单,拒绝所有,允许个别。
iptables防火墙策略学习
x202231的博客
04-12 413
Linux防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙iptables,自从centos7过后防火墙的使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4106
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
linuxiptables防火墙
weixin_55609813的博客
05-25 288
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
Linux防火墙iptables
hujunbo553271的专栏
03-03 1959
Linux防火墙iptables
iptables 2: 规则的查看、添加、删除、修改
weixin_42639771的博客
04-17 2万+
参考 http://www.zsythink.net/archives/1517 single-content 上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。 之前,我们把查看iptables规则的操作比作"增删改查"当中的"查",那么在这篇文章中,我们就聊聊怎样对iptables进行"增、删、改"操作。   注意:在参照本...
iptables防火墙的设置
Zz69133826的博客
04-08 3124
iptables防火墙的设置
linux防火墙iptables配置
08-09
要配置Linux防火墙iptables,您可以按照以下步骤进行操作: 1. 首先,关闭firewalld防火墙并取消其开机自启动: ``` systemctl stop firewalld.service systemctl disable firewalld.service ``` 2. 安装iptablesiptables-services: ``` yum -y install iptables iptables-services ``` 3. 启动iptables服务: ``` systemctl start iptables.service ``` 这样,您就成功配置了Linux防火墙iptables123 #### 引用[.reference_title] - *1* [Linux系统防火墙iptables](https://blog.csdn.net/weixin_58544496/article/details/126845679)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* [Linux iptables防火墙详解(二)——iptables基本配置](https://blog.csdn.net/weixin_40228200/article/details/121712224)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [Linuxiptables防火墙配置](https://blog.csdn.net/asdfg___xiaobai/article/details/127651533)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大家都说我身材好

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值