iptables防火墙策略

最新推荐文章于 2024-05-26 20:52:11 发布
最新推荐文章于 2024-05-26 20:52:11 发布
阅读量381 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41922887/article/details/85009591
版权

环境:

foundation1     172.25.1.250    172.25.254.1

server1             172.25.1.1

server2             172.25.1.2

server3             172.25.1.3

四个主机都做解析

iptables简介:

netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

iptables采用“表”和“链”的分层结构,在linux中iptables主要有三张表五条链:

三张表即filter表、nat表、mangle表,分别用于实现包过滤,网络地址转换、包重构(修改)功能

filter表有三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包 

Nat表有三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口)

Mangle表有五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型等

iptables命令中设置数据过滤或处理数据包的策略叫做规则,将多个规则合成一个链,叫规则链。

规则链则依据处理数据包的位置不同分类:

PREROUTING: 在进行路由判断之前所要进行的规则(DNAT/REDIRECT)
INPUT:处理入站的数据包
OUTPUT:处理出站的数据包
FORWARD:处理转发的数据包
POSTROUTING: 在进行路由判断之后所要进行的规则(SNAT/MASQUERADE)

iptables中的规则表是用于容纳规则链,规则表默认是允许状态的,那么规则链就是设置被禁止的规则,而反之如果规则表是禁止状态的,那么规则链就是设置被允许的规则。

raw表:确定是否对该数据包进行状态跟踪

mangle表:为数据包设置标记(较少使用)

nat表:修改数据包中的源、目标IP地址或端口

filter表:确定是否放行该数据包(过滤)

另外注意:

1.没有指定规则表则默认指filter表。

2.不指定规则链则指表内所有的规则链。

3.在规则链中匹配规则时会依次检查,匹配即停止(LOG规则例外),若没匹配项则按链的默认状态处理。

注意:

你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来

1.service iptables save 命令

它会保存在/etc/sysconfig/iptables这个文件中

    2.iptables-save 命令

iptables-save > /etc/sysconfig/iptables

为了不影响实验去除干扰,将 firewalld 关闭,安装 iptables,并启动

[root@server1 ~]# systemctl stop firewalld
[root@server1 ~]# systemctl status firewalld

[root@server1 ~]# yum install iptables-services                      //下载防火墙服务,server1、server2、server3均下载

[root@server1 ~]# systemctl start iptables.service                //开启服务

[root@server1 ~]# iptables -nL           //查看防火墙策略
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

[root@server1 ~]# iptables -F            //刷新策略
[root@server1 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

[root@server1 ~]# yum install -y httpd                      //下载http服务

[root@server1 ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

[root@server1 ~]# systemctl start httpd                     //开启http服务
[root@server1 ~]# iptables -P INPUT ACCEPT         //设置接受模式

此时所有主机浏览器都可以访问httpd页面,这里用curl命令

给server1写一个Apache的发布页面

[root@server1 ~]# cd /var/www/html/
[root@server1 html]# ls
[root@server1 html]# vim index.html

[root@foundation1 Desktop]# curl server1

[root@server2 ~]# curl server1
server1

[root@server3 ~]# curl server1
server1

[root@server1 ~]# iptables -A INPUT -p tcp --dport 80 -j REJECT               //添加策略,使http为拒绝

[root@server1 ~]# iptables -nL           //查看策略是否已添加
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

此时:

[root@server2 ~]# curl server1

[root@server3 ~]# curl server1
curl: (7) Failed connect to server1:80; Connection refused

[root@server1 ~]# iptables -A INPUT -s 172.25.1.2 -p tcp --dport 80 -j ACCEPT        //指定ip为server2可以访问该主机的http服务

[root@server1 ~]# iptables -nL

[root@server2 ~]# curl server1
curl: (7) Failed connect to server1:80; Connection refused

防火墙策略读取方式:

读取时从第一条开始读取,当满足第一条时停止读取。

可以看到虽然有策略,但是server2还是不能访问,因为第一条策略读完就拒之门外,所以因采用:

[root@server1 ~]# iptables -D INPUT 2
[root@server1 ~]# iptables -I INPUT 1 -s 172.25.1.2 -p tcp --dport 80 -j ACCEPT [root@server1 ~]# iptables -nL

[root@server1 ~]# iptables -nL

此时:

[root@server2 ~]# curl server1

[root@server3 ~]# curl server1

[root@server1 ~]# iptables -R INPUT 2 -s 172.25.1.3 -p tcp --dport 80 -j ACCEPT      //修改第二条策略,修改为允许server3访问

[root@server1 ~]# iptables -nL

此时server3也可进行访问

[root@server3 ~]# curl server1

[root@server1 ~]# iptables -F       //刷新策略
[root@server1 ~]# iptables -nL     //察看是否已刷新

[root@server1 ~]# iptables -N xx            //添加名为xx的链
[root@server1 ~]# iptables -nL

[root@server1 ~]# iptables -E xx cc                  //修改链名,将名为xx的链修改为cc
[root@server1 ~]# iptables -nL

[root@server1 ~]# iptables -X cc                //删除链cc
[root@server1 ~]# iptables -nL

 

NAT (Net Address Trancelate:网络地址转换)

*************************源地址转换:SNAT*********************************

(源地址转换)是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的 IP,这样,接收方就认为数据包的来源是被替换的那个 IP 的 主机

*************************目的地址转换:DNAT*******************************

(目标地址转换),就是指数据包从网卡发送出去的时候,修改数据包中的目的 IP,表现为如果你想访问 A,可是因为网关做了 DNAT,把所有访问 A 的数 据包的目的 IP 全部修改为 B,那么,你实际上访问的是 B

注意:实现配置iptables的NAT功能需要 开启内核的转发功能

 

1、SNAT

环境:

server1:172.25.1.1

server2: 172.25.1.2        172.25.254.2                 开启iptables服务

server3:172.25.254.3

## 所有主机刷新策略,并关闭防火墙firewalld

##  打开转发IP功能(IP forwarding):

echo "1" > /proc/sys/net/ipv4/ip_forward

要想永久有效:

  vim /etc/sysctl.conf

  net.ipv4.ip_forward = 1

如果使用PPP、DHCP等动态IP,需要打开:

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

[root@server2 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward

[root@server2 ~]# systemctl status iptables

[root@server2 ~]# ip address add 172.25.254.2/24 dev eth1                   //添加网卡eth1:172.25.254.2

[root@server1 ~]# ip addr

[root@server3 ~]# ip addr

原本不同网段ip是ping不通的,即server1和server3是ping不通的

[root@server1 ~]# ping 172.25.254.3

[root@server2 ~]# iptables -nL -t nat         //查看nat策略

[root@server2 ~]# iptables -t nat -I POSTROUTING -s 172.25.1.0/24 -j MASQUERADE

//在路由后,将172.25.1.0/24网段过来的主机转发出去

[root@server2 ~]# iptables -nL -t nat

[root@server1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0          //添加网关

GATEWAY=172.25.1.2

[root@server1 ~]# systemctl restart network

[root@server2 ~]# route -n
-bash: route: command not found
[root@server2 ~]# yum install -y net-tools                 //下载route 命令所需的工具

[root@server1 ~]# route -n               //查看网关

[root@server1 ~]# ping 172.25.254.3             

//此时虽然是不同网段,但是可以ping通

2、DNAT    

环境:

server1 内网 172.25.1.1/24

server2 路由 172.25.1.2/24   172.25.254.2/24

server3 外网 172.25.254.3/24

 

分别给三个主机写一个http页面,内容为各自的ip,方便判断连接到的是哪个主机

[root@server1 ~]# yum install -y httpd

[root@server1 ~]# systemctl start httpd

[root@server1 ~]# echo 172.25.1.1 > /var/www/html/index.html              //写一个http页面,内容为172.25.1.1

[root@server2 ~]# yum install -y httpd

[root@server2 ~]# systemctl start httpd

[root@server2 ~]# echo 172.25.1.2 > /var/www/html/index.html              //写一个http页面,内容为172.25.1.1

[root@server3 ~]# yum install httpd

[root@server3 ~]# systemctl start httpd

[root@server3 ~]# systemctl status httpd

[root@server3 ~]# echo 172.25.254.3 > /var/www/html/index.html              //写一个http页面,内容为172.25.254.3

给路由主机添加策略:

现在要把外网访问172.25.254.2的所有流量映射到172.25.1.1上

[root@server2 ~]#  iptables -t nat -A PREROUTING -d 172.25.254.2 -j DNAT --to-destination 172.25.1.1      
[root@server2 ~]#  iptables -t nat -A POSTROUTING -d 172.25.1.1 -j SNAT --to 172.25.1.2

[root@server2 ~]# iptables -nL -t nat

[root@server2 ~]# service iptables save                    //保存策略

[root@server2 ~]# cat  /etc/sysconfig/iptables              //可以查看策略保存的内容

此时,外网用curl命令访问路由主机,相当于http访问:

[root@server3 ~]# curl 172.25.254.2

curl命令查看172.25.1.2内容时出现的不是172.25.1.2而是server1的内容,即172.25.1.1的httpd发布内容

也可以通过ssh远程连接:

[root@server3 ~]# ssh root@172.25.254.2

//本应连接到server2,但此时远程连接上的是server1而不是server2,因为目标地址进行了转换,将172.25.254.2转换成了172.25.1.1

 

Simonier
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙--iptables
H_YANG__的博客
07-17 480
iptables
iptables 防火墙进出控制
不爱吃奶昔(zsl0)的博客
05-06 1349
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。
Linux防火墙
weixin_43258559的博客
02-12 2253
四表:主要用filter表和nat表 filter:过滤,防火墙 nat:network address translathion 网络地址转换 mangle:拆解报文,做出修改,封装报文 raw:关闭nat 表上启用的链路追踪机制,决定数据包是否被状态跟踪机制处理 五链:(函数) prerouting :在对数据包作路由选择之前,应用此链中的规则。 input:当接收到防火墙本机地址的数据包(入...............
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1415
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables命令使用详解
weixin_46082443的博客
04-08 1202
iptables命令使用详解 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables 防火墙策略
xixlxl的博客
02-27 3519
##一.iptables iptable是用来设置,维护检查内核的ip包过滤规则的,就是规则设置工具。配置防火墙的主要工作就是添加,修改删除一些规则,规则就是网络管理员预定义的一些条件。 三表五链: filter表:过滤数据包,内核模板,含三个链INPUT,OUTPUT,FORWARD nat表: 非内核模板主要作网络地址转换,含三个链,PREROUTING,POSTROUTIN...
论文研究-构建Linux环境下Iptables防火墙策略 .pdf
08-16
构建Linux环境下Iptables防火墙策略,赵富,,Linux操作系统的Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本�
构建Linux环境下Iptables防火墙策略.pdf
11-04
构建Linux环境下Iptables防火墙策略.pdf
iptables详细命令
06-17
iptables详细命令
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
学习如何使用iptables命令配置防火墙安全策略
qq_45364825的博客
01-06 1761
如何利用iptables配置防火墙安全策略
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables详解
hiolb的博客
06-04 7568
一、iptables介绍 iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。 核心:四表五链 iptables并不是真正意义上的防火墙,可以将它理解为一个客户端工具。 用户通过iptables这个客户端,将用户的安全设定执行到对应的“安全框架”--netfilter中。 netfilter才是正在的防火墙,netfilter位于内核空间。 而iptables是一个命令行工具,位于用户空间,通过这个命令行工具来操作netfilter。 netfilter/iptables组成Linu
iptables防火墙配置
09-29
iptables防火墙的配置方法有两种:命令行和图形化界面。使用iptables命令行进行配置的方法如下: 1. 关闭firewalld防火墙:执行命令`systemctl stop firewalld.service`临时关闭防火墙,执行命令`systemctl disable firewalld.service`永久关闭防火墙。 2. 安装iptables:执行命令`yum -y install iptables iptables-services`安装iptables。 3. 启动iptables:执行命令`systemctl start iptables.service`启动iptables。 接下来可以进行iptables防火墙的配置。具体的配置方法可以根据需求进行设置。以下是一些常见的配置命令: 1. 显示规则的序号:使用命令`iptables -L --line-numbers`可以查看iptables规则的序号。 2. 设置默认策略:使用命令`iptables -P <链名> <控制类型>`可以设置默认策略。例如,执行命令`iptables -P INPUT DROP`设置输入链的默认策略为拒绝,执行命令`iptables -P FORWARD DROP`设置转发链的默认策略为拒绝。 在生产环境中,一般会将网络型防火墙和主机型防火墙的默认规则设置为拒绝,并配置白名单。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值