Linux防火墙(Iptables)

最新推荐文章于 2022-12-05 17:45:46 发布
最新推荐文章于 2022-12-05 17:45:46 发布
阅读量180 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43407305/article/details/85162493
版权

Iptables

在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。
在这里插入图片描述

策略与规则链

四表五链概念
filter表——过滤数据包
Nat表——用于网络地址转换(IP、端口)
Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表——决定数据包是否被状态跟踪机制处理
INPUT链——进来的数据包应用此规则链中的策略
OUTPUT链——外出的数据包应用此规则链中的策略
FORWARD链——转发数据包时应用此规则链中的策略
PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
在这里插入图片描述

基本命令参数

iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。总结归纳了常用的iptables命令参数。再次强调,我们无需死记硬背这些参数,只需借助下面的实验来理解掌握即可。

                                     iptables中常用的参数以及作用
参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d匹配目标地址
-i 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议,如TCP、UDP、ICMP
–dport num匹配目标端口号
–sport num匹配来源端口号

1.为了试验iptables防火墙,我们先把本机的firewalld防火墙冻结并且关闭
在这里插入图片描述
2.下载iptables防火墙服务
在这里插入图片描述
3.启动iptables防火墙服务,并开机自启
在这里插入图片描述
4.在iptables命令后添加-L参数查看已有的防火墙规则链
-n :数字输出,ip地址和端口会以数字的形式打印,默认情况下,程序显示主机名,网络名或者服务(可用的)
-L 列出指定链中的所有规则
在这里插入图片描述
5.查看iptables服务nat表中防火墙规则链
在这里插入图片描述
6.查看iptables服务mangle表中防火墙规则链
在这里插入图片描述
7.在iptables命令后添加-F参数清空已有的防火墙规则链:
在这里插入图片描述
但是当重新启动iptables服务时,会恢复默认值,清空的数据会回来
在这里插入图片描述
如果在重启服务之前把规则保存server iptables save ,重启之后不会,恢复原来的默认值
在这里插入图片描述
8.添加自定义链名,以及链名的改名,删除
-N 添加链名
在这里插入图片描述
-E改名
在这里插入图片描述
-X删除
在这里插入图片描述
9.表中的规则连遵循由上到下优先原则,如添加两个矛盾规则
将INPUT规则链设置为拒绝172.25.254.4的主机访问本机的22端口
将INPUT规则链设置为允许172.25.254.4的主机访问本机的22端口
-t 指定表名
-A 指定链名
-s指定源地址(主机名,网络名,ip)
-p规则或待检查包的协议,如此处指定协议tcp
–dport 端口号(如22,80)
-j目标跳转 (指定规则目标)指定规则处理数据包
在这里插入图片描述
在这里插入图片描述
由优先原则可知,执行INPUT第一条规则,所以当4号主机通过22端口访问时被拒绝
在这里插入图片描述
10.删除filter表中INPUT规则链中的第一条规则
-D 删除
-INPUT 1 :INPUT规则链中的第一条规则在这里插入图片描述
11.我们知道规则链中是遵循上下优先原则,但是如果先添加一个原则放在第一位呢,
-I :根据给出的规则序号向所选链中插入一条或者多条规则。如果序号为1,规则会插入链头部。(当然不是指定序号的插入)
在这里插入图片描述
12.设置filter表中INPUT链的默认规则,当数据包没有被规则列表中的任何规则匹配到时,默认此规则
在这里插入图片描述
13.两种指定用户允许某服务的方法
#将INPUT规则链设置为只允许指定网段(172.25.254.4)的主机访问本机的22端口,拒绝来自其他所有主机的流量
第一种
先添加规则INPUT链中的所有服务都拒绝
再添加规则允许4号主机访问22端口并放在第一位
在这里插入图片描述
在这里插入图片描述
第二种
除了4号主机访问本机的22端口允许,其他主机访问任何服务都拒绝
!除了
在这里插入图片描述
用4号主机访问22,允许
在这里插入图片描述
其他主机访问被拒绝
在这里插入图片描述
下面两个实验,
server主机IP为1.1.1.200 网关为1.1.1.100
服务器做路由作用 IP1=172.25.254.100 IP2=1.1.1.100
4号主机IP为172.25.254.4
14.端口转发(目的地地址转换;DNAT)
-iens3 指定数据包从ens3网卡进
-j 指定数据包的动作
–to-dest 执行DNAT动作后数据包到达的目的地址
在这里插入图片描述
用4号主机ssh本机时会自动转到1.1.1.200主机上
在这里插入图片描述
15.地址伪装(源地址转换;SNTA)
先清空nat表中的规则
-o ens3 从ens3网卡出
–to-source 执行SNTA动作后数据包的源地
在这里插入图片描述
当用server主机访问4号主机时,4号主机显示是172.25.254.100在访问它
在这里插入图片描述
在这里插入图片描述

运维求知者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络地址转换的两种模式:SNAT和DNAT,网络通信的核心
网络技术联盟站
11-15 2192
SNAT和DNAT是网络地址转换(NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNAT和DNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNAT和DNAT作为网络安全策略的一部分,与其他安全措施(如防火墙和入侵检测系统)一起使用。
Linux 防火墙 iptables filter和nat.pdf
最新发布
08-14
Linux 防火墙 iptables 中 filter(包过滤防火墙)和 nat(路由转换)详解_linux中filter和nat.pdf
DNAT目标地址转换基本概念以及应用
江晓龙的博客
07-11 3003
所谓的DNAT目标地址转换指的是修改请求包中的目标地址,很多情况下只有一个公网地址,但是内网服务器有几百台,想要通过一个公网地址访问到内网的所有服务器,就需要用到DNAT目标地址转换的功能了,接收到用户发送的数据包后,修改数据包中的目标地址,根据来源转发到具体的某台内网服务器中,如下图所示。 DNAT地址转换的应用场景:无论使用哪种类型的地址转换,防火墙主机一定要开始IP转换的功能。 2.通过DNAT目标地址转换实现IP地址/端口映射 案例描述:防火墙规则如下。...
linux防火墙参数,Linux防火墙iptables参数
weixin_42501785的博客
05-12 355
iptables命令参数1、清理参数[root@localhost~]# /etc/init.d/iptables start启动iptables[root@localhost~]# /etc/init.d/iptables status查看iptables状态[root@localhost~]# iptables -V查看版本信息[root@localhost~]# iptables -h查看帮...
DNAT转换与tcpdump抓包
qq_62462797的博客
09-16 985
DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问拓展:客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器。
iptables 防火墙中的SNAT和DNAT
WuDan_1112的博客
05-11 1592
前言 通过上一章的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。 一、SNAT策略 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT原理 源地址转换(Source Network Address Translation),根据指
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
Linux防火墙iptables
08-23
一个详尽的linux防火墙学习资料,其中详细介绍了iptables的配置使用方法
linux防火墙iptables用denyhosts防止黑客入侵.zip
01-07
linux iptables用denyhosts防止黑客入侵.zip
防火墙之SNAT和DNAT
FYR1018的博客
05-10 1711
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
基于iptablesLinux防火墙
12-21
基于iptablesLinux防火墙的实验报告
iptables防火墙(二)-SNAT和DNAT原理与应用
Another_Feng的博客
03-19 882
@TOC SNAT原理与应用: SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理 修改数据包的源地址。 SNAT转换 SNAT转换前提条件: 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开: vim /etc
DNAT(目的地址转换)-IP映射和端口映射
weixin_43965383的博客
12-05 4126
防火墙NAT策略之目的地址转换
linux防火墙常用控制协议,Linux防火墙iptables的基础
weixin_32289847的博客
05-12 670
一.网络访问控制1.Linux一般都是作为服务器系统使用,对外提供一些基于网络的服务2.通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能3.常见的访问控制包括:哪些IP可以访问服务器、可以使用哪些协议、哪些接口、是否需要对数据包进行修改等等。4.如服务器可能受到来自某IP的攻击,这时就需要禁止所有来自该IP的访问。5.Linux内核集成了网络访问控制功能,通过netfilter模块实现...
linux防火墙
微生活Pro
08-06 6330
摘要 本章将分别使用iptables、firewall-cmd、firewall-config和TCP Wrappers等防火墙策略配置服务来完成数十个根据真实工作需求而设计的防火墙策略配置实验。 防火墙种类 内外网形式的防火墙,在外网和企业内网之间架设一台服务器或者路由器,配好过滤策略用来作为公司的防火墙。工作流程如图: 本地主机形式的防火墙:在本主机前面没有任何服务器对流量...
linux防火墙iptables
hanjinming110的博客
04-19 2614
防火墙的作用: linux防火墙主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者为网络层防火墙linux防火墙分为两种,分别为netfiter和iptables,这两种都被称为防火墙,但是又有一些区别, 具体的区别在于: 1、netfilter:称为内核空间,是linux内核中实现包过滤的防火墙的内部结构,属于“内核态,又称为内核空间”防火墙功能体系。 2、iptables:管理防火墙的命令程序,它位于/sbin/iptables目录下,属于“用户态”,
NAT转换技术(SNAT、MASQUERADE、DNAT策略)及代理服务(squid服务)
浅浅的博客
04-05 3366
NAT地址转换技术 一、NAT网络拓扑图 二、实验环境 本次实验均是在 RHEL6.5 虚拟机上进行的。 WEB-内网(Client)IP地址:192.168.10.150 (VMnet1) 网关 eth1的IP地址:192.168.10.1(VMnet1) et...
Linux iptables防火墙实验
qq_45070118的博客
06-17 8470
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
iptables防火墙使用的策略
weixin_55609813的博客
05-26 347
iptables防火墙的两种策略SNTA策略SNAT概述开启路由转发功能,但未设置地址转换开启路由转发功能,并设置SNAT地址转换SNAT应用 SNTA策略 SNAT概述 因为当前ipv4协议支持的可以IP地址资源已严重不足,企业以不足以支持太多的公网IP的费用, 这时我们就可以使用通过SNTA策略,解决局域网共享上网的问题。 而使用SNAT是会出现两种情况 开启路由转发功能,但未设置地址转换 这时数据包经过网关转发后其源地址没有进行改变,对方主机接受到该数据包时,不能够进行正确的返回,进而导致访问的失败
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值