iptables 防火墙

1、iptables简介
Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好
Iptables是linux2.4及2.6内核中继承的服务,其功能与安全性比其老一辈ipfwadm,ipchains强大的多(长江后浪推前浪),Iptables主要工作早OSI七层的二、三、四层,如果重新编译内核Iptables也可以支持7层控制(squid代理+iptables)

iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter
netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。
iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。

2、iptables使用场景
(1)    生产中看情况,只有内网IP一般关闭防火墙,当服务器上有外网IP的 时候才打开防火墙。
a.    linux场景能够被外网访问到的服务器尽量开外网防火墙。
b.    后台数据库服务器、存储服务器等有出网访问需求也可以不开。
(2)    大并发(10000-15000)的情况,不能开iptables,影响性能,硬件防火墙。

3、基于安全基本优化:
1)    尽可能不给服务器配置外网IP可以通过代理转发或者通过防火墙映射。
2)    并发不是特别大情况再外网IP的环境,要开启iptables防火墙。

4、iptables工作流程
(1)防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
(2)如果匹配上了规则即明确标明是组织还是通过,此时数据包就不在向下匹配新规则了。
(3)如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。
(4)防火墙的默认规则是对应链的所有的规则执行完才会执行(最后执行的规则)

5、管理控制选项

# -A 在指定链的末尾添加(append)一条新的规则 
# -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除 
# -I 在指定链中插入(insert)一条新的规则,默认在第一行添加 
# -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换 
# -L 列出(list)指定链中所有的规则进行查看 
# -E 重命名用户定义的链,不改变链本身 
# -F 清空(flush) 
# -N 新建(new-chain)一条用户自己定义的规则链 
# -X 删除指定表中用户自定义的规则链(delete-chain) 
# -P 设置指定链的默认策略(policy) 
# -Z 将所有表的所有链的字节和数据包计数器清零 
# -n 使用数字形式(numeric)显示输出结果 
# -v 查看规则表详细信息(verbose)的信息 
# -V 查看版本(version) 
# -h 获取帮助(help)

6、表名

# raw   :高级功能,如:网址过滤。
# mangle:数据包修改(QOS),用于实现服务质量。
# net   :地址转换,用于网关路由器。
# filter:包过滤,用于防火墙规则。

7、规则链名

# INPUT链     :处理输入数据包
# OUTPUT链    :处理输出数据包
# PORWARD链   :处理转发数据包
# PREROUTING链:用于目标地址转换(DNAT)
# POSTOUTING链:用于源地址转换(SNAT)
# FOEROURING链:转发数据包时应用此规则链中的策略

8、动作

# ACCEPT    :接收数据包
# DROP      :丢弃数据包
# REDIRECT  :重定向、映射、透明代理(拒绝数据包通过,必要时会给数据发送端一个响应的信息。)
# SNAT      :源地址转换。
# DNAT      :目标地址转换。
# MASQUERADE:IP伪装(NAT),用于ADSL
# LOG       :日志记录(在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则)

9、命令选项使用语法

# iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。

10、命令示例

# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT  #允许本地回环接口(即运行本机访问本机)
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
# iptables -A OUTPUT -j ACCEPT                     #允许所有本机向外的访问
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允许访问22端口
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允许访问80端口
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允许ftp服务的21端口
# iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允许FTP服务的20端口
# iptables -A INPUT -j reject                      #禁止其他未允许的规则访问
# iptables -A FORWARD -j REJECT                    #禁止其他未允许的规则访问
# iptables -A INPUT -p tcp -j  ACCEPT              #在末尾追加一条新的规则
# iptables -I INPUT 3 -p tcp  -j  ACCEPT           #插入一条规则到第三行

11、查看规则

# iptables -nL

12、删除规则

列出规则行号
# iptables -nL  --line-numbers
根据行号删除对应规则
# iptables -D INPUT 1  #删除INPUT链第一条规则(根据行号自行修改)

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值