linux iptables防火墙最详细讲解

最新推荐文章于 2023-08-28 18:43:17 发布
最新推荐文章于 2023-08-28 18:43:17 发布
阅读量280 收藏 1
点赞数
文章标签: linux 系统安全 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46407419/article/details/124855349
版权

架构图

防火墙

1. 什么是防火墙:
	防止其他用户恶意访问
	
2. 防火墙种类
	硬件防火墙 :F5
	软件防火墙 :iptables  firewalld
	安全组

iptables

用户 ---> 调用iptables ---> ip_tables内核模式 --->  Netfilter(系统安全构架) --->  过滤请求

什么是包过滤防火墙

什么是包:
	在数据传输过程,并不是一次性传输完成的,而是将数据分成若干个数据包,一点一点的传输。
	
什么是包过滤防火墙:
	过滤数据包的防火墙

包过滤防火墙如何实现

通过系统安全框架,过滤数据包。

iptables四表五链

四表五链

1、那四个表,有哪些作用
    具备某种功能的集合叫做表。

    filter:  负责做过滤功能呢	:    	INPUT、OUTPUT、FORWARD
    nat:	 网络地址转换	      		PREROUTING、INPUT、OUTPUT、POSTROUTING
    mangle:	 负责修改数据包内容	      PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
    raw:	 负责数据包跟踪              	PREROUTING、OUTPUT

2、那五条链,运行在那些地方

    PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

    1) PREROUTING: 主机外报文进入位置,允许的表mangle, nat(目标地址转换,把本机地址转换为真正的目标机地址,通常指响应报文)
    
    2) INPUT:报文进入本机用户空间位置,允许的表filter, mangle
    
    3) OUTPUT:报文从本机用户空间出去的位置,允许filter, mangle, nat
    
    4) FOWARD:报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去,允许filter, mangle
    
    5) POSTROUTING:报文经过路由被转发出去,允许mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址)

    流入本机:PREROUTING  -->  INPUT  --> PROCESS(进程)
    经过本机:PREROUTING  --> FORWARD --> POSTROUTING
    从本机流出:PROCESS(进程) -->  OUTPUT --> POSTROUTING

iptables流程图

流入本机:A ---> PREROUTING ---> INPUT ---> B
流出本机:OUTPUT ---> POSTROUTING ---> B
流过本机:A ---> OUTPUT ---> POSTROUTING ---> PREROUTING ---> FORWARD ---> POSTROUTING ---> C ---> PORTOUTING ---> INPUT --->B

只要流出就要经过OUPUT
只要流入就要经过INPUT
POSTROUTING : 判断目标ip地址
PREROUTING : 判断是否是本机的IP地址
FORWARD   :  中转站 PREROUTING 判断不是本机的ip地址就抛给中转战
当一个数据包进入网卡时,它首先进入 PREROUTING 链,内核根据数据包目的 IP 判断是否需要转送出去。
如果数据包就是进入本机的,它就会沿着图向下移动,到达 INPUT 链。数据包到了 INPUT 链后,任何进程都会收到它。
本机上运行的程序可以发送数据包,这些数据包会经过 OUTPUT 链,然后到达POSTROUTING 链输出。
如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD 链,然后到达 POSTROUTING 链输出。

分解图

iptables的使用

准备工作:

1、安装 iptables
		[root@m01 ~]# yum install iptables*
		
2、启动 iptables
		[root@m01 ~]# systemctl start iptables
		
3、关闭firewalld
		[root@m01 ~]# systemctl disable --now firewalld
		
4、查看状态
	systemctl status iptables
使用格式:iptables -t 表名 选项 链名 条件 动作

-t 				: 指定操作的表
-L				: 列出当前的规则(--list)
-v				: 显示数据包和数据包大小
-n				: 不反解地址
-A				: 追加一条规则到链中(--append)
-I				: 插入一条规则,插入到顶部(--insert)
-F				:清空(--flush)
-Z				:清空计数器(包数量。包大小)(--zero)
-D 				:删除链中的规则(--delete)
-R				:修改(--replace)
-S				:列出所有的规则(--list-rules)
-N				:创建一个自定义链(--new-chain)
-X				:删除一个自定义链(--delete-chain)
-P				:指定链的默认策略(--policy)

iptables动作

ACCEPT		:将数据包放行,进行完毕此处理动作后,将不再比对其他规则,直接跳往下一个规则链
REJECT		:阻拦该数据包,并传送数据包通知对方
DROP		:丢弃包不予处理,进行完此处理动作后,将不再比对其他规则,直接终端过滤程序
DEDIRECT	:将包重新导向到另一个端口,进行完此处理动作后,将会继续比对其他规则

iptables -s与-d参数

-s : 源地址 : 发送请求的地址
-d :目标地址  : 访问的地址

iptables端口

什么是端口:
	可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的端口,不可见。例如计算机中的80端口、21端口、23端口等。物理端口又称为接口,是可见端口,计算机背板的RJ45网口,交换机路由器集线器等RJ45端口。电话使用RJ11插口也属于物理端口的范畴。
	
--sport :源端口  :发送请求的端口
 
--dport :目标端口 : 访问的端口

-i 、-o、-m、-j动作

-i  : 进来的网卡
-o  : 出去的网卡
-m  : 指定模块
-j  : 转发动作
-p  : 指定协议

应用案例:

### 如果断开xshell可以使用虚拟机去取消所有的命令 因xshell也是需要基于网络的

案例一: 只允许22端口可以访问,其他端口全部无法访问

[root@root ~]# iptables -t filter -A INPUT -p TCP --dport 22 -j ACCEPT
解析:-t 指定操作的表:filter,  -A INPUT 追加一条规则到链INPUT中, -p TCP :指定TCP协议 --dport 22 :目标端口22, -j ACCEPT :转发ACCEPT动作

[root@root ~]# iptables -t filter -A INPUT -p TCP -j DROP
解析: -j DROP 中断所有过滤程序。
案例二: 只允许22,80,443 端口访问,其他端口无法访问

[root@root ~]# iptables -t filter -A INPUT -p TCP --dport 22 -j ACCEPT
[root@root ~]# iptables -t filter -A INPUT -p TCP --dport 80 -j ACCEPT
[root@root ~]# iptables -t filter -A INPUT -p TCP --dport 443 -j ACCEPT
[root@root ~]# iptables -t filter -A INPUT -p TCP -j DROP

#  分布执行允许访问的端口。
案例三: 只允许22,80,443 端口可以访问,其他端口全部无法访问,但是本机可以访问百度。

iptables -t filter -I INPUT -p TCP -o eth1 -j ACCEPT
案例四: 要求使用192.168.15.81 能够通过22端口连接,但是其他不行。

[root@root ~]# iptables -t filter -A INPUT -p TCP -d 192.168.15.81 --dport 22 -j ACCEPT

[root@root ~]# iptables -t filter -A INPUT -p TCP -j ACCEPT

解析 : -d :指定目标地址  (说明只能访问 192.168.15.81 访问不到别的)
案例五: 只允许192.168.15.71能够通过22端口连接,其他的不行。

iptables -t filter -A INPUT -p  TCP -s 192.168.15.71  -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

解析: -s 指定源地址  -d 指定目标地址。 其他的禁止 -j DROP
案例六: 要求192.168.15.71对外部不可见

iptables -t filter -A INPUT -p TCP -d 192.168.15.71 -j DROP

解析: -d 指定目标地址 -j DROP 禁止。
案例七: 要求使用eth0网卡的所有请求全部拒绝

iptables -t filter -A INPUT -p TCP -i eth0 -j DROP
案例八: 使用要求访问服务器的8080端口转发至80端口

iptables -t nat -A PREROUTING -p TCP --dport 8080 -j REDIRECT --to-port 80

解析:	  端口转换:使用nat表 :网络地址转换. 
		使用 PREROUTING 链 。 
		REDIRECT : 将包导向另外一个端口。
		--to-port : (参数) 导向另外一个端口

# 知识储备: iptables -L -v -n 默认的表是filter表  
		 iptables -L -v -n -t nat (此时可以指定查看nat表)
案例九: 要求只允许windows通过ssh连接192.168.15.81,其他拒绝
iptables -t filter -I INPUT -p TCP -s 192.168.15.1 -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 22 -j DROP

解析:进入windows cmd 执行ipconfig查看windowsip 。以windows作为源地址。

iptables模块

multiport模块

模块: 拓展iptables的功能

-m 指定模块

1、连续匹配多个端口(multiport)

	--dports :指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)
案例:要求将22,80,443,以及3000-5000之间所有的端口向外暴露,其他端口拒绝

iptables -t filter -A INPUT -p TCP -m multiport --dports 20,80,443,3000:5000 -j ACCEPT

iptables -t filter -A INPUT -p TCP -j DROP

iprange模块

2、指定一段连续的ip地址范围(iprange)

	--src-range from[-to] : 源地址范围
	--dst-range from[-to] : 目标地址范围
案例:要求192.168.15.1 - 192.168.15.10 之间所有的ip能够连接到192.168.15.81,其他拒绝
192.168.15.100

iptables -t filter -A INPUT -p TCP -m iprange --src-range 192.168.15.1-192.168.15.10  -d 192.168.15.81 -j ACCEPT

iptables it filter -A INPUT -p TCP -j DROP

string模块

3、匹配指定字符串(string)
	--string pattern     # 指定要匹配的字符串
	--algo {bm|kmp}      # 匹配的查询算法
案例:要求访问的数据包中包含HelloWorld的数据不允许通过

	iptables -t filter -A INPUT -p TCP -m string --string "HelloWorld" --algo kmp -j DROP

time模块

4、根据时间段匹配报文(time)  
	--timestart hh:mm[:ss]  # 开始时间  小时:分钟:秒
	--timestop hh:mm[:ss]   # 结束时间  小时:分钟:秒
	--monthdays day[,day...]  # 指定一个月的某一天
	--weekdays day[,day...]  # 指定周 还是 周天

这里使用的UTC时间 上海时间为东八区 所以要-8
案例:要求每天的12点到13点之间,不允许访问

iptables -t filter -A INPUT -p TCP -m time --timestart 4:00 --timestop 5:00 -j DROP

icmp模块

5、icmp : 禁ping,默认本机无法ping别人、别人无ping自己
	--icmp-type {type[/code]|typename}
		echo-request (8) 请求
		echo-reply   (0) 回应
案例:要求别人不能ping本机,但是本机可以ping别人
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type "echo-request" -j DROP

connlimit模块

6、限制链接数,并发链接数(connlimit)
	--connlimmit-upto n   # 如果现有连续数小于或等于  n 则匹配
	--connlimit-above n   # 如果现有连接数大于n 则匹配
案例: 要求主机连接最多有两个

iptables -t filter -A INPUT -p TCP --dport 22 -m connlimit --connlimit-above 2 -j DROP

limit模块

7、针对 报文速率 进行限制。秒、分钟、小时、天。
	--limit rate[/second|/minute|/hour|/day]  # 报文数量
	--limit-burst number # 报文数量(默认:5)
案例:要求限制速率在500k/s左右 (500k/s 相当于333个数据包)
iptables -t filter -A INPUT -p TCP -m limit 333/s -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP
Jackson 伯恩云
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux iptables防火墙详解防止DDOS
06-21
Linux iptables防火墙详解防止DDOS
IPTABLES 构建 Linux 防火墙
weixin_34168700的博客
03-28 94
作/译者:叶金荣(Email: ),来源:http://imysql.cn,转载请注明作/译者和出处,并且不能用于商业用途,违者必究。 近日着手Linux服务器的安全事宜,大致做了以下工作,列出来备案:1. 修改 ssh 端口,没想到之前大量的ssh尝试登录次数少多了,基本上等于02. 分析 /var/log/secure 日志,找出那些尝试登录次数较多的IP地址,加入到防火墙中去下面是一个简单...
Linux防火墙详解
路人甲的博客
09-20 3942
一、防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙。 redhat 6 使用的是iptables redhat 7 使用的是firewalld iptables服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理 firewalld服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理 iptables和firewalld都是Linux配置内核防火墙的工具 二、iptables iptables 是一款基于命令行的防火墙策略管理工
RHCE——十、防火墙iptables、firewalld
钟言的博客
08-28 2802
本篇为学习RHCE的第十部分:防火墙iptables以及firewalld,详细内容包含了:一、什么是防火墙 1、分类 2、Netfilter(数据包过滤 2.1 定义 2.2 Netfilter分析内容 3、防火墙无法完成的任务4、iptables 与 firewalld 区别二、iptables 1、iptables执行原则 1.1 原则 1.2 防火墙规则 2、规则链 2.1 概念2.2 分析 2.3 规则链分类 2.4 规则链之间的匹配顺序 2.5 iptables 流量处理动作 3、ipta等等
Linux网络防火墙详解
a20089117的博客
09-20 268
一、防火墙基本知识 二、firewall防火墙 # 安装firewalld [root@localhost ~]# apt-get install firewalld [root@localhost ~]# yum install firewalld # 查看firewalld服务状态 [root@localhost ~]# systemctl status firewa...
linux iptables 防火墙快速入门教程
12-28
该演示ppt详细讲解了如何正确配置linuxiptables防火墙及附有一有实例讲解.让初学者更易掌握iptables的应用.
linux 防火墙讲解
08-04
对于linux防火墙有了具体的描述,让人轻松学习linuxiptables
Linux防火墙.pdf
01-20
书中全面阐述了iptables防火墙,并详细讨论了如何应用psad、 fwsnort、fwknop 3个开源软件最大限度地发挥iptables检测和防御攻击的效力。大量真实例子以及源代码更有助于读者理解安全防御的原理、技术和实际操作。 ...
Linux防火墙技术
03-01
主要讲解linux防火墙技术,iptables的使用,专用网络入侵检测,神纵防御等
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables和内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
28.linux防火墙详解
weixin_43812198的博客
07-16 365
1.由于防火墙需要识别报文的源地址、端口目标地址和端口,这本就是内核管理的,所以防火墙也是内核级别的 2.工具: 用户空间:iptables 编写规则的工具能调用 内核空间:netfilter 3.iptables: 包过滤型的防火墙 Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件; 主机防火墙 网络防火墙 软件防火墙(软件逻辑) 硬件防火墙(硬件和软件逻辑) 4.四代防
linux防火墙
qq_59161414的博客
08-22 308
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障
基于IptablesLinux防火墙
MAY的博客
05-10 1456
防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
Linux-iptables构建网络防火墙
weixin_42478365的博客
11-20 1046
1.理解iptables表和链 如图:netfilter钩子与iptables表和链的处理顺序 五个表 filter 主要用于过滤包,是系统预设的表,该表内建3个链: INPUT,OUTPUT,FORWARD。INPUT链作用于进入本机的包,OUTPUT链作用于本机送出去的包,FORWARD链作用于那些跟本机无关的包。 nat表 主要用于网络地址转换,它也有三个链。 PREROUTING链的作用是在包刚刚到达防火墙时改变它的目的地址(如果需要的话),OUTPUT链的作用是改变本地产生的包的目的地址,PO
Iptables】11 Iptables网络防火墙
TDXYBS的博客
09-05 413
11 Iptables网络防火墙 之前我们了解到iptables主要是作为主机防火墙,维护主机的安全,如果想让iptables作为网络防火墙呢?想让iptables服务于防火墙背后的局域网呢? 我们知道,网络防火墙往往是处于网络的入口或者边缘,那么,如果想使用iptables充当网络防火墙iptables的主机就必须处于网络的入口处,即和外网连通的主机,示意图如下 上图中,直接与Intern...
linux防火墙限制ip端口访问,防火墙限制IP地址段访问 iptables
weixin_34377697的博客
04-30 881
vi /etc/sysconfig/iptables# Generated by iptables-save v1.4.21 on Thu Nov 23 10:16:42 2017*filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [65:6796]:syn-flood - [0:0]-A INPUT -i lo -j ACCEP...
网络安全】linux安全之iptables防火墙技术
没枕头我咋睡觉
04-17 727
一、iptables防火墙工作原理 规则表: 具有某一类相似用途的防火墙规则 规则表是规则链的集合 默认的4个规则表 raw表:确定是否对该数据包进行状态跟踪(用的不多) mangle表:为数据包设置标记(用的不多) nat表:......
iptables基础(一)
weixin_33946020的博客
04-05 357
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables命令
爱兰河少
05-29 1611
iptables -t raw -I PREROUTING -s ip/16 -p tcp --dport 端口 -j ACCEPT。iptables -t raw -I PREROUTING -s ip -p tcp --dport 端口 -j ACCEPT。iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口。iptables -t raw -I PREROUTING -p tcp --dport 端口 -j DROP。
linux iptables防火墙
最新发布
09-13
Linuxiptables防火墙是一种基于内核的防火墙工具,可以用于配置和管理网络流量的过滤规则。在CentOS 7上,默认使用的是firewalld防火墙,但可以通过关闭firewalld并安装iptables来启用iptables防火墙。 要关闭...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值