Linux iptables 防火墙配置

最新推荐文章于 2024-01-29 18:44:03 发布
最新推荐文章于 2024-01-29 18:44:03 发布
阅读量181 收藏 1
点赞数
分类专栏: Linux 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51559599/article/details/133799208
版权

iptables 包过滤和网络地址转换

概述

  • 防火墙就是访问控制技术,由规则和动作组成
  • 工作在网络层

iptables 启停

  • 启停

    systemctl start firewalld.service
systemctl restart firewalld.service
systemctl stop firewalld.service

netfilter

  • netfilter 位于Linux 内核中的包过滤功能体系,称为Linux 防火墙的“内核态”。
  • iptables 位于/sbin/iptables,用来管理防火墙规则的工具,称为Linux 防火墙的“用户态”。
  • 以上两种称呼都可以标识Linux 防火墙,同时可以通过服务名firewalld.service 来管理防火墙。

查看 iptablles 规则

iptables -nvL

数据包五元组

  • 源 ip、目的 ip、源 port、目的 port、协议(tcp、udp、icpm……)

iptables 匹配逻辑

  • 不指定表名时,默认指 filter 表;
  • 不指定链名时,默认值表内所有链;
  • 除非设置链的默认策略,否则必须指定匹配条件;
  • 选项、链名、控制类型(动作)使用大写字母,其余均为小写;
  • 不指定序号的时,默认第一条规则(首链);
  • 从上到下,以此匹配;
  • 如果匹配到了规则,立即执行动作(控制类型),结束匹配;
  • 如果没有匹配到规则,则执行默认动作。

iptables 四表五链

规则表

表的作用就是容纳各种规则链,根据不同的功能,表有如下类别:

规则表名称作用说明
raw流量跟踪确定是否对该数据包进行状态跟踪
mangle流量“整容”为数据包设置标记
nat地址转换修改数据包中的源、目标IP 地址或端口
filter过滤,筛选确定是否放行该数据包

规则链

规则链的作用就是对数据包进行过滤或处理,链中可以容纳各种防护墙规则,根据处理数据包的不同时机,规则链有如下分类:

规则链名称作用说明
INPUT处理入站数据包数据访问本机时候所限制规则的编写位置
PREROUTING在进行路由选择前处理数据包
FORWARD处理转发数据包是否允许数据经过我进行转发
POSTROUTING在进行路由选择后处理数据包
OUTPUT处理出站数据包数据包向外发所写的规则限制(一般不写规则)

image-20231012151844826

匹配流程

规则表之间的顺序:raw-> mangle-> nat-> filter。

规则链之间的顺序。

  • 入站:PREROUTING INPUT
  • 出站:OUTPUT POSTROUTING
  • 转发:PREROUTING FORWARD POSTROUTING

规则链内匹配的顺序:

  • 按顺序依次检查,匹配即停止
  • 若找不到相匹配的规则,则按该链的默认策略处理

匹配流程示意图:

image-20231012213347711

image-20231012211304400

匹配条件

image-20231012212424658

通用匹配

独立使用,可以直接使用,不依赖与其他条件或扩展,包括网络协议、IP 地址、网络接口等条件。

常见通用匹配条件:

匹配条件参数可选参数
协议匹配-p 协议名{all| tcp| udp| icmp}
地址匹配-s 源地址 -d 目的地址全部 ip 0.0.0.0/0
特定 ip 192.168.1.100/32
接口匹配-i 入站网卡 -o 出站网卡

示例:

iptables -I INPUT -p icmp -j DROP
iptables -A FORWARD ! -p icmp -j ACCEPT                 # ! 标识条件取反
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -I INPUT -s 10.20.30.0/24 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP     # eth1 外网接口
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

隐含匹配

要求以特定的协议匹配作为前提,包括端口、TCP 标记、ICMP 类型的条件。

常用隐含匹配条件:

匹配方式选项说明
端口匹配–sport 源端口 --dport 目的端口
TCP 标记类型–tcp-flags 检查范围 被设置的标记
ICMP 类型–icmp-type ICMP 类型{8|0|3}
8 请求
0 回应
3 不可达

显式匹配

要求以“-m 扩展模块” 的形式明确指出类型,包括多端口、MAC 地址、IP 范围、数据包状态等等条件。

常用显式匹配条件:

匹配方式选项说明
多端口匹配-m multiport --sport 源端口列表 -m multiport --dport 目的端口列表
IP 范围匹配-m iprange --src-range IP 范围
MAC 地址匹配-m mac --mac-source MAC 地址
连接状态匹配-m state --state 连接状态

动作(控制类型)

控制类型动作说明
ACCEPT允许通过。
DROP直接丢弃,不给出任何回应。
REJECT拒绝通过,必要时给出提示。
LOG记录日志信息,然后传给下一条规则继续匹配。

基本语法

语法构成

  • 核心思想:

    iptables 操作哪个张表,哪个链,符合什么流量,执行什么动作

    iptables -t 表名 选项 [数字] 链名 [匹配条件] [-j 控制类型]

  • 管理选项

    image-20231012212214352

  • 例 iptables 的 SNAT 转换规则

    iptables -t nat -I POSTROUTING -p all -s 0.0.0.0/0 -o ens32 -j SNAT --to-source 10.4.7.130
	-t	# table
	-I	# Insert
	-P	# protocol
	-s	# source ip
	-o	# output 出接口网卡
	-j	# 控制类型

查看规则列表

iptables -nvL
# 列出所有表和链上的规则

iptables -t filter -nvL
# 列出 filter 表中的规则

iptables -nvL --line-numbers
# 在输出中显示规则的行号,方便查找和管理规则

watch -n1 iptables -t filter -nvL --line-numbers
# 动态监控 filter 表  -n1 表示一秒刷新一次

删除/清空规则

iptables -t filter -D INPUT 1
# 删除第一条规则(新插入的)

iptables -F
# 清空 filter 表中的所有规则

iptables -t nat -F
# 清空 nat 表中的所有规则

iptables -t mangle -F
# 清空 mangle 表中的所有规则

iptables -t raw -F
# 清空 raw 表中的所有规则

导入/还原

  • 导入

    iptables-save > /opt/iprules_all.txt
head /opt/iprules_all.txt

  • 还原(启动后)

    iptables-restore < /opt/iprules_all.txt

添加新规则

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -I INPUT 2 -p icmp -j ACCEPT
iptables -t filter -I INPUT -p icmp -j ACCEPT

练习

禁止 ping 网关

  • 设置防火墙规则前

    连通性测试

    image-20231012171125138

    image-20231012171139642

  • GW 设置规则

    iptables -t filter -I INPUT -p icmp -s 0.0.0.0/0 -j REJECT

    image-20231012171217583

    连通性测试

    image-20231012171242846

    image-20231012171251852

只让 server ping 网关

  • 删除刚刚建立的规则

    iptables -t filter -D INPUT 1

    image-20231012171630066

    image-20231012171612407

  • 建立规则,禁止 server(172.16.1.100) ping 网关

    GW 设置规则

    iptables -t filter -I INPUT -p icmp -s 172.16.1.100/32 -j REJECT

    image-20231012171915423

  • 建立规则后,server 无法 ping 通网关

    image-20231012172005042

    Client 仍可以 ping 通 GW

    image-20231012172452892

开放dns 服务

  • 开启防火墙后,无法使用 DNS 解析功能

    image-20231012173911985

    image-20231012172712517

  • 防火墙新建规则开放 DNS 解析

    iptables -t filter -I INPUT -p udp -s 0.0.0.0/0 --dport 53 -j ACCEPT

    image-20231012173046141

    验证

    image-20231012174833639

    image-20231012173111659

    查看防火墙配置

    iptables -t filter -nvL --line-numbers
防火墙规则备份

  • 导出防火墙规则

    iptables-save > /opt/iprules_all.txt

    image-20231012175214828

重启防火墙

  • 重启

    systemctl restart firewalld.service

    image-20231012175255297

  • 重启后之前的规则失效

    • server ping GW 可以 ping

      image-20231012175404908

    • dns 无法解析

      image-20231012175505198

      image-20231012175514127

防火墙规则导入还原

  • 导入还原规则

    iptables-restore < /opt/iprules_all.txt

    image-20231012175544122

  • 验证

    • server ping GW 无法 ping

      image-20231012175614388

    • dns 可以解析

      image-20231012175643293

      image-20231012175656293

gjl_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深度好文:源 NAT 类型的防火墙
网络技术联盟站
02-18 1799
防火墙和路由器一样,可以部署 NAT 功能来进行地址转换,但相比路由器,防火墙的NAT功能提供了更丰富的选择,让管理员可以更灵活地使用NAT功能。 在本文中,我们将讨论源 NAT 功能中的防火墙防火墙的源NAT可以分为两种:只进行地址转换和同时进行地址和端口转换。仅地址转换模式包括 NAT No-PAT,而地址和端口转换模式包括 NAPT、Smart NAT、Easy IP 和三重 NAT。 NAT No-PAT NAT No-PAT 只执行简单的源地址转换。 管理员在配置NAT No-PAT时,需要指
防火墙规则学习
ZHANG:X
06-08 117
新建永久规则,开放8080端口(TCP协议),任何ip都可以访问。新建永久规则,开放192.168.1.0/24整个源IP段的访问。另附其他centos7 firewalld防火墙操作与说明。新建永久规则,开放192.168.1.1单个源IP的访问。#允许指定IP段访问本机8080-8090端口。新建永久规则,批量开放一段端口(TCP协议)#允许指定IP访问本机8080端口。#禁止指定IP访问本机8080端口。#永久生效,没有此参数重启后失效。
五元组防火墙
系统运维
09-17 2333
目前大多数防火墙还是传统的基于五元组防火墙,我觉得这太差劲了,我认为只有第七层防火墙才是真正的防火墙五元组不能标示一个应用,正如tcp的80端口并不总是代表http一样,想要标示一个应用,你必须去分析第七层的协议头,而不是联合第三层,第四层的协议头,毕竟我们需要匹配一个第七层的应用,那就要需要第七层的协议头!然而第七层解析的问题何在?我觉得这有两方面,第一方面是谁提供了匹配的内容,也就是协议头...
H3C 防火墙策略
耕耘
10-08 1372
H3C 防火墙策略,包括安全策略和域间策略以及配置步骤介绍。
网络安全(2)
最新发布
jiaoqingdong的博客
01-29 1943
接口对-·“透明网线”--可以将两个接口绑定成为接口对,如果流量从一个接口进入,则。--其实一个接口也可以做接口对,从该。防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登。NAT类型--五元组NAT--针对源IP,目标P,源端口,目标端口,协议这五个参数识别出。安全策略--1,访问控制(允许和拒绝)2,内容检测--如果允许通过,则可以进行内容检测。
linux iptables防火墙配置
03-15
### Linux iptables防火墙配置详解 #### 一、iptablesLinux防火墙的演进 Linux系统自诞生以来,其防火墙功能经历了多个阶段的发展。在2.0版内核时代,包过滤机制由`ipfw`承担,配套的管理工具为`ipfwadm`;到了...
Linux Ubuntu系统iptables防火墙配置
11-11
配置iptables防火墙的主要目的是保护服务器安全,防止未经授权的访问和恶意攻击,以及避免不必要的服务暴露,提高系统的稳定性和安全性。通过制定精确的规则,可以阻止非法探测,确保只有指定的主机能够访问特定的...
Linux iptables防火墙实用模板
06-22
Linux iptables防火墙实用模板
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
iptables防火墙配置
04-02
Linux防火墙配置
02-防火墙介绍
qianlai22的博客
03-04 5231
过滤防火墙过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议) 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5346
iptables功能及配置
iptables 详解
热门推荐
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
Iptables
bjgaocp的博客
03-21 7857
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
iptables详解
wdt3385的专栏
12-25 4881
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
浅谈iptbles及TCP三次握手4次挥手详解
果果的博客
08-05 331
若要实现跨平台搭建文件系统 在类unix中实现将linux中的文件映射为window中的文件 Samba是由墨尔本大学的一名研究生来实现的,它使用了三台主机开发了samba samba实现了Netbios和smb协议,需要两个进程来实现 netbios:nmbd smb:smbd winbindd(一般不启动) 开发端口:137 138 139 445 AD(LDAP):Active Direc...
centos配置iptbles 8080端口允许远程访问
dream_follower的博客
10-24 562
今天配置centos的时候,发现安装了tomcat服务器以后,无法远程访问8080端口,这里记录一下解决办法。 第一种方法是关闭防火墙,即输入: service iptables stop 这样一来确实能访问了,但是有一个问题就是不安全, 还有一种方法是添加端口,输入: iptables -A INPUT -p tcp --dport 8080 -j ACCEPT 但是这个好像并没有用,而...
linux iptables 命令简介
whatday的专栏
01-02 2177
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
Linux iptables防火墙配置详解与应用
本资源是一份关于Linux系统中的iptables防火墙配置的PPT,它深入讲解了iptablesLinux安全策略中的重要角色。iptablesLinux内核提供的netfilter框架下的一个组件,其设计目的是为系统提供灵活且高效的网络过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gjl_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值