防火墙及防火墙规则

最新推荐文章于 2024-04-18 23:08:00 发布
最新推荐文章于 2024-04-18 23:08:00 发布
阅读量623 收藏
点赞数
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56422027/article/details/117803971
版权

四表五链

四表

  • 规则表
    表的作用:容纳各种规则链
    表的划分依据:防火墙规则的作用相似
  • 默认包括四个规则表
    raw表:确定是否对该数据包进行状态跟踪
    mangle表:为数据包设置标记
    nat表:修改数据包中的源、目标IP地址或端口
    filter表:确定是否放行该数据包(过滤)

五链

  • 规则链
    规则的作用:对数据包进行过滤或处理
    链的作用:容纳各种防火墙规则
    链的分类依据:处理数据包的不同时机
  • 默认包括5种规则链
    INPUT :处理入站数据包
    OUTPUT :处理出战数据包
    FORWARD :处理转发数据包
    POSTROUTING链:在进行路由选择后处理数据包
    PREROUTING链:在进行路由选择前处理数据包

数据包控制的匹配流程

包过滤防火墙

以下两种称呼都可以表示Linux防火墙

  • netfilter
    位于Linux内核中的包过滤功能体系
    称为Linux防火墙的“内核态”
  • iptables
    位于/sbin/iptables,用来管理防火墙规则的工具
    称为Linux防火墙的“用户态”

包过滤的工作层次

  • 主要是网络层,针对IP数据包
  • 体现正在对包内的IP地址、端口等信息的处理上

数据包过滤的匹配流程

  • 规则表之间的顺序
    raw>mangle>nat>filter
  • 规则链之间的顺序
    入站:PREROUTING>INPUT
    出站:OUTPUT>POSTROUTING
    转发:PREROUTING>FORWARD>POSTROUTING
  • 规则链内的匹配顺序
    按顺序一次检查,匹配即停止(LOG策略例外)
    若找不到相匹配的规则,则按该链的默认策略处理

iptables

安装

[root@localhost ~]# systemctl stop firewalld.service    #关闭防火墙
[root@localhost ~]# systemctl disable firewalld.service     #关闭开机自启
[root@localhost ~]# yum -y install iptables iptables-services   #安装iptables
[root@localhost ~]# systemctl start iptables.service   #开启服务
[root@localhost ~]# systemctl enable iptables.service     #开机自启

基本语法

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
  • 数据包的常见控制类型
    ACCEPT:允许通过
    DROP:直接丢弃,不给出任何回应
    REJECT:拒绝通过,必要时会给出提示
    LOG:记录日志信息,然后传给下一跳规则继续匹配

常用选项

-A在指定链末尾追加一条
-I在指定链中插入一条新的,未指定序号默认作为第一条
-P指定默认规则
-D删除
-R修改、替换某一条规则
-L查看
-n所有字段以数字形式显示
-V查看时显示更详细信息
-F 清除链中所有规则
-X清空自定义链的规则,不影响其他链
-Z清空链的计数器
-S查看链的所有规则或者某个链的规则/某个具体规则后面跟编号

[root@localhost ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         


[root@localhost ~]# iptables -t filter -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT              #允许所有人来ping
-A INPUT -i lo -j ACCEPT                  
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited


[root@localhost ~]# iptables -vnL          #更详细显示全部内容
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  489 29888 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   14  1822 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 322 packets, 31972 bytes)
 pkts bytes target     prot opt in     out     source               destination       

[root@localhost ~]# iptables -t filter -F        #清空所有内容
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 15 packets, 988 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 10 packets, 848 bytes)
 pkts bytes target     prot opt in     out     source               destination         


[root@localhost ~]# iptables -t filter -X   #清空自定义内容

[root@localhost ~]# iptables -Z
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -X


[root@localhost ~]# iptables -t filter -AINPUT -j REJECT
[root@localhost ~]# iptables -t filter -AINPUT -j ACCEPT

[root@localhost ~]# iptables -P INPUT DROP       #默认规则拒绝
[root@localhost ~]# iptables -P INPUT ACCEPT

[root@localhost ~]# iptables -R INPUT 1 -j DROP     #修改链

[root@localhost ~]# iptables -A INPUT ! -p icmp -j DROP
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP      !icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination   

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -s 192.168.245.211 -j DROP
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   12   758 DROP      !icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       tcp  --  *      *       192.168.245.211      0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination      

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.245.211 -j DROP
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 4 packets, 344 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       192.168.245.211      0.0.0.0/0            icmptype 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination   

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 80,20,23 -s 192.168.245.211 -j DROP         #端口
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.245.211      0.0.0.0/0            multiport dports 80,20,23

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination  

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 20:80 -s 192.168.245.211 -j DROP                       #多端口
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.245.211      0.0.0.0/0            multiport dports 80,20,23
    0     0 DROP       tcp  --  *      *       192.168.245.211      0.0.0.0/0            multiport dports 20:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
_Pikachu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables防火墙
ynyysn的博客
02-17 2010
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
25个常用的防火墙规则
热门推荐
Beckham的博客
06-01 1万+
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类] 参数 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 ...
【Linux】—管理、设置防火墙规则(firewalld详解)
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-18 6634
【Linux】—管理、设置防火墙规则(firewalld详解)
防火墙规则
givenchy_yzl的博客
05-31 6115
firewalld防火墙 一、防火墙安全概述 在CentOS7系统中集成了多款防火墙管理工具,**默认启用的是firewalld(动态防火墙管理器)**防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables规则比较麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习F
iptables:超详细Iptables防火墙基础规则(四个规则表,5个种规则链)与编写Iptables防火墙规则
著名艺术家
08-05 1万+
Iptables防火墙基础规则与编写Iptables防火墙规则Linux包过滤防火墙概述■iptables的表、链结构■默认包括5种规则链■规则表的作用■默认包括4个规则表■表链的结构示意图数据包过滤的匹配流程■规则表之间的顺序■规则链之间的顺序■规则链内的匹配顺序iptables安装iptables的基本语法■注意事项■数据包常见控制类iptables的管理选项■添加新的规则■查看规则列表;■删除、清空规则■设置默认策略■常用管理选项汇总规则的匹配条件■通用匹配■隐含匹配■显式匹配■常见的通用匹配条件
火墙(一)【netfilter】
LAINCLAK的博客
08-19 360
netfilter/iptables 系统是如何工作的?netfilter/iptables IP 信息包过滤系统是一种功能强大的工具, 可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中, 而这些表集成在 Linux 内核中。 在信息包过滤表中,规则被分组放在我们所谓的 链(chain)中。我马上会详细讨论这些规则以及如何建立这
Linux 防火墙防火墙规则
LKmnbZ's Blog
01-21 2733
防火墙的分类 包过滤防火墙 工作在OSI参考模的网络层 它根据数据包头源地址、目的地址、端口号和协议类 等标志确定是否允许数据包通过 代理防火墙 主要工作在OSI的应用层 代理服务在确认客户端连接请求有效后接管代理 代为向服 务器发出连接请求 代理防火墙可以允许或拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、 记录和报告功能 代理服务器通常有高速缓存功能 代...
防火墙防火墙实现技术
m0_73108974的博客
08-10 4060
防火墙位于可信和不可信网络之间,通过设置一系列安全规则对两个网络之间的通信数据包进行访问控制,检测网络交换的信息,防止对重要信息资源的非法存取和访问,以达到保护内部可信网络的目的。防火墙一般部署在网络边界,以对可信的内部网络和不可信的internet外网进行过滤和阻断。防火墙简单的可以用路由器、交换机实现,复杂的就要用一台计算机,甚至一组计算机实现。...
C# 设置防火墙的创建规则
01-19
 下面以创建出站规则为例,编写一条出站规则,规避除允许规则以外的通过防火墙。创建规则时,会使用到接口INetFwRule,其有关介绍参照MSDN文档。  创建规则的方法: /// /// 为WindowsDefender防火墙添加一条...
iptables防火墙规则配置
07-23
iptables防火墙规则配置
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
文件夹防火墙规则.exe
08-25
大家都有遇到需要将一个软件所在的整个文件夹都禁止联网的情况,如果通过Win自动的防火墙,那得一条一条把所有Exe添加一遍,有了这个小工具可以一次性把整个文件夹添加进去 ,超级方便。
[计算机网络]十二、(网络层)防火墙以及设置防火墙的相关命令-1
m0_48638643的博客
04-08 3613
1、防火墙(firewall) 只是充当保安的工作,并不能够杀死病毒 主要的功能:保护安全,隔离防火墙认为有危害的数据 1.1、攻击类 ddos攻击(Distributed Denial of Serivice,分布式拒绝服务攻击):人为攻击,一般指分布式拒绝服务攻击。这个攻击很难防,因为有很多IP地址进行攻击,很难找到它的所有IP地址。 CC(Challenge Collapsar):攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装 dos攻击(Denial of Servi
iptables防火墙理论清晰解释(四表、五链、流程图文并茂)学习不能忘!!!
weixin_47151643的博客
08-01 2439
文章目录前言一:iptables包过滤的概述1.1:netfilter1.2:iptanbles1.3:包过滤的工作层次二:iptables的四表、五链结构2.1:规则链2.2:具体的五链2.21:INPUT:处理入站数据包【入站就会读的链 进防火墙】2.22:OUTPUT:处理出站数据包【出站处理】2.23:PORWARD链:处理转发数据包2.24:POSTROUTING链:在进行路由选择后处理数据包2.25:PREROUTING链:在进行路由选择前处理数据包2.3:规则表2.4:默认包括的4个规则..
访问控制表(ACL)
weixin_55609824的博客
03-19 905
访问控制表(ACL)概述ACL两种作用ACL 工作原理ACL种类ACL(访问控制列表)的应用原则应用规则ACL(华为命令)基本ACL配置高级ACL配置 概述 ACL: access list访问控制列表 ACL两种作用 用来对数据包做访问控制(丢弃或者放行)结合其他协议 用来匹配范围 ACL 工作原理 当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。 ACL种类 基本acl(2000-2999) : 只能匹配源ip地址。 高级acl(3000-3999)
网络安全学习--包过滤规则P174-P175
m0_51943976的博客
06-30 1729
包过滤规则包过滤防火墙实验需要用到的虚拟机 包过滤防火墙 iptables 工具 具有四个功能(表) raw mangle 这两个表实现数据流量的跟踪与整 nat --网络地址转换 filter --过滤 实验 需要用到的虚拟机 一台xp,两台linux ...
TCP/IP安全 之 ACL访问控制列表
qianfeng_dashuju的博客
09-17 948
一、ACL概述 1.1 Access Control List (访问控制列表) 重要级别:高! 1.2 ACL的作用 ACL是一种包过滤技术! 1.3 ACL应用场景 路由器上、防火墙上 路由器上就叫ACL! 防火墙上一般称为策略!策略就是升级版的ACL,策略可以基于IP、端口、协议、应用层数据进行各种过滤 二、ACL怎么过滤? ACL是基于数据包中的IP地址、端口号来对数据包进行过滤! 三、ACL的分类 3.1 标准ACL 标准---Standard 表号:1-99
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5272
iptables功能及配置
centos 防火墙规则
07-27
CentOS 使用的防火墙工具是 firewalld。您可以使用以下命令来管理防火墙规则: 1. 启动防火墙: ``` sudo systemctl start firewalld ``` 2. 停止防火墙: ``` sudo systemctl stop firewalld ``` 3. 重启防火墙: ``` sudo systemctl restart firewalld ``` 4. 查看防火墙状态: ``` sudo systemctl status firewalld ``` 5. 永久禁用防火墙: ``` sudo systemctl disable firewalld ``` 6. 永久启用防火墙: ``` sudo systemctl enable firewalld ``` 7. 添加允许的端口: ``` sudo firewall-cmd --zone=public --add-port=端口号/tcp --permanent ``` 8. 移除已添加的端口: ``` sudo firewall-cmd --zone=public --remove-port=端口号/tcp --permanent ``` 9. 重新加载防火墙配置: ``` sudo firewall-cmd --reload ``` 请注意,上述命令中的 "端口号" 应替换为您要允许或移除的具体端口号。防火墙规则的更多详细设置可以参考 firewalld 的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值