iptables

最新推荐文章于 2023-06-26 15:01:52 发布
最新推荐文章于 2023-06-26 15:01:52 发布
阅读量3.7k 收藏
点赞数
分类专栏: Linux iptables 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wos1002/article/details/56483350
版权

IPTABLES

netfilter 功能

  • 防火:包过滤

    input forward output

  • NAT network addiress translation

  • mangle 拆解报文 做出修改 而后重新封装

  • raw 关闭nat表上启用的连接追踪机制

iptables

  • prerouting : raw mangle nat

  • input: mangle filter

  • forward filter mangle

  • output raw mangle nat filter

  • postrouting mangle nat

    允许用户自定义规则链 他们需要手动关联到指定的钩子

    优先级 raw-mangle-nat-filter

    一个功能 一个表 称为table

iptables规则组成

  • 匹配条件

    ​ 网络层首部:SourceIP ,DestionIP

    ​ 传输层首部 SourceIP DestionIP

  • 跳转目标 target

                      内建的处理机制: accept drop  reject snat dnat masquerane mark log...

                    用户自定义链:

  • 添加要考虑的因素

    • 实现的功能 用于判定将规则添加到哪个表
    • 报文的流向和流经位置 用于判断将规则添加到那个链
    • 报文的流向 判断规则中的源和目标
    • 匹配条件 用于编写正确的匹配规则
      1. 同类规则 匹配范围小放前面
      2. 专用某种不同规则 匹配到的可能性较多的放前面;同类别的可以用自定义链存放
      3. 通用的规则放到前面

netfilter 位于内核中TCP/IP中协议报文处理框架

iptables生成规则,可保存于文件中

​ CentOS 5/6

iptables -t filter -F
service iptalbes save

CentOS 7 firewalld.firewall-cmd firewall-config

systemctl disable firewalld.service #在7上可以关掉这个firewall功能

iptables命令

  • 链管理

    -N ,–new-chain chain 新建一个自定义链

    -X,–delete-chain 删除用户自定义的引用计数为0的链

    -F ,–flush [chain] 清空指定规则链 没有指定则全部清除

    -E ,–rename-chain old-chain new-chain 重命名链

    -Z ,–zero 置零计数器

    packets 被本规则所匹配到的所有报文个数

    bytes 本本规则上匹配到的所有报文大小之和

    -P ,–policy chain target 修改默认策略

  • 规则管理

    -A ,–append chain rule-specification 追加新规则到指定链的尾部

    -I,–insert chain rule-specification 插入新规则到指定链的位置

    -R ,–replace chain rule-specification 替换指定规则为新规则

    -D,–delete chain rule-specification 更加规则本身删除规则

    -D,–delete rulenum 根据规则编号删除规则

  • 规则显示

    -L,–list [chain] 列出规则

    ​ -v ,–verbose 详细 -vv

    ​ -n,–numeric 数字显示主机和端口号 不会反解

    ​ -x,–exact 显示计数器的精确值

    ​ –line-numbers 列出规则时,显示链上的相应编号

    -S,–list-rules 显示指定链的所有规则

rule-specification=[matches…][target]

qpm -ql iptables 其中看到 大写的扩展so模块就是 target 小写就是matches模块

matches :匹配条件

target :跳转目标

匹配条件

  • 通用匹配(parameters)

    [!] -s, –source address[/mask][,…] 检查此报文的源ip地址

    是否符合此处指定范围

    [!] -d, –destination address[/mask][,…] 检查此报文的目标ip地址

    是否符合此处指定范围

    [!] -p, –protocol protocol 匹配报文中的协议 比如tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh或者使用关键字all

  • m,–match match 调用指定的扩展匹配模块来扩展匹配条件检查机制

    扩展匹配条件

    ​ 显示扩展:必须用-m指明扩展模块

    ​ 隐藏扩展:使用-p选项指明了特定的协议时候,无须-m指出扩展 模块

隐式扩展

  • -p tcp:可使用tcp扩展模块块的专用选项

    [!] –source-port,–sport port[:port]匹配报文源端口,可以给出多个端口,但是只能是连续的端口

    [!] –destination-port,–dport port[:port]匹配报文目标端口,可以给出多个端口,但是只能是连续的端口

    [!] –tcp-flags mask comp匹配报文中的tcp协议的标志位,flags are: SYN ACK FIN RST URG PSH ALL NONE

    ​ mask :要检查的flags list ,以逗号分隔

    ​ comp:在mask给定的诸多flags中,其值必须为1的flags列表,余下的必须为0

    ​ 比如:–tcp-flags SYN,ACK,FIN,RST SYN

    [!] –syn 和–tcp-flags SYN,ACK,FIN,RST SYN 等同

  • -p udp 使用udp协议扩展模块

    [!] –source-port,–sport port[:port]

    [!] –destination-port,–dport port[:port]

  • -p icmp [!] –icmp-type {type[/code]|typename}

    0/0 echo reply

    8/0 echo request

显示扩展:必须使用-m选项来调用扩展模块

  • multiport 以离散或者连续的方式多端口匹配条件 最多15个

    [!] –source-ports,–sports port[,port|,port:port]…

    [!] –destination-ports,–dports port[,port|,port:port]…

  • iprange 以连续地址块的方式来指明多ip地址匹配条件

    [!] –src-range from[-to]

    [!] –dst-range from[-to]

  • time 匹配时间

    –timestart hh:mm[:ss]

    –timestop hh:mm[:ss]

    [!] –monthdays day[,day…]

    [!] –weekdays day[,day…]

    –kerneltz 使用内核的时区 系统默认是utc时间

  • string

    –algo {bm|kmp}

    –from offset

    –to offset

    [!] –string pattern

    [!] –hex-string pattern

  • connlimit 

    Allows you to restrict the number of parallel connections to a server per client  IP  address

    –connlimit-upto n

    –connlimit-above n

  • limit

    This module matches at a limited rate using a token bucket filter

    –limit rate[/second|/minute|/hour|/day]

    –limit rate[/second|/minute|/hour|/day]

  • state

    The  "state"  extension  is a subset of the "conntrack" module

    [!] –state state (INVALID, ESTABLISHED, NEW,RELATED or UNTRACKED)

    NEW :新建立的请求

    ESTABLISHED:已经建立的请求

    RELATED :相关联的连接,当前连接是新请求,但是附属与某个已存在的连接

    UNTRACKED :未追踪的 或者在raw中不追踪的

    INVALID:无法识别的连接

    contrack 能追踪到的最大连接数定义在/proc/sys/net/nf_conntrack_max

    能追踪到的连接 /proc/net/nf_conntrack

  • [!] -i, –in-interface name 限定报文流入的接口流入(only for packets entering the INPUT, FORWARD and PREROUTING chains)

  • [!] -o, –out-interface name 限定报文流入的接口流出(for packets entering the FORWARD, OUTPUT and POSTROUTING chains)

  • 跳转目标target

    -j targetname [per-target-options]

    ACCEPT 接受

    DROP 丢弃

    REJECT 拒绝

state扩展

内核模块装载

modprobe conntrack
modprobe nf_conntrack_ipv4
#nf_conntrack_ftp需要手动装载

开放某个端口

iptables -I OUTPUT -s 172.16.0.6 -m state --state ESTABLISHED -j ACCEPT

处理动作

-j targetname[per-target-options]

保存和载入规则

保存

凤朝飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPTABLES
weixin_42171644的博客
01-26 3094
IPTABLES题目IspSrvRouterSrv 题目 服务器 IspSrv 工作任务 IPTABLES 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全的前提下,最小限度放行流量通信; 放行 ICMP 流量。 服务器 RouterSrv 上的工作任务 IPTABLES 添加必要的网络地址转换规则,使内部客户端能够访问外部网络; 添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务; 修改 INPUT 和 FORWARD 链默
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables防火墙
识途老码
09-03 2188
iptables防火墙防火墙优先级防火墙的几种策略ACCEPTREJECTDROPLOGiptanbles的表和链显示当前已有的所有防火墙策略清空现有的所有策略配置防火墙的默认策略设置默认拒绝策略,添加允许策略1设置默认拒绝策略2添加允许策略设置默认允许策略,添加拒绝策略1设置默认允许策略2添加拒绝策略保存防火墙策略--配置完必须执行!!! 防火墙优先级 iptables优先级最高,是内核级别的 firewalld 防火墙策略次之 tcpd服务器配置文件优先级最低 防火墙的几种策略 ACCEPT 放行
iptables详解
最新发布
魏志标的博客
06-26 6735
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
iptables 讲解
凤凰涅槃而生
05-22 4037
在 Linux 网络领域,iptables 是一个强大的工具,用于管理和控制网络流量。它充当防火墙,使系统管理员能够根据定义的规则过滤和操作数据包。本文旨在全面介绍 iptables 及其在 Linux 环境中的使用iptables 是一个用于配置 Linux 内核中 IPv4 数据包过滤器和网络地址转换 (NAT) 的工具。它允许系统管理员根据特定的规则集控制进出系统的网络流量。iptables 提供了一种灵活而强大的方式来保护网络安全、实现网络地址转换、限制流量等。
Iptables
bjgaocp的博客
03-21 7845
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
iptables配置文件
08-21 9669
直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态 还要使用 se
Iptables 基本设置指南
leechm的博客
08-16 3372
目录 Basic Commands 基本命令 Allowing Established Sessions 允许已建立的连接接收数据 Allowing Incoming Traffic on Specific Ports 开放指定的端口 Blocking Traffic 阻断通信 Editing iptables 编辑iptables Logging 记录 Saving iptables 保存设置 Configuration on startup 开机自动加载配置 Tips 技巧 Basi
iptables匹配功能length
redwingz的博客
03-26 4614
用于匹配报文特定长度,或者范围,这里的报文长度指的是4层数据的长度,如TCP/UDP/ICMP等。以下仅允许数据包小于100字节的ping请求数据进入。 # iptables -I INPUT -p icmp --icmp-type 8 -m length --length 100: -j DROP # # iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
IPTABLES简介
06-25
iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率。
keepalived
凤朝飞
02-22 7470
keepalivedkeepalived Keepalived的介绍 Keepalived配置 全局配置 VRRPD配置 LVS配置 real_server中的健康检查 Keepalived配置示例 brain split脑裂 vrrp协议 keepalived双主模型 keepalived的实现是依据vrrp协议,Keepalived的介绍 LVS的缺点 1. Director的单点。只有一台Di
nginx配置详解
凤朝飞
03-02 6207
nginx配置详解nginx配置详解 nginx介绍 nginx特性 nginx安装 配置文件配置 主配置文件结构 main配置段常见的配置指令 正常 运行必备的配置 user pid include load_module 性能优化相关的配置 worker_processes worker_cpu_affinity worker_priority worker_rlimit_nofile 调试定位
openssl2
凤朝飞
02-22 4507
openssl/ssl/加密/opensslssl加密 ssl会话三部 客户端向服务器端索要并验证证书 第一阶段clienthello 第三阶段 第四阶段 openssl 对称加密 enc命令 生成用户密码 生成随机数 公钥加密 生成密钥 Linux系统上的随机数生成器 CA openssl命令 构建私有CA 要用到证书进行安全通信的服务器需要向CA请求签署证书 ssl会话三部 客户端向服务器端索要
linux的五种IO模型
凤朝飞
12-22 4093
linux的五种IO模型linux的五种IO模型 现在Linux有5种IO模型 举例:网络中socket的一个read()是个一个IO操作命令,具体流程如下 应用程序调用read命令,通知内核读取数据 内核创建文件描述符 内核从物理层收到读指令,从网络中获取数据包 数据包传到TCP/IP层,解析数据包的头 内核将数据包缓存在文件描述符的读缓存区 这里的读缓存区是在内核中 当文件描述符读缓存区数据字节
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值