linux中的iptables命令

一、安全技术和防火墙

安全技术

入侵检测系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，

主要以提供报警和事后监督为主，提供有针对性的指导措施和安全决策依据,类似于监控系统, 一般采用旁路部署（默默的看着你）方式。

入侵防御系统（Intrusion Prevention System）：以透明模式工作，

分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断， 在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式。（必经之路）

防火墙（ FireWall ）：隔离功能，工作在网络或主机边缘，

对进出网络或主机的数据包基于一定的规则检查， 并在匹配某规则时由规则定义的行为进行处理的一组功能的组件， 基本上的实现都是默认情况下关闭所有的通过型访问， 只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。

按保护范围划分：

主机防火墙：服务范围为当前一台主机 网络防火墙：服务范围为防火墙一侧的局域网

按实现方式划分:

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现， 如：华为，山石hillstone,天融信， 启明星辰，绿盟，深信服, PaloAlto , fortinet, Cisco, Checkpoint， NetScreen(Juniper2004年40亿美元收购)等 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件，Windows防火墙

按网络协议划分：

网络层防火墙：OSI模型下四层，又称为包过滤防火墙 应用层防火墙/代理服务器：proxy 代理网关，OSI模型七层

包过滤防火墙

网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址， 目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过

优点：对用户来说透明，处理速度快且易于维护 缺点：无法检查应用层数据，如病毒等

应用层防火墙

应用层防火墙/代理服务型防火墙，也称为代理服务器（Proxy Server) 将所有跨越防火墙的网络通信链路分为两段 内外网用户的访问都是通过代理服务器上的“链接”来

实现优点：在应用层对数据进行检查，比较安全 缺点：增加防火墙的负载 提示：现实生产环境中所使用的防火墙一般都是二者结合体，即先检查网络数据，通过之后再送到应用层去检查

Linux 防火墙的基本认识：Netfilter

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中 Netfilter是Linux 2.4.x之后新一代的Linux防火墙机制，是linux内核的一个子系统。 Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。 Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等操作。 Netfilter官网文档：https://netfilter.org/documentation/ [root@localhost boot]# grep -m 10 NETFILTER /boot/config-3.10.0-693.el7.x86_64 CONFIG_NETFILTER=y #CONFIG_NETFILTER_DEBUG is not set CONFIG_NETFILTER_ADVANCED=y CONFIG_BRIDGE_NETFILTER=m CONFIG_NETFILTER_NETLINK=m CONFIG_NETFILTER_NETLINK_ACCT=m CONFIG_NETFILTER_NETLINK_QUEUE=m CONFIG_NETFILTER_NETLINK_LOG=m CONFIG_NETFILTER_NETLINK_QUEUE_CT=y CONFIG_NETFILTER_SYNPROXY=m

防水墙

广泛意义上的防水墙：防水墙（Waterwall），与防火墙相对，是一种防止内部信息泄漏的安全产品。 网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。 防水墙针对这四种泄密途径，在事前、事中、事后进行全面防护。 其与防病毒产品、外部安全产品一起构成完整的网络安全体系。 (华为的ensp就是类似与防水墙，不透明的工作，你干什么都会记录，但是你自己不知道！)

传输层 端口 防火墙 网络层 ip 路由器 三层 数据链路层 mac 交换机

iptables概念图

数据包匹配流程示意图

二、iptables命令的格式和相关的选项

格式：

iptables -t 表名 管理选项 链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是filter表

不加链名，就是指所有链名，不推荐如此操作

管理选项：

-A：在指定链的末尾追加一条

-I（i）：在指定链中插入一条新的规则，根据编号来进行插入，不指定序号，直接插入当前链中的第一条（不推荐）

-P：指定默认策略。

-D：删除规则

-R：修改、替换规则（不推荐）

-L：查看

-v（小写）：显示详细信息

-n：所有字段以数字形式显示

-F：清空链当中的所有规则（慎用）

-X：清空自定义链的规则

匹配条件：

-p（小写）：指定匹配数据包的协议类型

-s：指定匹配数据包的源IP地址

-d：指定匹配数据包的目的ip地址

-i：指定数据包进入本机的网络接口

-o：指定数据包离开本机的网络接口

--sport：指定源端口

--dport：指定目的端口

控制类型：

ACCEPT：允许数据包通过

DROP：直接丢弃数据包，不给任何回应信息。

REJECT：拒绝数据包通过，会给一个响应信息。

SNAT：修改数据包的源地址

DNAT：修改数据包的目的地址

规则内的匹配顺序：

自上而下按顺序依次进行检查，找到相匹配的规则立刻停止，如果在链中找不到规则，则会按照该链的默认策略处理

1.如果策略已经保存过，卸载配置文件中的，保存，导入到iptables，重启服务即可

2.机房调整

这四个iptables规则选项都是用于匹配网络数据包的源和目的地址（IP地址或MAC地址），并在符合规则时执行特定的操作。

具体来说，-m iprange --src-range和-m iprange --dst-range选项可用于限制数据包的源和目的IP地址范围。例如，可以使用这些选项来允许来自特定子网的流量，或阻止来自某些IP地址的攻击流量。

另外，-m mac --mac-source和-m mac --mac-destination选项可用于限制数据包的源和目的MAC地址。例如，可以使用这些选项来限制来自特定设备的访问，或允许特定设备的访问。

需要注意的是，使用MAC地址进行过滤可能不太安全，因为MAC地址可以被伪造。因此，最好结合IP地址等其他信息一起使用，以提高安全性。

了解即可。

-m iprange --src-range 源ip范围

-m iprange --dst-range 目的ip范围

-m mac --mac-source mac地址

-m mac --mac-destination mac地址

备份iptables设置

格式：iptables-save >/指定的文件 [root@localhost ~]# iptables-save >/opt/iptables.bak

一键导入，设置为当前防火墙设置 [root@localhost ~]#iptables-restore </opt/iptables.bak

修改iptables的默认设置 iptables的默认配置文件存在于 cat /etc/sysconfig/iptables

直接把配置导入配置文件：cat /opt/iptables.bak >/etc/sysconfig/iptables #立即生效了，实验环境下，了解就可以了。不要尝试

[root@localhost opt]# systemctl restart iptables #重启之后生效的就是配置文件中的内容，操作需谨慎， 注意拍快照，方便还原

关键性知识点总结：

第一： 工作原理：四表五链

表里面有链，链里面有规则

row--mangle---------nat----------filter

INPUT

OUTPUT

PREROUTING

POSTROUTING

FORWARD

匹配规则：从上到下按照顺序依次检查，找到匹配的规则立刻停止匹配，找不到匹配规则，会按照链的默认规则进行执行。

如果不指定表名：默认就是filter

iptables -t filter -A

末尾添加

iptables -t filter -i

指定编号追加

-D删除

-s源IP地址

-d目的ip地址

-p指定协议

--sport 源端口

-dport 目的端口

-j 控制类型

ACCEPT

REJECT 会先消息

DROP 直接丢弃，没有任何消息

SNAT 源地址转换

DNAT 目的地址转换

导入iptables文件之前，源文件一定要备份！