iptables

最新推荐文章于 2023-08-14 11:11:45 发布
最新推荐文章于 2023-08-14 11:11:45 发布
阅读量5.6k 收藏 13
点赞数 2
分类专栏: 运维基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzt888_/article/details/80686948
版权
系统环境 RHEL 7

systemctl stop firewalld # 关闭防火墙
systemctl start iptables.service # 打开iptables
systemctl enable iptables.service # 开机自启iptables

1.四表五链

四表

  • filter:过滤,防火墙,访问本机数据
  • nat :network address translation 网络地址转换,从本机经过的数据
  • mangle:拆解报文,作出修改,封装报文
  • raw: 关闭nat表上启用的链接追踪机制

五链

  • PREROUTING 数据包进入路由之前
  • INPUT 目的地址为本机
  • FORWARD 实现转发
  • OUTPUT 原地址为本机,向外发送,不经过网卡
  • POSTROUTING 发送到网卡之前,源地址转换,在路由之后
2.iptables的使用详解
  • 链管理:

-F : 清空规则链
-N : 创建新的自定义规则链
-X : drop 删除用户自定义的规则链
-P : Policy 为指定链设置默认策略;
-E : 重命令自定义链
  • 规则管理:

-A:将新规则添加到指定的链上
-I:将新规则插入到指定的位置
-D:删除链上的指定规则
-R:替代指定链上的规则
  • 基本匹配

-s 源地址IP 
-d 目的地址IP 
-p 协议{tcp|udp|icmp} 
-i 数据报文的流入接口 
-o 数据报文的流出接口 
-j 目标动作或跳转
  • 目标:

TARGET:jump至指定的TARGET 
ACCEPT:接受 
DROP  :丢弃 
REJECT:拒绝访问 
RETURN:返回调用链
  • 具体实现

iptables -A INPUT -s 192.168.0.4 -p tcp --dport 23 -j REJECT   # 访问拒绝,有提示
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 23 -j DROP      # 访问拒绝,无任何提示,直接被丢弃
iptables -F              # 刷新策略
iptables -t nat -F PREROUTING
iptables -I INPUT 2 -p tcp --dport 23 -j DROP      # 插入到第二条策略
iptables -E allowed disallowed                     # 修改规则链名称
iptables -D INPUT 3                                # 删除filter表中的第三条规则
iptables -D INPUT -s 192.168.0.1 -j DROP           # 按内容删除
iptables -R INPUT 3 -j ACCEPT                      # 将原来编号为3的规则内容替换为ACCEPT
iptables -P INPUT DROP                             # 设置filter表INPUT链的默认规则 ,当数据包没
                                                     有被规则列表里的任何规则匹配到时,按此默认
                                                     规则处理
iptables -t nat -F              # 清空nat策略, -F 仅仅是清空链中规则,并不影响 -P 设置的默认规则
iptables -t nat -nL             # 查看nat策略
iptables -t nat -L PREROUTING   # 查看nat表PREROUTING链的规则
iptables -N redhat              # 添加自定义链名
iptables -X redhat              # 删除自定义链
iptables -A INPUT -s !192.168.0.4 -p tcp --dport 23 -j REJECT  # 只有192.168.0.4不可以连接
         	-D redhat 1                     # 删除自定义链下的策略
            -i eth0                         # 匹配从网络接口 eth0 进来
         	-o eth0                         # 匹配从网络接口 eth0 出去
         	-s 192.168.0.1                  # 匹配来自 192.168.0.1 的数据包
            -s 192.168.1.0/24               # 匹配来自 192.168.1.0/24 网络的数据包
            -d 202.106.0.20                 # 匹配去往 202.106.0.20 的数据包
         	-d 202.106.0.0/16               # 匹配去往 202.106.0.0/16 网络的数据包
         	-d www.abc.com                  # 匹配去往域名 www.abc.com

  • iptables -t filter -nL # 查看filter表,与iptables -nL看到的效果相同
    这里写图片描述

  • iptables -t nat -nL # 查看nat表
    这里写图片描述

  • iptables -t mangle -nL # 查看mangle表,五条链的信息都可以看到
    这里写图片描述

  • iptables -F # 刷新,清掉策略

  • service iptables save # 保存更改到/etc/sysconfig/iptables
    这里写图片描述

  • iptables -A INPUT -s 172.25.254.78 -p tcp --dport 80 -j ACCEPT # 设置只允许172.25.254.78这台主机连接,但是还是不能访问,因为默认只读第一条正确的策略,以提高读取速度;
    其余的策略根本就不会读,所以还不能访问
    这里写图片描述

  • iptables -D INPUT 2 # 删除第二条策略
    这里写图片描述

  • iptables -R INPUT 1 -s 172.25.254.78 -p tcp --dport 80 -j ACCEPT #修改第一条策略使得172.25.254.78这台主机可以访问
    这里写图片描述

  • iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT # 指定在INPUT的第二行添加策略,使得所有主机都可连接此服务端
    这里写图片描述

  • iptables -N westos #添加westos
    这里写图片描述

  • iptables -E westos WESTOS # 重命名
    这里写图片描述

  • iptables -X WESTOS # 删除
    这里写图片描述

  • iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT # -m state表示数据包的连接状态,NEW表示与任何连接无关

  • iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

  • iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

  • iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

  • iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT

  • iptables -A INPUT -m state --state NEW -p -i lo -j ACCEPT

  • iptables -nL
    这里写图片描述

  • service iptables save

  • cat /etc/sysconfig/iptales
    这里写图片描述

3.应用iptables控制服务
  • systemctl start httpd
  • iptables -P INPUT DROP # 设置为丢弃状态,默认为接受,可以进行访问
    这里写图片描述
测试:
  • 修改之前:
    这里写图片描述
  • 修改之后:
    这里写图片描述
    注: iptables -P #其后只能加ACCEPT或DROP,P表示规则,p表示协议

iptables -A INPUT -p tcp --dport 80 -j REJECT #将80端口设置为拒绝状态
这里写图片描述

因为拒绝,所以访问不到

如果有多条策略,但只读第一条正确的,其余的就不会读,以下操作解决这个问题

iptables -D INPUT 1   # 删除原来所有的策略,有几行就依次删除
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    # 依次添加策略
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 3260 -j ACCEPT 
iptables -A INPUT -p tcp --dport 443 -j ACCEPT 
iptables -A INPUT -i lo -j  ACCEPT     # 允许回环接口
iptables -nL       # 查看策略
iptables -F        # 刷新策略
ipables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   # 设置使连接过的和正在使用的不读取,那么在后边新写入的策略就会被读取,以此类推,新写入的策略总能被读取到

这里写图片描述

4.iptable命令实现端口伪装,在nat表中实现

在服务端(双网卡)

  • iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.238 #所有从eth1出去的数据包地址都伪装成172.25.0.238输出,SNAT就是改变转发数据包的源地址
  • iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-dest 172.25.254.238 #22端口是以172.25.254.238输入,DNAT就是改变转发数据包的目的地址
  • iptables -t nat -nL

在客户端测试:

  • ping 172.25.0.238 #可以ping通,就代表成功(内网访问外网)
    这里写图片描述

  • 连接服务端,连接成功查看eth0,看到172.25.254.238,就代表成功(外网访问内网)
    这里写图片描述

小熙同学-
关注
专栏目录
shell编程之iptables
m0_48580960的博客
06-20 409
Linux包过滤防火墙概述 netfilter 1、位于Linux内核中的包过滤功能体系 2、称为Linux防火墙的“内核态” iptables 1、位于/sbin/iptables,用来管理防火墙规则的工具 2、称为Linux防火墙的“用户态” netfilter工作在底层,iptables工作在表层的工具实则还是调控的netfilter。 包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 1、规则表 表的作用:容纳各种规则链 表的划
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables 运行逻辑及-I -A 参数解析
weixin_34037515的博客
12-21 1214
  刚开始接触Iptables 就对-I  和 -A 参数很疑惑,-I 插入一条或多条规则 ,-A 是追加一条或多条规则。 都是加一条规则,究竟这两个有什么不同呢? 实验: 拿了两台机器,一台发PING包,一台被PING。 两台机器使用 iptables -nvL INPUT 查看,iptables 是空的 然后在被PING的机器加入 iptables -A INPUT -p icmp...
iptables 的mangle表
奔跑的路
04-18 3万+
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。  内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cerne
Linux 防火墙iptables 学习笔记(三)iptables命令详解和举例
yuanlanjun
07-09 359
iptables-F iptables-X iptables-F -t mangle iptables-t mangle -X iptables-F -t nat iptables-t nat -X 首先,把三个表清空,把自建的规则清空。 iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD ACCEPT 设定IN...
iptables深入解析-mangle篇
weixin_34107739的博客
08-08 2293
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
iptables-restore命令 还原iptables表的配置
01-20
iptables-restore命令用来还原iptables-save命令所备份的iptables配置。 语法格式:iptables-restore [参数] 常用参数: -c 指定在还原iptables表时候,还原当前的数据包计数器和字节计数器的值 -t 指定要还原...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
Iptable应用解析(Mangle)
10-10
Iptables_应用解析II---NATMangle
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables学习笔记
最新发布
爱折腾的技术人
08-14 866
iptables由上而下,由Tables,Chains,Rules组成。
iptables mangle表研究(未完)
weixin_34184561的博客
02-25 142
mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。关于mangle模块,内核里主要有三个功能模块: ...
iptables 插入规则-I和追加规则-A。
zhaodayeyeye的博客
11-19 2万+
研究了大半天的iptables 开放端口 (改了22端口)ssh一直连接不上,查看网上资料很多用iptables -A INPUT -p tcp --dport 80 -j ACCEPT 修改了也一直连接不上,最后发现而两个规则放行规则的差异只是 -A 和 -I ,-A 追加规则在DROP 规则后,-I增加规则在DROP 规则前。 iptables 是由上而下的进行规则匹配,放行规则需在禁行规则之...
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值