Linux 防火墙之iptables

最新推荐文章于 2024-05-09 23:14:56 发布
最新推荐文章于 2024-05-09 23:14:56 发布
阅读量609 收藏
点赞数
分类专栏: linux 文章标签: 防火墙 iptables linux 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youbingchen/article/details/51692253
版权

防火墙最主要的任务就是规划出:
+ 切割被信任(子域)与不被 信任(Internet)的 网段
+ 切分出可提供Internet的服务与必须受到保护的服务
+ 分析出可接受与不可接受的封包状态。

Linux 系统上 防火墙的主要类别


  • Netfilter(封包过滤机制)

就是分析进入主机网络分包,将分包 表头数据提取出来进行分析,以决定是否丢弃。由于这种方式可以直接 分析封包 表头的数据,所以包括(MAC),软件地址(IP),TCP,UDP,ICMP等封包 的 消息 都可以进行过滤分析 的 功能。Netfilter提供了iptables这个软件来作为防火墙封包过滤的指令。由于Netfilter是核心内建的功能,因此它的效率非常的 高。

  • TCP Wrappers(程序控管)
    另一种抵挡封包进入的办法,为透过服务器程序的外挂(tcpd)来处置,与封包过滤 不同,这种机制主要是分析谁对某程序进行存取,然后透过规则去分析服务器谁能够联机,谁不能联机,主要透过分析服务器程序来掌控,因此与启动的出口无关,只与程序的名称有关, 举例来说,我们知道 FTP 可以启动在非正规的 port 21 进行监听,当你透过 Linux 内建的 TCP wrappers 限制 FTP 时, 那么你只要知道 FTP 的软件名称 (vsftpd) ,然后对他作限制,则不管 FTP 启动在哪个端口口,都会被该规则管理的
  • proxy 代理
    其实代理服务器 是一种网络服务,下图为例:
    这里写图片描述
    以上图为例,当 Client 端想要前往 Internet 取得 Google 的数据时,他取得数据的流程是这样的:
  • 1.client 会向 proxy server 要求数据,请 proxy 帮忙处理;
  • 2.proxy 可以分析使用者的 IP 来源是否合法?使用者想要去的 Google 服务器是否合法? 如果这个 client 的要求都合法的话,那么 proxy 就会主动的帮忙 client 前往 Google 取得资料;
    Google 所回传的数据是传给 proxy server 的喔,所以 Google 服务器上面看到的是 proxy server 的 IP;
    + 3.最后 proxy 将 Google 回传的数据送给 client。

Netfilter 的rule

这里写图片描述

当一个网络封包要进入到主机之前,会先经由 NetFilter 进行检查,那就是 iptables 的规则了。 检查通过则接受 (ACCEPT) 进入本机取得资源,如果检查不通过,则可能予以丢弃 (DROP) ! 上图中主要的目的在告知你:『规则是有顺序的』!例如当网络封包进入 Rule 1 的比对时, 如果比对结果符合 Rule 1 ,此时这个网络封包就会进行 Action 1 的动作,而不会理会后续的 Rule 2, Rule 3…. 等规则的分析了。

iptables 的表格和链

上图只是众多表格 中的 一条 链,防火墙软件里面有多个表格,每个 表格都定义出自己的默认政策与规则,同时每个表格的用途都不相同。
这里写图片描述

inux 的 iptables 至少就有三个表格,包括管理本机进出的filter、管理后端主机(防火墙内部的其他计算机) 的 nat、管理特殊旗标使用的mangle(较少使用)。更有甚者,我们还可以自定义额外的链呢!每个表格与其中链的用途分别是这样的:
+ filter(过滤器):主要进入Linux本机的封包有关
+ Input:主要与想要进入Linux本机的分包有关
+ Output:主要与Linux本机所送出的封包相关
+ FORWARD:与本机没有什么关系,主要是传递封包到后端的计算机,与下列的nat table相关
+ nat(地址转换): 这个表格主要在进行来源与目的的 ip地址或端口转换,与了linux 本机不相关,主要与Linux主机后的局域网网络内计算机相关
+ PRERROUTING: 在 进行路由判断之前要进行规则(DNAT/RECDIRECT)
+ POSTROUTING: 在进行路由判断之后要进行的规则(SNAT/MASQUERADE)
+ OUTPUT: 与发送出去的封包有关。
+ mangle(破坏者):这个表格主要是与特殊的封包的路由旗标有关,原来只有PREROUTINNG以及 OUTPUT链。后面加入INPUT以及FORWARD链。
所以说,如果你的 Linux 是作为 www 服务,那么要开放客户端对你的 www 要求有响应,就得要处理 filter 的 INPUT 链; 而如果你的 Linux 是作为局域网络的路由器,那么就得要分析 nat 的各个链以及 filter 的 FORWARD 链才行。(如下图:盗用鸟哥的图)
这里写图片描述
防火墙事实上是用来管制 LAN 内的其他主机的话,那么你就必须要再针对 filter 的 FORWARD 这条链,还有 nat 的 PREROUTING, POSTROUTING 以及 OUTPUT 进行额外的规则订定才行。

iptables 实战

上面讲一大堆的理论,接下来来点实战教程。

iptables的 语法

iptables [-t tables] [-L] [-nV]
# 选项与参数
# -t : 后面接table,例如nat或filter,若省略,默认是filter
# -L: 列出目前的table的规则
# -n:不进行 IP与HOSTNAME的反查,显示讯息的速度会很快
# -v:  列出更多的信息,包括通过该规则的封包总位数,相关网络接口等

这里写图片描述
+ target:代表进行的动作, ACCEPT 是放行,而 REJECT 则是拒绝,此外,尚有 DROP (丢弃) 的项目
+ prot:代表使用的封包协议,主要有 tcp, udp 及 icmp 三种封包格式;
+ opt:额外的选项说明
+ source :代表此规则是针对哪个来源 IP进行限制?
+ destination :代表此规则是针对哪个目标 IP进行限制?

iptables -F
iptables -X
iptables -Z
# 上面三个指令会将防火墙的所有的规则都清楚,但是不会改变预设政策
定义预设政策

语法:

iptables [-t nat] -P [INPUT,OUTPUT<FORWARD][ACCEPT,DROP]
选项与参数
-P: 定义政策
ACCEPT:该封包可接受
DROP: 该封包直接丢弃,不会让client端知道为何被丢弃
封包的基础比对

语法:

iptables [-AI链名 ] [-io 网络接口] [-p 协议] [-s  来源IP/网域] [-d 目标IP/网域] -j [ACCEPT REJECT DROP LOG]
# 选项详解
-AI 链名
    -A: 新增一条规则,该规则增加 在原本规则的最后的一条
    -I: 插入一条规则,如果没有指定规则的顺序,默认是插入第一天规则。
- io 网络接口:
    -i: 封包所进入哪个网络接口,例如 eth0,lo等 接口。需要与INPUT配合
    -o: 封包所传出的哪个网络接口,需要与OUTPUT链配合。
-p 协议: 设定此规则适用于哪一种封包格式
     主要封包格式有:tcp,udp,icmp及all。
-s 来源 IP/网域:
   IP: 192.0.100
   网域: 192.168.0.0/24或者192.168.0.0/255.255.255.0  !表示除了之外
-d 目标IP/网域
-j: 后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝 (REJECT)及记录(LOG
TCP、UDP的规则 比对:针对端口设定
iptables [-AI链名 ] [-io 网络接口] [-p 协议] [-s  来源IP/网域] [-sport 源端口] [-d 目标IP/网域] -[dport 目的端口] -j [ACCEPT REJECT DROP LOG]
iptables 外挂模块:mac 与 state

在 kernel 2.2 以前使用 ipchains 管理防火墙时,通常会让系统管理员相当头痛!因为 ipchains 没有所谓的封包状态模块,因此我们必须要针对封包的进、出方向进行管控。举例来说,如果你想要联机到远程主机的 port 22 时,你必须要针对两条规则来设定:

本机端的 1024:65535 到远程的 port 22 必须要放行 (OUTPUT 链);
远程主机 port 22 到本机的 1024:65535 必须放行 (INPUT 链);

!因为如果你要联机到 10 部主机的port22时,假设OUTPUT为预设开启(ACCEPT),你依旧需要填写十行规则,让那十部远程主机的 port 22 可以联机到你的本地端主机上。 那如果开启全部的 port 22 呢?又担心某些恶意主机会主动以 port 22 联机到你的机器上! 同样的道理,如果你要让本地端主机可以连到外部的 port 80 (WWW 服务),那就更不得了~ 这就是网络联机是双向的一个很重要的概念!好在我们的 iptables 免除了这个困扰!他可以透过一个状态模块来分析。

iptables -A INPUT [-m state] [--state 状态]
# 选项 
-m :  一些 iptables的 外挂模块,常见 的 有:
   state:状态模块
   mac:网卡硬件地址
--  state : 一些封包的状态,主要有
   INVALID: 无效的封包,如数据损坏的包
   ESTABLISHED:已经联机成功 的联机的状态
   NEW:想要新联机的封包的状态
   RELATED:表示 这个 封包是与我们主机发送出去的封包有关。

如果有些不老实的人,老是可以透过修改 IP 去尝试透过路由器往外跑,那你该怎么办? 难道将整个区网拒绝?并不需要的,你可以透过之前谈到的 ARP 相关概念,去捉到那部主机的 MAC ,然后透过上头的这个机制, 将该主机整个 DROP 掉即可。不管他改了什么 IP ,除非他知道你是用网卡的 MAC 来管理。

程序猿阿三
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux防火墙iptables常用操作笔记
m0_62301431的博客
10-18 213
介绍 其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。 filter表 核心功能:用于主机防火墙 常用命令 iptables -nL --line-number #查看iptables规则(列出序号) iptables -t filter -D INPUT 1 #通过序号删除链中的规则(或者原添加规则命令中直接-A/-I换成-D也可删除) #查看iptables默认
Linux防火墙iptables
夏颜的博客
05-11 3030
文章目录一.istables防火墙1.1Linux防火墙简介1.2iptables四表五链1.2.1iptables表链结构1.2.2iptables四表1.2.3iptables五链1.3表链匹配流程二.iptables防火墙安装2.1防火墙安装2.2iptables命令三.iptables命令使用3.1查看规则列表3.2添加新规则3.3删除规则3.3.1删除规则 -D3.3.2清空规则 -F3.4设置默认策略四.规则匹配4.1匹配条件4.2通用匹配4.3隐含匹配4.4标记匹配五.总结 引言: 在Inte
iptables -F 与 -X 区别
weixin_34082695的博客
01-11 3212
最近在学习iptables时 被 -F 和 -X 搞迷糊了,从网上搜了一下明白了 test: 1、iptables 初始化 2、iptables -X (第一次) 错误原因是自定义链表(test)不为空 3、iptables -F 4、iptables -X ok,实验结束 实验报告: -F 是清空指定某个 chains 内所有的...
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
iptables 执行清除命令 iptables -F 要非常小心的 .
weixin_34138377的博客
08-19 3207
用 /sbin/iptables -F 要小心,搞不好,你就马上同服务器断开连接了以下是来自 http://wiki.ubuntu.org.cn/IptablesHowTo 上的说明可以通过/sbin/iptables -F清除所有规则来暂时停止防火墙: (警告:这只适合在没有配置防火墙的环境中,如果已经配置过默认规则为deny的环境,此步骤将使系统的所有网络访问中断)如...
清空 iptables 规则的命令
无止境学的博客
01-08 7832
iptables -F iptables -X iptables -t nat -F iptables -t nat -X
Linux 防火墙iptables
weixin_67510296的博客
05-17 4759
文章目录一、iptables 概述1.1 netfilter/iptables关系1.2 iptables 的四表五链二、iptables 配置2.1 iptables 安装2.2 iptables 命令2.3 常见控制类型2.4 管理选项2.5 添加新的规则2.6 查看规则列表2.7 删除、清空规则2.8 设置默认策略三、规则匹配条件3.1 通用匹配3.2 隐含匹配3.3 显示匹配3.4 状态匹配四、总结 一、iptables 概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 ne
Linux防火墙IPtables
最新发布
Dances with Cloud Native
05-09 961
IPtables安装与使用
Linux防火墙iptables详解
qq_50685659的博客
05-15 6628
防火墙分类 从逻辑上分类 主机防火墙:针对单个主机防护 网络防火墙:出于网络入口或边缘,针对网络入口防护,服务于防火墙背后的本地局域网 从物理上分类 软件防火墙 硬件防火墙 iptables包过滤防火墙 (在用户空间) netfilter(真正意义上防火墙)在内核空间的 内核空间:也叫内核态,操作系统占据的内核区域 用户空间:也叫用户态,用户进程所在的内存区域 iptables四表五链 防火墙是按照规则办事的,我们就来说说规则 (rules) ,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
Linux Ubuntu系统iptables防火墙配置
11-11
Linuxiptables是一个静态防火墙工具,不同于动态的firewalld。在Ubuntu 16.04中,不能直接使用iptables相关的systemctl命令进行管理,但可以通过其他方式配置和启用iptables规则。 3. 远程工具 远程访问服务器...
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
Linux 下几款程序内存泄漏检查工具
youbingchen的博客
07-23 3万+
写这篇博客的原因呢是因为自己在编写基于Nginx磁盘缓存管理程序,目前已经进入测试阶段,关于这个程序的测试分为几个主要步骤:1.内存管理是否正确(因为这个程序本身开辟很多内存空间进行缓存管理,同时这个程序程序本身就是基于C/C++开发的,内存管理机制一直是程序员头痛的东西) 2.程序的健硕性如何(服务器任何程序的基本要求就是要满足高并发的要求,也就是说,如果达不到这个基本要求,程序并并不能成为服务器
Linux 虚拟内存机制
youbingchen的博客
08-09 1万+
华为面试官问了我一个问题就是关于Linux虚拟内存机制,虽然我多少是回答上来,感觉好久没看操作系统的我是时候将其拿起来重温一遍 。 每个进程都有自己独立的4G内存空间,各个进程的内存空间具有类似的结构。 Linux内存管理采用的是页式管理,使用的是多级页表,动态地址转换机构与主存、辅存共同实现虚拟内存 一个新进程建立的时候,将会建立起自己的内存空间,此进程的数据,代码等从磁盘拷贝到自己的进程空间
Ngnix 的代码分析
youbingchen的博客
06-10 2815
说明:上一节Gdb 调Nginx,这一节我们深入代码本身,以下是我个人对Nginx代码的初步理解,若有出错,不吝赐教。Nginx两大进程 核心进程:包括监控进程和工作进程 Cache进程:Cache管理进程和Cache加载进程 Nginx核心进程模型 Ngnix的进程模型将进程分成监控进程和工作进程两类,启动Nginx的主进程将充当监控进程,而由主进程fork()出来的子进程则充当工作进程。工作
Nginx 进程间的关系
youbingchen的博客
06-08 2159
部署Nginx 都是使用一个 master进程来 管理多个 worker进程 ,一般情况下进程的数量与服务器 上 的CPU数量 相同,每一个worker的 进程都是繁忙的 。她们真正提供互联网服务,master进程只是 负责监控管理 worker进程,worker进程之间通过 共享内存 、原子操作等 一些进程 间的通信机制来实现负载均衡机制。为什么产品环境是按照master-worker方式进行的?
epoll之二:epoll实战
youbingchen的博客
06-22 818
epoll_create系统调用int epoll_create(int size);epoll_create返回 一个句柄,之后epoll的 使用都将依靠这个 句柄 来 标识,参数 size是告诉epoll所要处理的大致事件数目,不再使用epoll时,必须调用close 关闭这个句柄。size这个参数只是 告诉内核这个epoll对象会处理的事件大致数目,而不是 能够处理 的事件的最大个数epoll
Linux防火墙iptables
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统,默认情况下使用的是firewalld防火墙而不是iptables。如果你希望使用iptables防火墙,你需要先关闭firewalld防火墙并安装iptables。以下是一些命令示例: ``` # 关闭firewalld防火墙 systemctl stop firewalld systemctl disable firewalld # 安装iptables yum -y install iptables iptables-services.x86_64 # 启动iptables防火墙并设置开机自启 systemctl start iptables.service systemctl enable iptables.service ``` 2. iptables的基本语法由以下部分组成: ``` iptables [-t 表名 管理选项 [链名 [匹配条件 [-j 控制类型] ``` - `-t 表名`:指定要操作的表的名称,可选的表包括`filter`(默认),`nat`和`mangle`。 - 管理选项:可以是`-A`(添加规则),`-D`(删除规则),`-F`(清空规则),`-I`(插入规则)等。 - `[链名]`:指定要操作的链的名称,可以是`INPUT`(接收数据包),`OUTPUT`(发送数据包)或`FORWARD`(转发数据包)等。 - `[匹配条件]`:用于匹配特定条件的规则。 - `-j 控制类型`:指定当

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿阿三

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值