iptables 防火墙

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量283 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzn0109/article/details/124882365
版权

目录

一、iptables

1.1 防火墙的概述

1.2 iptables表、链的概述

1.2.1 四表

1.2.2 五链

1.3 匹配流程

二、iptabels的安装

2.1 安装的前提条件

 2.2 iptabels防火墙的配置

2.2.1 基本语法

2.3 添加规则

2.4 查看规则表

2.5 删除、清空规则

2.6 设置默认策略

2.7 通用匹配

2.7.1 通用匹配

 2.7.2 隐含匹配

2.7.3 显示匹配

总结

一、iptables

Linux系统的防火墙主要是IP信息包的过滤,由netfilter组和iptables组成。

是在网络层上工作,对于tcp/ip的数据包进行过滤和限制。

1.1 防火墙的概述

主要由netfilter和iptables组成。

①netfilter:属于内核态的防火墙功能体系

它是内核的一部分,由数据包过滤表组成。

②iptables:属于用户态的防火墙管理体系

是一种用来管理Linux防火墙的命令程序,通常位于/sbin/iptables文件下

1.2 iptables表、链的概述

iptables的作用是为包过滤机制的实现提供规则,通过制定不同的各种规则去告诉如何处理某些协议特征的数据包。

iptabels采用了表和链的分层结构,每一个表中都会有不同的链每个链中会去制定不同的规则去限制数据包。

1.2.1 四表

四表功能
raw确定是否对该数据包进行状态跟踪。其中包括两个规则链 :OUTPUT  PREROUTING
mangle修改数据包内容,对数据包进行标记。其中包括五个规则链:INPUT  OUTPUT   FORIARD   PREROUTING   POSTROUTING
nat负责网络地址的转换,用来修改数据包中的源、目的IP地址或者端口。其中包含三个规则链:OUTPUT   PREROUTING  POSTROUTING

filter 

负责过滤数据包,确定是否放行该数据包。其中包含三个数据链:

INPUT   FORWARD    OUTPUT 

在iptables的四表中,mangle和raw用的较少。每个规则表中要去按照顺序进行

raw→mangle→nat→filter

1.2.2 五链

五链功能
INPUT处理入站的数据包,匹配目标IP为本机的数据包
OUTPUT

处理出站的数据包

FORWARD处理转发数据包,匹配经过本机的数据包
PREROUTING在进行路由器选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
POSTROUTING在路由器选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

规则链的匹配顺序:

入站数据(外界的数据进入本机):PREROUTING→INPUT→本机的应用程序

出站数据(从防火墙本机向外部地址发送的数据包):本机应用程序→OUTPUT→POSTROUTING

转发数据:PREROUTING→FORWARD→POSTROUTING

●规则链的匹配顺序是自上向下按顺序一次检查,找到相匹配的规则。若在链中找不到相匹配的规则则按照默认的处理

1.3 匹配流程

 入站数据流向:

来自外界的数据包到达防火墙之后,首先会被PREROUTING链处理判断是否修改数据包地址,然后路由器选择如果数据包的目的地址是防火墙本机那么就会传递给INPUT链处理决定是否通过。

转发数据流向:

来自外界的数据包进入防火墙之后首先被PREROUTING链处理,路由器进行判断如果目的地址是其它外部的地址则传递给FORWARD链进行处理,最后交给POSTROUTING链判断是否修改数据包的地址等等

出站数据流向:

防火墙本机向外地址发送数据包时首先进行路由器选择确定路径后再经过OUTPUT链处理,再经过POSTROUTING链去决定是否修改数据包的地址等

二、iptabels的安装

2.1 安装的前提条件

centos7 默认用的是firewall防火墙,需要提前关闭防火墙并且安装iptabels

①关闭防火墙

systemctl stop firewalld.service

systemctl disable firewalld.service

 ②安装iptabels设置成开机自启

yum -y install iptables iptables-services

systemctl start iptables.service

systemctl  enable  iptables.service

 2.2 iptabels防火墙的配置

2.2.1 基本语法

iptables  【-t 表名】 管理选项  【链名】 【匹配条件】  【-j控制类型】

①管理选项

 

-A

在指定链的末尾追加一条新的规则

-I在指定链的开头插入一条新的规则
-R修改指定链中的某条规则
-P设置指定链的默认策略
-D删除指定链中的某一条规则
-F清空指定链中的规则,若没指定链名则清除表中的所有链
-L列出指定链中的规则
-n以数字的形式输出结果
-v显示详细的信息
-Z清空链的计数器
-X清空自定义的链的规则

②控制类型

ACCEPT        允许数据包通过
PROP直接丢弃数据包
REJECT拒绝数据包通过
LOG在var/log/messages文件记录日志,
SNAT修改数据包的源地址
DNAT修改数据包的目的地址
MASQUERADE伪装一个非固定公网IP地址

2.3 添加规则

iptables -t  filter  -A  INPUT  -p  icmp  -j  REJECT   (不允许任何主机去ping 此主机)

 iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT  ( 指定tcp端口22,添加的位置允许主机ssh端口经过本主机)

 拒绝数据包通过tcp 22端口

 因为规则是安装顺序去执行的所以设置完拒绝端口连接会断开,要想重新连接上必须去删除相应的规则

2.4 查看规则表

①iptables 【-t 表名】  -n -L 【链名】【--line-numbers】

 ②iptables -vnL

 ③iptables -n -L --line-numbers

2.5 删除、清空规则

①删除规则

iptables -D 链名 第几条规则

 ②清空规则

iptables -F 链名

 -F仅是清空链中的规则不会影响默认的规则

2.6 设置默认策略

默认策略是每条链中规则的最后一项,如果一条链中找不到一条规则则会去执行默认策略。

默认策略的类型分为:ACCEPT和DROP

格式:iptables -t表 -P链名  控制类型

在iptables -t filter -P OUTPUT ACCEPT(设置在出站时允许通过)

 

2.7 通用匹配

也被称为常规匹配,可以独立使用。常见的通用匹配包括:协议匹配、地址匹配、网络接口匹配

①协议匹配

以“-p 协议”形式定义,如tcp、udp、icmp或者all

2.7.1 通用匹配

协议匹配:-p协议名

地址匹配:-s 源地址、-d目的地址

接口匹配:-i 入站网卡、-o 出战网卡

iptables -A FORWARD -p icmp -j ACCEPT

 iptables -A INPUT -s 192.168.58.88 -j DROP

iptables -I INPUT -i ens33 -s 192.168.58.0/24 -j DROP

 例:禁止192.168.58.88主机访问本机

 

禁止192.168.58.0/24访问本机

 

 2.7.2 隐含匹配

端口匹配:--sport源端口、--dport目的端口

--sport 1000;2000   匹配段端口是1000-2000

--sport:2000   匹配源端口2000以下的数据包

--sport2000:   匹配源端口2000以上的数据包

iptables -A INPUT -p tcp --sport 1000:2000 -j REJECT

iptables -I FORWARD -d 192.168.111.0/24 -p tcp --dport 24500:24600 -j DROP 

①TCP标记匹配: --tcp-flags   

iptables -I INPUT-i ens33 -p tcp --tcp-flags SYN,RST,ACK    SYN   -j ACCEPT

(丢弃SYN请求包,放行其他包)

②ICMP类型匹配:--icmp-type

"Echo- Request" (代码为8)表示请求
"Echo- Reply"(代码为0)表示回显
"Dest ination-Unreachable”(代码为3)表示目标不可达

iptables -A INPUT -p icmp --icmp-type 8 -j DROP (禁止其他主机ping本机)

iptables -A INPUT -P icmp --icmp-type o -j ACCEPT    (允许本机ping其它主机)

2.7.3 显示匹配

“-m”的形式指出类型,包括多端口、MAC地址、IP范围、数据包状态

①多端口匹配:

-m multiport --sport  源端口列表

-m multiport --dport  目的端口列表

iptables -A INPUT -p tcp -m multiport --dport 22 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

②IP范围匹配

-m iprange --src -range  IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.58.100-192.168.58.150 -j DROP

禁止转发源地址是192.168.58.100到192.168.58.150的udp数据包

③MAC地址匹配

-m mac --mac-source  MAC地址

iptables -A FORWARD -m mac --mac-source MAC地址 -j DROP

禁止某个MAC地址的数据进行转发

总结

1. iptables的基本理论分为:四表、五链(按照顺序自上而下的执行)

2.iptables的基本用法:iptables -t表名  管理选项  链名   匹配条件   -j  控制类型

3.iptables的规则匹配条件:通用匹配、隐含匹配、显示匹配

zzn0109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙Mangle-修改MSS-从零开始学RouterOS系列08
bierxiu9789的博客
08-07 1807
本章用途:处理端到端的网络问题,如常见的网页打不开,QQ能上。网页显示不全,如图片不显示等。分支互联中的访问问题。主要理解区域间路由和服务器和客户端的传输过程。一、应用操作1.首先说一下如何修改MSS:进入IP>Firewall>Mangle,点击+号新建一个规则,如下:然后在高级选项里面:动作选项PPPOE的MTU是14802.结果对比:未修改前,SYN请求多少...
iptables 的mangle表
热门推荐
奔跑的路
04-18 3万+
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。  内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cerne
iptables深入解析-mangle篇
weixin_34107739的博客
08-08 2269
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
iptables的mangle表
IOsetting的专栏
02-13 2435
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 使用策略路由 对应的场景, 都是有多个网口, 常见的使用步骤 1. 创建路由表 Create new routing table 编辑 /etc/iproute2/rt_tables , 添加 [ID of your Table] [Name of your table] 使...
iptables mangle使用
qq_41167620的博客
01-02 430
通过mangle对报文添加标记,路由规则根据mark值控制匹配路由。
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙加固任务
04-23
iptables防火墙加固任务,制订了一套iptables防火墙加固任务
iptables修改目的IP和端口
zhangnero
07-12 2013
iptables NAT表的OUTPUT链用于对由本机发起的数据包进行目标IP地址和端口号的修改。DNAT指令可以用于将数据包的目标IP地址和端口号替换为指定的IP地址和端口号。在OUTPUT链中使用DNAT指令可以实现对本机发送的数据包进行目标地址的转换,将数据包发送至指定的目标地址。其中,<目标IP地址>为需要修改的目标IP地址,<协议>为需要修改的协议类型,<目标端口>为需要修改的目标端口号,<新目标IP地址>为修改后的目标IP地址,<新目标端口>为修改后的目标端口号。
Linux安全防火墙iptables)配置策略
最新发布
qq_51545656的博客
11-11 5487
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables 添加,删除,查看,修改,及docker运行时修改端口
a1058926697的博客
05-23 5385
出口我都是开放的,所以出口就没必要在去开放端口了。将源地址是 192.168.10.0/24 的数据包进行地址伪装如果不加-t的话,默认就是filter表,查看,添加,删除都是的所有添加,删除,修改后都要保存起来,/etc/init.d/iptables save.上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。
Linux防火墙iptables(下)
欲买桂花同载酒
05-20 978
延申iptables规则设置的匹配方式,以及如何备份,还原iptables设置,还有修改iptables的初始化设置
iptables修改数据包_Linux安全防范:详解iptables防火墙规则
weixin_42302638的博客
01-15 2050
我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,以下为iptables规则内容iptables规则iptables默认有3个规则链,分别是INPUT(输入),OUTPUT(输出),FORWARD(转发)-A:追加规则-I:新增规则-D:删除规则-R:修改规则-L:查看规则-N:定义新的规则链-p:指定协议类型-d:指定目标地址-s:指定来源地址-i:指定入口网卡-o...
iptables实现IPMAC绑定
redwingz的博客
03-12 885
主机192.168.1.201的MAC地址如下: $ ip address 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:0c:29:38:40:6b brd ff:ff:ff:ff:ff:ff inet 192.168.1.201/24 brd 192.168.1.255 scope global eth0
iptables修改数据包_iptables实现代理防火墙
weixin_34185033的博客
01-17 916
实验目的:使用iptables命令实现代理。需要3台机器(2台虚拟机+主机)进行演示。实验环境:1. Mac OS IP地址:192.168.43.121 (客户机)2. Ubuntu IP地址:192.168.43.194(代理)3. Kali Linux IP地址:192.168.43.45(web服务器)实验步骤:1. 初始的Kali Linux上部署了一个DVWA工具所以以此作为服务器主机...
iptables网关配置,指定内网MAC地址主机访问外网
沙洲浪子的专栏
10-30 2162
      刚调到新单位上班,由于单位对上互联网主机有要求,必须经过领导审批的电脑才允许上互联网,而单位上互联网使用的是小型ADSL路 由器,最多能对30个MAC地址进行绑定,所以领导给了我一台老的服务器,要我设置软路由来代替ADSL路由器。拿到服务器,我简单看了一下配置,再到网上搜了一下软路由的相关资料,觉得用LINUX+IPTABLES来设置是最合适不过的了,于是就在服务器上装了CentOS
Iptables防火墙的四表五链概念以及使用技巧
江晓龙的博客
07-08 3161
防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
iptables防火墙
06-09
iptablesLinux操作系统中的一种防火墙软件,它可以根据用户定义的规则来过滤、转发和修改网络数据包。iptables可以保护网络免受攻击,防止未经授权的访问和保护数据的机密性。以下是一些iptables的基本命令: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值