防火墙——iptables

最新推荐文章于 2024-06-21 11:24:56 发布
原创 最新推荐文章于 2024-06-21 11:24:56 发布 · 696 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #centos

本文详细介绍了iptables的四表五链及其功能,包括raw、mangle、nat和filter表,以及INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING链的作用。iptables命令行配置方法也进行了讲解,包括规则匹配、控制类型和管理选项。此外,还提到了CentOS 7/8中firewalld作为新一代防火墙管理工具的使用情况。

iptables是系统自带的软件防火墙 (IP信息包过滤系统:IP 端口 协议)网络层
iptables    CentOS 5/6
两个关键组件    netfilter  内核态(保存规则集)    iptables 用户态(防火墙的管理规矩)

内容:

四表
raw表: 确定是否对该数据包状态进行跟踪  
 包含两个链:#OUTPUT  #PREROUTING

mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。
包含链:    #INPUT #OUTPUT #FORWARD  #PREROUTING  #POSTROUTING

nat表:负责网络地址的转换,用来修改数据包中的源、目标ip地址或端口。
包含链:#OUTPUT #PREROUTING #POSTROUTING

filter表:负责过滤数据包,确定是否放行该数据包。
包含链:#INPUT #FORWARD #OUTPUT

五链
INPUT:处理入站数据包,匹配目标IP为本机的数据包
OUTPUT:处理出站数据包,一般不在此链上做配置
FORWARD:处理转发数据包,匹配流经本机的数据包
PRERONTING:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的ip和端口映射到路由器的外网ip和端口上。
POSTRONTING:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网地址上网。

默认策略:默认值为 允许通过

链中的规则:"串行"  从上到下依次处理,找到对应的处理规则就结束,若是没有就按照默认值

iptable 命令行配置方法:
命令格式
iptables [-t 表名] 管理选项 [链名][匹配条件][-j 控制类型(需要大写)]

 

注意事项:
不指定表名时,默认指filter表
不指定链名时,默认指定表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
控制类型使用大写字母,其余的均是小写

常用的控制类型:(必须大写)
ACCEPT:允许数据包的通过
DROP:直接丢弃数据包,不给出任何回应信息
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址
REJECT: 拒绝数据包通过
MASQUERADE:地址欺骗
REDIECT:重定向


规则的匹配:
1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口协议

协议匹配:-p 协议名
地址匹配:-s 源地址 -d 目的地址   可以是ip 网段 域名 
接口匹配:-i入网网卡 -o出站网卡

2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等类型

端口匹配: --sport源端口  --dport目的端口


iptables -t 表 -A  匹配条件 -j ACCEPT|DROP|REJECT
               -I插入防火墙规则  
               -D删除防火墙规则
               -F清空防火墙规则
               -R  替换防火墙
               -nL --line-numbers  查看筛查表中的链规则
               -P ACCEPT|DROP|REJECT 设置默认值

匹配条件
-p   tcp|udp|imcp  匹配协议
-s 源IP|网段 
-d 目的IP|网段
-i 入站网卡
-o 出战网卡

-p  tcp|udp   --sport 源端口
              --dport 目的端口
              
-p  tcp  --tcp-flags  SYN|FIN|ACK|RST|PSH|URG              

-p  icmp --icmp-type  8|0|3

firewalld     CentOS  7/8
(在7里面一般默认安装了iptables的应用,但是缺乏服务管理工具需要安装iptables-services)
 

防火墙——iptables防火墙
.銀河狙擊手的博客
01-16 1655
目录 一: iptables 概述 1.1 iptables 的组成和工作位置 1.2 netfiler 和 iptables 的关系 1.3 四表五链 1.3.1 四表 1.3.2 五链 1.3.3 规则表的匹配顺序 1.3.4 规则链之间的匹配顺序 二: 编写防火墙规则 2.1 安装iptables防火墙 2.2 iptables 的配置方法 2.2.1 命令行配置格式 2.2.2 常用控制类型 2.2.3 常用管理选项 2.2.4匹配条件 2.2.5 添加,查看,删
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
weixin_69543697的博客
07-18 2860
iptables四表五链
防火墙————iptables
鸡汤的博客
05-01 470
防火墙概述 防火墙分为硬件防火墙和软件防火墙,硬件防火墙的效果要大于软件防火墙, 而iptables和firewalld两个则都是软件防火墙iptables是Contos5/6的默认防火墙 firewalld是Contos7/8的默认防火墙 概述 ...
软件防火墙iptables/netfilter概念篇(一)
dongang8198的博客
08-10 427
目录 简介 防火墙分类及说明 netfilter钩子 iptables中的表 chains 表链关系 iptables中的规则 Matching targets ...
IPtable防火墙
weixin_69148277的博客
04-07 850
IPtable防火墙
iptables防火墙配置详解
weixin_34198762的博客
09-03 248
iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。 filter负责过滤数据包,包括的规则链有,input,output和forward; nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output; mangle表则主要应用在修改数据包内容上,用来做流量整形的...
iptables防火墙的概念及理解
每天进步一点点。。。的博客
11-05 1662
一直以来防火墙方面的知识点是比较空洞的,知道看到前辈的博客,才尝试去更深入的了解。 原文链接:http://www.zsythink.net/archives/1199 iptables概念 iptables其实不是真正的防火墙,客户端代理,用户通过这个客户端代理,将用户的安全设定执行到对应的”安全框架”中,安全框架才是真正的防火墙,是netfilter。   netfilter
精选资源
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
安全技术和防火墙——iptables防火墙
zhou641694375的博客
08-29 1573
提示:这里可以添加本文要记录的大概内容:提示:以下是本篇文章正文内容,下面案例可供参考位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包iptables --version 查看版本查看命令的帮助(说明书)......
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3448
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
iptables(4)规则匹配条件(源、目、协议、接口、端口)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1788
上篇文章中我们介绍的规则是匹配源地址,通过-s参数指定源地址,那我们从源地址开始逐步介绍。图中我指定的源地址是单个IP地址一次指定多个源IP地址通过“,”隔开多个地址,可以一次性指定多个源地址,但是指定了多个不连续的源地址后,在iptables列表中会列出多行显示。注意逗号两侧都没有空格,多个IP之间通过逗号隔开一次性指定一个网段直接使用网段信息,来设置源地址段,那么该条规则就会匹配源地址是这个网段来的所有数据反向匹配(条件取反)!
iptables 教程
lizhengyu891231的博客
07-08 1346
iptables 教程
iptables详解
wdt3385的专栏
12-25 5294
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables
libing__123的博客
01-30 1188
使用 -N 选项可以创建自定义链iptables -t 表 -N 需要定义的链名例如:创建一个叫做IN_WEB的自定义链 iptables -t filter -N IN_WEB实现别的主机不能ping通本机 iptables -t filter -I IN_WEB -p icmp --icmp-type 8/0 -j REJECT命令解释:-p icmp: 这指定了协议类型为 ICMP。ICMP 是用于在 IP 主机和路由器之间传递控制消息的协议。
慢慢的理解iptables防火墙
chenliang
06-03 236
第1章 Iptables的介绍及原理 1.1 iptables简介 iptables是unix/linux自带的一款防火墙工具,CentOS 6版本中默认自带的是iptables,从centos 7版本开始自带防火墙是firewalld防火墙了,但是可以另外安装iptables防火墙。 ...
ubuntu下配置iptables
记录,总结,成长
04-09 1076
关于iptables有价值的信息很多,但是大多都描述的很复杂。如果你想做些基本的配置,下面的 How To 很适合你。 ◆ 基本命令 键入: # iptables -L 列出您当前iptables中在规则。如果您是刚刚建立您的服务器,那么可能此时还没有任何规则,而且您应该看到如下: Chain INPUT (policy ACCEPT) target prot
iptables 防火墙设置】
热门推荐
DiKL_Y的博客
05-21 1万+
iptables 防火墙的设置,网络的禁止进入和允许放通
Linux iptables防火墙详解(一)——iptables基础知识
永远是少年
12-02 2813
本文主要内容是Linux iptables防火墙相关知识 一、iptables防火墙简介 二、iptables“三表五链”详解 三、iptables包过滤流程
iptables修改目的IP和端口
zhangnero
07-12 3091
iptables NAT表的OUTPUT链用于对由本机发起的数据包进行目标IP地址和端口号的修改。DNAT指令可以用于将数据包的目标IP地址和端口号替换为指定的IP地址和端口号。在OUTPUT链中使用DNAT指令可以实现对本机发送的数据包进行目标地址的转换,将数据包发送至指定的目标地址。其中,<目标IP地址>为需要修改的目标IP地址,<协议>为需要修改的协议类型,<目标端口>为需要修改的目标端口号,<新目标IP地址>为修改后的目标IP地址,<新目标端口>为修改后的目标端口号。
全国职业技能大赛-网络安全国职业技能大赛-网络安全赛题解析———防火墙iptables(超详细)_网络安全职业技能大赛全赛题解析———防火墙iptables(超详细)_网络安全职业技能大赛
最新发布
04-30
### 关于全国职业技能大赛中的网络安全赛题解析 #### 防火墙与 `iptables` 的基本概念 `iptables` 是一种强大的工具,用于实现基于 Linux 内核的防火墙功能。它能够通过定义规则来控制网络流量的进出行为,从而增强系统的安全性[^2]。 以下是针对防火墙和 `iptables` 在全国职业技能大赛中的具体应用及其详细解析: --- #### 基础规则设置 为了防止潜在的安全威胁,通常会使用以下基础规则来阻止异常 TCP 数据包: ```bash iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP ``` 这两条命令分别用于丢弃具有所有标志位或无任何标志位的 TCP 数据包,这些数据包通常是恶意攻击的一部分[^1]。 --- #### 进阶防护策略 在全国职业技能大赛中,参赛者可能需要完成更复杂的任务,例如配置特定端口和服务的安全规则。以下是一些常见的场景及解决方案: ##### 场景一:开放指定服务端口 假设需要开放 HTTP (80) 和 HTTPS (443) 两个常用的服务端口,则可以添加如下规则: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT ``` ##### 场景二:拒绝来自特定 IP 或子网的访问 如果发现某些 IP 地址存在可疑活动,可以通过以下方式将其屏蔽: ```bash iptables -A INPUT -s 192.168.1.100 -j DROP iptables -A INPUT -s 192.168.1.0/24 -j DROP ``` ##### 场景三:仅允许 SSL 访问 对于比赛题目提到的要求(如创建支持 SSL 的网站),可通过以下方法强制客户端使用加密连接: ```bash iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 443 ``` 此规则将所有的 HTTP 请求重定向至 HTTPS 协议下的目标地址[^3]。 --- #### 实际案例分析 以 **2024 年全国职业技能大赛** 中的任务为例,要求创建名为 `chinaskills.com` 的 Web 站点,并满足以下条件: 1. 主页位于路径 `C:\web\chinaskills.html`; 2. 显示内容为“热烈庆祝2021年全国职业技能大赛开幕”; 3. 只能通过域名访问且启用 SSL 加密传输。 解决思路分为两步: 1. 使用 Apache/Nginx 等服务器软件部署静态 HTML 页面; 2. 调整防火墙规则以确保只有合法请求被接受。 最终效果验证需结合实际环境测试,确认是否符合赛事评分标准。 --- #### 总结 通过对以上知识点的学习与实践,选手可以在比赛中快速构建高效而安全的网络防御体系。掌握 `iptables` 的核心语法以及灵活运用其高级特性将是取得优异成绩的关键所在。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南京的山南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值