Linux系统中防火墙管理-iptables

最新推荐文章于 2023-02-21 21:46:34 发布
原创 最新推荐文章于 2023-02-21 21:46:34 发布 · 717 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables #防火墙管理 #NAT #地址伪装

一.iptables概述

iptables(网络过滤器)是一个工作于用户空间的防火墙应用软件。iptable是Linux下的数据包过滤软件 。
iptables有三张表五条链:
1.Filter:数据包流通是否访问Linux内核的表
Filter包含三条链input、 forward 、output

INPUT:主要与想要进入Linux主机的数据包有关,访问内核上的服务,经过内核。
OUTPUT :主要与Linux本机所要送出的数据包有关,访问内核上的服务,经过内核。
FORWARD :与Linux本机没有关系,它可以传递数据包到后端的计算机中,与表NAT有关

理解Filter包含的三条链:
图中1.1.1.1 与2.2.2.2通信要经过路由。路由有两块网卡,分别设置IP:1.1.1.2 、 2.2.2.1。
内核开启服务http和ftp。
在这里插入图片描述
1.1.1.1访问路由内核开启的ftp服务,经过1.1.1.2端口进来。input由filter表里input设定。
相反出去。ouput由filter表里output设定
在这里插入图片描述
1.1.1.1与2.2.2.2通信,要经过路由。路由两块网卡网段不同,不可以通信。两块网卡通过内核做数据的连接 forward
在这里插入图片描述
2.nat::用来进行来目的地地址转换和源地址转换

INPUT:与进入Linux的数据包有关,但没有去访问内核上的服务,不经过内核。
PREROUTING:在进行路由判断之前目的地地址转换过程中所要进行的规则(DNAT目的地地址转换)。
POSTROUTING:在进行路由判断之后地址转换的过程中所有进行的规则(SNAT:源地址伪装。
OUTPUT:与发送出去的数据包有关,同样没有访问内核上的服务,不经过内核。

3.mangle:备用表
有五条链:input、 forward、 prerouting 、postouting 、output

二.目的地址转换和源地址转换

1.环境配置
1)服务端设置
添加两张网卡
172.25.254.110
1.1.1.110
在这里插入图片描述
打开地址伪装

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewall-cmd --list-all

在这里插入图片描述
2)客户端设置
1.1.1.10
GATEWAY=1.1.1.110
在这里插入图片描述
2.源地址转换SNAT
客户端(IP:1.1.1.10)ssh root@172.25.254.77
w -i ##可以发现看到172.25.254.110
主机172.25.254.77上显示的是172.25.254.110连接的它。但是实际上是1.1.1.10连接的172.25.254.77。这就是源地址转换
在这里插入图片描述
3.目的地地址转换

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.10
firewall-cmd --list-all

在这里插入图片描述
主机(IP:172.25.254.110)ssh root@172.25.254.110
但是它实际连接的时候1.1.1.10
在这里插入图片描述
删除目的地地址转换
在这里插入图片描述

三.iptable的管理

1.关闭firewalld的管理,打开iptables的管理方式

systemctl stop firewalld.service 
systemctl mask firewalld
systemctl disable firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables

在这里插入图片描述在这里插入图片描述
2.显示iptables中的所有策略

iptables -L 		##默认看的是filter,看到的是不是真实的ip,显示的是anywhere

在这里插入图片描述

iptables -nL		##-L列出表,-n解析

在这里插入图片描述

iptables -t nat -nL	##列出nat表的内容

在这里插入图片描述

iptables -t mangle -nL  ##列出mangle表的内容

在这里插入图片描述
3.刷新火墙的信息,清空之前策略

iptables -F		##删除表的内容
iptables -nL		##表的内容被删除了

在这里插入图片描述

systemctl restart iptables ##重启iptables
iptables -nL		##表的内容重新回来了

在这里插入图片描述
4.保存iptables的策略

vim /etc/sysconfig/iptables
iptables -F
service iptables save  ##保存之后配置文件被修改
cat /etc/sysconfig/iptables

在这里插入图片描述
在这里插入图片描述

四.iptables的管理

1.添加新的链westos

iptables -N westos

在这里插入图片描述
2.修改westos链的名称成WESTOS

iptables -E westos WESTOS

在这里插入图片描述
3.删除WESTOS链

iptables -X WESTOS

在这里插入图片描述

4.添加策略:表filter中INPUT设置拒绝172.25.254.77连接访问本机(IP:172.25.254.110)

iptables -t filter -A INPUT -s 172.25.254.77 -p tcp --dport 22 -j REJECT

在这里插入图片描述
主机(IP:172.25.254.77)ssh root@172.25.254.110 无法连接
在这里插入图片描述
5.添加策略1:拒绝所有人连接访问本机(IP:172.25.254.110)
添加策略2:允许172.25.254.77连接本机

iptable -A INPUT -j REJECT ##拒绝所有人连接
iptables -A INPUT -s 172.25.254.77 -p tcp --dport 22 -j ACCEPT   ## -A表示把该策略从末端插入
iptables -I INPUT -s 172.25.254.77 -p tcp --dport 22 -j ACCEPT    ## -I表示把该策略从开头插入

在这里插入图片描述主机(IP:172.25.254.77)ssh root@172.25.254.110 可以连接
而其他主机不可以连接
在这里插入图片描述
6.添加策略:除了IP为172.25.254.77的主机,所有人都无法连接本机

iptable -A INPUT ! -s 172.25.254.10 -p tcp --dport 22 -j REJECT

在这里插入图片描述

五.iptables管理地址伪装

1.源地址转换

sysctl -a | grep ip_forward
net.ipv4.ip_forward = 1
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.110

在这里插入图片描述
主机(IP:1.1.1.10 ) ssh root@172.25.254.77
主机172.25.254.77上显示的是172.25.254.110连接的它。但是实际上是1.1.1.10连接的172.25.254.77
在这里插入图片描述
2.目的地地址转换

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 1.1.1.10

在这里插入图片描述
172.25.254.77主机ssh root@172.25.254.110
实际连接的是1.1.1.10
在这里插入图片描述

iptables:传统的Linux防火墙管理程序(1)
独化蓝翅鸟,越岭万昆仑
07-23 594
Linux 防火墙》读书笔记第3章——iptable:传统的Linux防火墙管理程序 (1) 第三章 iptables:传统的Linux防火墙管理程序(1) 3.1 iptables防火墙)与 netfilter 3.1.1 Linux 包过滤防火墙的架构 Linus Torvalds 在 2016 年 12 月 11 日发布了 Linux 内核 4.9 的正式版本,据说 将在...
Linuxiptables三表五链
daisy_songyr的博客
08-20 779
1.防火墙 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性...
Linux中常见的过滤拦截
FinixLei的专栏 (https://github.com/FinixLei)
05-15 2235
Linux中常见的拦截过滤 本文着重介绍Linux平台上常见的拦截: 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 inline hook拦截。 LSM(Linux Security Modules) eBPF Hook拦截。(本文新增) 动态库劫持 Linux上的动态库劫持主要是基于LD_PRELOAD环境变量,这个环境变量的主要作用是改变动态库的加载顺序,让用户有选择的载入不同动态库中的相同函数。但是使用不当就会引起严重的
linux防火墙
GaoDong blog
05-26 662
<br />防火墙<br />netfilter/iptables<br />功能:<br />1. 数据包过滤 INPUT链(对进入本机数据包),forward(对经过本机的数据) //属于filter表<br />2. NAT POSTROUTING(做源地址转换) //属于nat表<br /><br />一、数据包过滤<br />LAB:<br />iptables -P INPUT DROP //将INPUT链(Chain)的默认策略设置为DROP<br />iptables -t filter -
linux防火墙
qq_52831288的博客
02-25 850
防火墙 从逻辑上分类:主机防火墙 网络防火墙 从物理上分类:硬件防火墙 软件防火墙 IPTABLES:一个客户端代理,将用户的安全设定执行到对应的“安全框架——netfilter”中。 netfilter才是防火墙真正的安全框架(framework),位于内核空间 其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规 则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。 五链 PREROUTING 在进行路由判断之前所要进行
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" ...本论文为 Linux 防火墙 Netfilter-iptables 扩展机制及应用提供了一个系统的研究和分析,为 future research 和应用提供了有价值的参考。
Linux互联网技术》项目10Linux防火墙实现-iptables1.ppt
11-12
Linux互联网技术》项目10Linux防火墙实现-iptables1.ppt
Linux-应用基础教程--CH22-IPtables防火墙.ppt
最新发布
08-04
Linux防火墙系统IPtables的详细介绍如下: 1. 防火墙基础概念 防火墙是网络安全的重要设备,它位于互联网和内部网络之间,其主要作用是提供边界防护、控制内外网络访问、提高内部网络的保密性和私有性、限制对易受...
linux防暴力白名单怎么添加,Linux防火墙--iptables--白名单配置
weixin_28879085的博客
05-06 812
1.服务器22端口和1521端口开通给指定IP[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0...
linux 下设置防火墙允许得端口
shardy0的博客
04-01 5423
linux7以上使用 systemctl status firewalld 查看状态 systemctl enable firewalld 启用防火墙 永久 systemctl stop firewalld 停止防火墙 重启后失效 systemctl disable firewalld 禁用防火墙 永久 systemctl start firewalld 启动 systemctl resta...
redhat_iptable详解
03-29
redhat iptable AS 详解 配置 安装,超级详细,可以解决所有LINUX配置问题
中间件DELTE\PUT支持问题
梦昼初的博客
04-01 1650
金蝶: DELETE、PUT、OPTIONS不支持问题 解决:vm.options文件注释DELETE、PUT、OPTIONS等一行代码 东方通: DELETE、PUT、OPTIONS不支持问题,在管理界面配置如下图:
Linux 防火墙配置(iptables和firewalld)
m0_49864110的博客
02-21 2万+
iptables和firewaldl都只是linux防火墙管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
linux 服务器拦截http请求,详解Linux屏蔽浏览器上http请求警报的方法
weixin_39627052的博客
05-02 1235
众所周知,在Linux系统中浏览器的页面上是不允许出现http请求的,如果出现了http请求就会发生错误,并且Linux系统会向用户发出警报。下面,U大侠小编就给大家详解Linux屏蔽浏览器上http请求警报的方法。警报代码Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requeste...
spring security 拦截了post put delete 请求 ,解决方案
july_young的博客
09-03 5618
使用spring security 做的安全框架时,会自动拦截post,put,delete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
高级防火墙规则-Direct Rules
chaos_oper的博客
12-10 6025
一.Direct Rules概述 通过firewall-cmd工具,可以使用 --direct选项在运行时间里增加和删除链。如果不熟悉iptables,使用直接接口非常危险,因为可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便于在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用 二.常用命令 1.查看防火墙上设置的规则 firewall-cmd --direct ...
iptables学习笔记:使用NAT实现简单的无线AP
李迟的专栏
10-12 3189
之前使用的是无线路由让手机上网。学习了iptables后,尝试在非openwrt系统Linux上实现相同功能。本文简单记录一下。
linux下iptable防火墙的配置
热门推荐
ZGGHUAN
06-14 2万+
一、策略与规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置...
深入解析iptables 1.4.9在Linux系统中的防火墙管理
通过以上知识,我们可以了解iptablesLinux系统中的作用,以及如何通过iptables管理防火墙规则,从而控制进出网络接口的数据包。掌握iptables的使用,对于维护Linux系统的网络安全具有重要意义。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值