iptables

原创 于 2024-12-02 15:52:53 发布 · 756 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器

文章目录

iptables

1 防火墙概述

防火墙 firewalld:隔离功能

病毒防护:

  • 入侵检测系统:在互联网访问的过程中,不阻断任何网络访问,也不会定位网络的威胁,提供告警和事后的监督,类似于监控。
  • 入侵防御系统:透明工作模式,在判定为攻击行为或者是病毒威胁时,主动的隔断。

防水墙:防止内部信息泄露的产品,网络,外设接口等等全访问的实现监控。

防火墙的隔离规则:对进出网络或者主机的数据包基于一定的规则进行检查,匹配规则的放行,不匹配的就会隔离在主机之外。

防火墙一般位于网络边缘或者是主机边缘

  • 主机防火墙

  • 网络防火墙

2 iptables

Linux系统主机自带防火墙:

iptables	# CentOS7以前是系统的默认防火墙
iptables -F	清空所有规则


firewalld	# CentOS7的默认防火墙
systemctl stop firewalld

ufw		# Ubuntu自带的防火墙,默认没有规则

iptables属于用户态防火墙,通过表匹配链规则对数据包的放行或者拒绝进行匹配。

  • 表是自带的
  • 链是已有的
  • 规则是人工配置,规则一旦配置,立即生效,不需要重启(临时策略重启会消失)

2.1 表:四表

  • raw表:用来控制数据包的状态跟踪,决定是否跳过后续的处理流程
  • mangle表:用于修改数据包的头部信息
  • nat表:网络地址转换,改变数据包的源地址和目的地址。用于内网和外网之间通信
  • filter表:用来过滤数据包,可以控制数据包的进出,以及是否接受或者拒绝数据包

表的优先级:
raw—>mangle—>nat—>filter(不指定表名时,默认就是filter)

2.2 链:五链

  • INPUT:处理数据包进入本机的规则
  • OUTPUT:处理本机发出的或者是其他请求响应的数据包的规则,一般不做限制。
  • FORWARD:处理数据包转发到其他主机的规则
  • PREROUTING:处理数据包进入本机之前的规则 (地址转换)
  • POSTROUTING:处理数据包离开本机之后的规则 (地址转换)

规则内的匹配顺序

  • 自上而下按照顺序依次进行检查,找到了规则匹配即停止
  • 链内没有规则,就会按照链的默认策略进行处理

2.3 命令选项

iptables -t 表名(默认就是filter表) 管理选项 链名 匹配的条件 -j 控制类型

管理选项:

  • -A:在指定链的末尾添加一条规则
  • -I:在指定链中插入一条新的规则,根据序号来进行插入
  • -P:指定链的默认规则(慎用,没有特殊需求不要修改)
  • -D:删除链里的规则,根据规则的序号进行删除
  • -R:修改,替换某一条规则(不常用)
  • -L:查看规则
  • -n:数字化的展示规则的字段
  • -v:查看详细信息
  • --line-number:查看规则时带有编号
  • -F:清楚链中的所有规则(慎用)
  • -X:清空自定义链的规则

匹配条件:

  • -p:匹配数据包的协议
  • -s:匹配数据包的源地址
  • -d:匹配数据包的目的地址
  • -i:指定数据包进入本机的网络接口
  • -o:数据包离开本机使用的网络接口
  • --sport:指定源端口
  • --dport:指定目的端口
  • -m:扩展模块
    • 多端口:-m multiport --d/sport (端口号用","隔开,无顺序要求)
    • IP范围:-m iprange --src-range/dst-range(IP地址用"-"连接表示范围)
    • mac地址:-m mac --mac-source/destination

控制类型:

  • ACCEPT:允许数据包通过
  • DROP:直接丢弃数据包。没有任何回显信息
  • REJECT:拒绝数据包通过,但是会有一个回显信息
  • SNAT:修改数据包的源地址
  • DNAT:修改数据包的目的地址

2.4 用例

2.4.1 添加策略
iptables -A INPUT -p icmp -j REJECT
# 拒绝其他主机ping本机

iptables -I INPUT 1 -p icmp -j ACCEPT
# 在INPUT链添加第一条规则

iptables -t filter -A INPUT -s 192.168.159.123 -p tcp --dport 80 -j REJECT

iptables -t filter -A OUTPUT -s 192.168.159.123 -p tcp --sport 22 -j REJECT

iptables -A INPUT -i ens33 -s 192.168.159.0/24 -j REJECT
# 禁止159这个网段从ens33这个设备进入

iptables -A INPUT -s 192.168.159.123 -p tcp --dport 22:80 -j REJECT
# 一次性匹配多个端口
2.4.2 修改策略
iptables -R		# 使用修改命令时,如果只修改部分,其他相同部分也一定要写全,否则会设置成默认参数

在这里插入图片描述

2.5 永久保存策略

Ubuntu:
apt -y install iptables-persistent
	/etc/iptables/rules.v4	# Ubuntu的iptables配置文件位置
iptables-save >> /etc/iptables/rules.v4
# 直接把策略保存到配置文件
iptables-save >> /opt/iptables.bak
iptables-restore < /opt/iptables.bak
# 直接导入到配置当中,而不是配置文件

CentOS:
yum -y install iptables-services
# 装完服务后CentOS有默认策略
	/etc/sysconfig/iptables	# CentOS的iptables配置文件位置
systemctl restart iptables
# 重启后临时加入的策略会消失
# 永久保存策略和Ubuntu一样,只是配置文件位置不同

2.6 通信的要素

  • 协议
  • ip:源ip、目的ip
  • 端口(就是对应的应用在主机上的唯一标识):源端口、目的端口
iptables 实战】02 iptables常用命令
程序员笔记
10-02 947
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。
使用 Iptables 命令详细图文教程
GG Bond 的博客
06-08 1万+
使用 Iptables 详细图文教程
iptables 防火墙管理
gredn的专栏
10-12 1046
在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***
Linux防火墙iptables学习笔记(三)iptables命令详解和举例
cuizhu0832的博客
12-02 820
网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能有所帮助。 网管员的安全意识要比空喊Linux安全重要得多。 iptables -F iptables -X iptables -F -t m...
iptables INPUT设置
热门推荐
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
iptables深度总结--基础篇_iptables input output forward(1)
04-03 1778
iprange扩展 指明连续的(但一般不是整个网络)ip地址范围–src-range from[-to] 源IP地址范围–dst-range from[-to] 目标IP地址范围示例: iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --srcrange 172.16.1.5-172.16.1.10 -j DROPicmp协议在网络网络层没有端口(curl 就用不了了,因为curl走的时候tcp协议)
《Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables是Linux系统中用于配置和管理防火墙规则的工具。在本次提供的rpm压缩包文件中,包含了iptables及其依赖的rpm安装包。该压缩包的文件名为"iptables-1.4.21-35.el7.x64-86.rpm.tar.gz",解压后会得到一系列rpm...
精选资源
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz 是一个包含多种rpm包的压缩文件,用于在Linux系统的RPM包管理系统上安装iptables开发环境所需的文件。iptables是一个用于配置Linux内核防火墙的命令行工具,广泛...
iptables-services-1.4.21-35.el7.x64-86.rpm.tar.gz
最新发布
01-26
iptables是一种在Linux系统中广泛使用的用于配置和控制防火墙规则的工具,它工作在内核空间的netfilter模块上,是许多Linux发行版中默认的防火墙管理器。iptables-services-1.4.21-35.el7.x86_64.rpm是iptables服务...
精选资源
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables深度总结--基础篇_iptables input output forward(2)
m0_63102527的博客
04-07 868
string pattern 要检测的字符串模式–hex-string pattern要检测字符串模式,16进制格式 示例: iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string - -algo bm --string “google" -j REJECT6. time扩展 根据将报文到达的时间与指定的时间范围进行匹配–datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期。
iptables防火墙----filter表的学习-INPUT
weixin_69899223的博客
06-13 2637
iptables防火墙----filter表的学习-INPUT
iptables INPUT使用实例说明
u013011267的专栏
06-29 1147
这篇文章写很好,主要用于网络与ip的访问。 https://www.cnblogs.com/cangqinglang/p/12199777.html 额外补充: iptables只是一些过滤规则而已,并不是将端口 kill 掉,相当在程序打开的端口 和 客户端(也可能是本机)连接之间增加了一个过滤器(防火墙),符合规则的就通过,不符合的就关闭 全局DROP规则 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DR
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1637
iptables命令的总结
iptables基本命令
weixin_45281254的博客
07-22 1696
链是规则的集合,用于确定数据包在系统中的处理路径。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn。规则是定义在链中的指令,用于决定数据包的处理方式。注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。链名用于确定规则所属的链(数据包在系统中的处理路径,如 INPUT、OUTPUT 和 FORWARD);:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG):指定数据包的协议类型,如 TCP、UDP、ICMP 等。
Iptables
ly的博客
12-06 2308
一,iptables的原理:当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables -P INPUT DROP后网络不通
qq_32594061的博客
02-28 4497
问题:由于端口不能从外网进行访问,就执行了一个iptables -F的命令,然后发现所有的端口都开了,然后就执行了一个iptables -P INPUT DROP命令,然后就断开连接了。 原因:拒绝(DROP)INPUT方向所有请求。服务器本身网络请求也会被拒绝 处理:规则取消 iptables -P INPUT ACCEPT ...
iptables命令
qq_33868316的博客
02-03 210
iptables命令
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值