防火墙基础及iptables命令

最新推荐文章于 2025-02-18 18:00:34 发布
最新推荐文章于 2025-02-18 18:00:34 发布
阅读量214 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40343772/article/details/94466698
本文详细介绍了iptables和netfilter在Linux系统中的作用机制,包括包过滤、网络地址转换和报文修改等功能,以及如何制定有效的防火墙策略。通过实例展示了iptables的基本用法和高级功能,帮助读者掌握防火墙规则的编写原则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防火墙基础

    包过滤型防火墙是在数据包流入流出 主机/网络 时通过某些事先定义好的规则来匹配数据包的各种信息(如IP,PORT等信息),进而对数据包的流向做出相应的处理动作,根据防火墙工作的位置又分为主机防火墙和网络防火墙。
    在 Linux 2.4/2.6 上的主机防火墙由 iptables、netfilter 两部分组成。netfilter这个框架工作于内核空间,随内核启动而启动,它提供了五个hook function,在数据包必经的几个结点上监控、捕捉、过滤数据包。而对于iptables,它是工作于用户空间的工具(或者称之为服务),负责将用户操作通知给netfilter,netfilter收到这些信息,即时生效。之前提到的数据包必经的数据结点(即五个hook function的作用位置),主要是以下几个:

链名位置
PREROUTING主机数据包的入口,在路由决策(判断目的ip是否为本机)之前
INPUT内核空间进入用户空间的位置
OUTPUT用户空间进入内核空间的位置
FORWARD作转发动作所经过的节点
POSTROUTING主机数据包出口,在路由决策(判断从哪条路径出去)之后

    网络防火墙是建立在在网络出口处,但是对于网内部(如局域网)的不合法行为是没有监测保护能力的,因此在局域网内部也会将主机防火墙开启,有必要时还会使用防火墙将局域网内重要的服务器与客户机隔离开,如下示意图:
在这里插入图片描述
    防火墙也不仅只有包过滤的功能,对于不同功能,其数据包经过的数据链路也不一样。针对于不同功能,它有自己独有的规则,于是把这些功能所定义的规则的组和形式的称之为防火墙的表。

防火墙表功能经由链
filter进行包过滤INPUT、OUTPUT、FORWARD
nat网络地址转换PREROUTING、POSTROUTING、OUTPUT
mangle解析、修改、封装报文PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
raw连接追踪(建议关闭)PREROUTING, OUTPUT

针对在同一链上配置了多种功能,那功能的执行顺序满足以下次序:

raw --> mangle --> nat --> filter


防火墙策略编写原则

    在编写防火墙规则前要明确自己实现何种功能,根据此功能判断数据包流经哪些链,再按需定义防火墙策略。防火墙策略时自上而下逐条读取并匹配的,所以再编写防火墙策略时应该遵循以下规则:

1、同一类别(有交集)的规则,将范围小的放至上面
2、不同类别的规则,可能被匹配中次数较多的策略放上面
3、尽量合并可合并的策略,减小策略条目
4、设置默认策略

    防火墙策略由两部分组成:报文匹配条件、匹配成功后的处理动作。匹配条件又分为基本匹配和扩展匹配,根据报文的特征信息匹配;处理动作有防火墙提供的内建处理动作,也可以使用自定义处理动作。


iptables命令的基本应用

链管理命令:

用法:iptables [-t table] OPTIONS
选项说明:
	-F CHAIN:清空规则链上的所有规则,不指定链表示清空表上的所有规则链
	-N NEW_CHAIN:创建自定义规则链
	-X CHAIN:删除自定义规则链,不指定表示所有
	-Z:将某些规则计数器清零,如pkts等
	-E CHAIN NEW_CHAIN:重命名自定义链,仅限已被引用的自定义链
	-P CHAIN POLICY:设置默认策略,如ACCEPT, DROP, REJECT
注:不使用-t指定表默认为filter表,随后不在说明此特性

例:
# iptables -t mangle -F
# iptables -N NEWCHAIN1
# iptables -E NEWCHAIN1 CHAIN1

规则管理命令:

用法:iptables [-t table] OPTIONS
选项说明:
	-L:列出规则,配合以下选项使用
	    -n:显示ip与端口信息
	    -v:显示更多信息,此外还有-vv,-vvv
	    -x:以字节为单位显示统计数据数值,配合-v使用
	    --line-number:显示规则编号
	-A CHAIN:追加规则至指定链尾部
	-I CHAIN #:插入规则到链上指定位置
	-D CHAIN #|CONDITION:删除规则
	    可指定具体的规则编号,表示删除某条规则
	    也可以按匹配条件删除,表示删除这一类规则
	-R CHAIN #:替换某条规则
	
匹配条件相关选项:
	-s IP|NETADDR:报文中的来源ip或网络
	-d IP|NETADDR:报文中的目的ip或网络
	-p tcp|udp|icmp:ip报文首部定义的协议
	    --dport:目的端口
	    --sport:源端口
	    --tcp-flags LIST1 LIST2:在LIST1给出的标志位中,同属于LIST2的标志位值为1,其余为0,这些标志位有:
	    	SYN, ACK, FIN, RST, PSH, URG
	    对于icmp协议,后跟 --type-icmp # 通过给定数字表示其报文类型(如0:echo-reply,8:echo-request)
	-i INTERFACE:数据报文的流入网络接口,限PREROUTING、INPUT、FORWARD链
	-o INTERFACE:数据报文流出的网络接口,限FORWARD、OUTPUT、POSTROUTING链
注:在选项前可使用 ! 表示对匹配条件取反

处理动作相关选项:
	-j TARGET:指定对前面匹配条件匹配到的数据报文作何处理,处理动作有:
	    ACCEPT: 接受
	    DROP: 丢弃
            REJECT: 拒绝
            RETURN: 返回调用链
            REDIRECT:端口重定向
            LOG: 记录日志
            MARK:做防火墙标记
            DNAT:目标地址转换
            SNAT:源地址转换
            MASQUERADE:地址伪装
            
例:(服务器IP:172.27.100.1,以下操作均针对于filter表INPUT链)
# iptables -L -n --line-number    #显示filter表中的一些规则信息,并显示规则编号
# iptables -A INPUT ! -s 172.27.94/24 -d 172.27.100.1 -p tcp --dport 22 -j DROP
	#除172.27.100网络以外的主机均可连接服务器 tcp/22 号端口
# iptables -I INPUT 1 -s 172.27.200.1 -d 172.27.100.1 -p tcp --dport 22 -j ACCEPT
	#允许172.27.200.1连接主机tcp/22端口,并插入到第一条
# iptables -D INPUT 2	#删除第二条规则

注:更改防火墙规则时请确保更改后当前使用使用的远端主机能够正常与服务器通信。

iptables扩展应用:

用法:通常写在匹配条件的最后部分,使用 -m 选项指定扩展类型,紧接着跟上相关条件
扩展类型:
    multiport:指定多个端口所用,最多15个
    	--dports PORT1,PORT2... :指定目标端口
    	--sports PORT1,PORT2... :指定源端口
    	--ports PORT1,PORT2... :指定端口,不考虑是目标还是源端口
    例:对22,80端口 INPUT 方向放行
    # iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT

    iprange:指明连续的ip
    	--src-range IP1-IP2:源地址范围从IP1到IP2
    	--dst-range IP1-IP2:目标地址范围从IP1到IP2
    例:仅对172.27.0.0至172.27.0.128开放22,80端口
    # iptables -A INPUT -p tcp -m multiport --dports 22,80 -m iprange --src-range 172.27.0.0-172.27.0.128 -j ACCEPT

    string:匹配报文中出现的字符串
    	--algo bm|kmp	指明使用何种字符串匹配算法,必须指定
    	--string 'STRING':指定匹配字符串
    例:对报文中出现video的报文丢弃
    # iptables -I OUTPUT -m string --algo bm --string 'video' -j DROP

    time:根据报文到达的时间范围匹配
    	--datestart YYYY-MM-DDThh:mm:ss:起始时间,例:2019-7-1T00:00::00,年之后(不包括年)时间可省
    	--datestop YYYY-MM-DDThh:mm:ss:结束时间,格式同上
    	--timestart hh:mm:ss:起始时间,没有年月日,例:12:00:00,时之后(不包括时)的时间值可省
    	--timestop hh:mm:ss:结束时间,格式同上
    	--monthdays #,#... :指定在哪些月份
    	--weekdays #,#... :指定在每周的周几
    例:每天凌晨4点至5点拒绝一切访问(INPUT)方向
    # iptables -I INPUT 1 -m tim --timstart 4:00:00 --timestop 5:00:00 -j REJECT

    connlimit:每个客户端并发连接数量匹配
    	--connlimit-above #:连接数量大于#
    	--connlimit-upto #:连接数量小于#
    例:对并发连接大于10的请求进行拒绝
    # iptables -I INPUT 1 -m connlimit --connlimit-above 10 -j REJECT

    limit:收发报文的速率控制
    	--limit-burst #:空闲后的最大并发速率
    	--limit #/second|minute|hour|day:限制收发速率每单位时间#个
    例:控制icmp接收速率每2秒一次,最大并发5个
    # iptables -I INPUT 1 -p icmp --icmp-type 8 -m --limit-burst 5 --limit 30/minute -j ACCEPT

    state:根据连接追踪状态进行匹配
    	--state STATE1,STATE2... :指明哪些状态,常用状态有:
    	    NEW:新发出的请求
 	    ESTABLISHED:已建立连接状态,在NEW状态之后
	    RELATED:相关的连接,如FTP协议的数据连接要以此来标识与命令连接关联,对其放行
	    INVALIED:无法识别的连接
	例:对已建立连接的TCP 22,80端口放行
	# iptables -I INPUT -p tcp -m multiport --dports 22,80 -m state --state ESTABLISHED -j ACCEPT

其他命令:

# iptables-save >/FILE_TO_SAVE:将当前防火墙规则备份至某文件
# iptables-restore </FILE_TO_READ:从某备份文件读取规则并应用

示例

1、仅开放服务器的FTP,SSH,HTTP服务
2、仅允许172.27网段的客户访问主机
3、不允许服务器利用上述服务端口主动连接其他主机
4、尽可能优化规则

# iptables -F	#清空规则表
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    #允许已建立的链接请求
    
# iptables -A INPUT -s 172.27.0.0/16 -d 172.27.100.1 -p tcp -m multiport --dports 21,22,80 -m state --state NEW -j ACCEPT
    #允许172.27网段的主机通过tcp 21 22 80端口与服务器进行首次连接
    
# iptables -A OUTPUT -d 172.27.0.0/16 -p tcp -m state --state ESTABLISHED -j ACCEPT
    #出口方向仅允许已建立的(22,80端口)链接通过
    #说明:虽然出口方向限制仅局域网内已建立的链接可通过,
    #     但是对于定义规则之前就已建立的局域网其他非法端口的链接是没有过滤能力的
    
# modprobe nf_conntrack_ftp
    #装载FTP数据连接通过链接追踪方式检测,允许访问服务器所需要的模块
    
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
    #设置默认策略

补充内容:tcp_wrapper

    其实除了防火墙能进行访问控制,对于使用tcp_wrapper的应用程序,能在应用层对访问进行访问控制(调用了 libwrap 动态库的程序均可认为使用了tcp_wrapper,使用ldd命令查看程序调用了哪些库)。
    它将允许访问与不允许访问的服务分别写入两个文件中,依次匹配这两个文件定义的内容:

/etc/hosts.allow
/etc/hosts.deny

    如未特殊说明,hosts.allow文件定义的服务程序对匹配到的主机默认为允许,hosts.deny文件中定义的服务程序对匹配到的主机默认为拒绝,定义格式如下:

DAEMON_LIST: CLIENT_LIST [:OPTION]
字段解释:
    DAEMON_LIST:服务对应的应用程序名称
    CLIENT_LIST:客户端,可以是具体IP地址,也可以是网络地址,网络地址格式仅支持如下两种:
    	172.27.
    	172.27.0.0/255.255.0.0
    	注:ALL表示所有主机。此外,还有一个特殊字段:EXCEPT,后面跟上IP地址,表示匹配前面的IP(此时前面通常是网络或者ALL)并且不包括IP,例:
    	vsftpd: 172.27. EXCEPT 172.27.100.1	#表示匹配172.27网段的主机,但不包括172.27.100.1这台主机,此台主机的允许与否则取决于随后的匹配条目或者hosts.deny文件
    OPTION:常用选项有:
	allow:允许前面匹配得到的主机访问某服务,用于 hosts.deny文件
	deny:拒绝前面匹配得到的主机访问某服务,用于hosts.allow文件
	spawn:额外调用某应用程序,如常调用echo进行日志输出
	例:/etc/hosts.allow
	    vsftpd: 172.27. :spawn /bin/echo `date` %c login %s, %d >>/var/log/vsftpd.login
	    注:%c:客户端地址;%s:服务端地址;%d:应用程序名
Linux实验:iptables防火墙配置
Derrick
07-04 2865
Linux实验:iptables防火墙配置 一、实验的目的 (一)熟悉本机防火墙的配置。 (二) 熟悉包过滤防火墙的测试。 二、实验环境 Linux主机,ip:192.168.80.3 Windows客户端,ip:192.168.80.1 三、实验过程(补充实验细节,记录和整理输出,必要时评述) (一) Linux主机开放FTP、HTTP服务 service vsftpd start #serv...
防火墙firewalld~常用命令
sonia_liss的博客
10-09 1348
1、开放端口 firewall-cmd --zone=public --add-port=5672/tcp --permanent # 开放5672端口 firewall-cmd --zone=public --remove-port=5672/tcp --permanent #关闭5672端口 firewall-cmd --reload # 配置立即生效 2、查看防火墙所有开放的端口 firewall-cmd --zone=public --list-ports 3.、关闭防火墙 如果要开放的端
防火墙常用基础命令
weixin_34366546的博客
10-04 524
DDos攻击:http://www.freebuf.com/articles/network/183182.html#comment-255907 ensp常用命令 system-viem #启动,进入用户视图 <Huawei>sysname NY #主机命名 dis int br #查看接口...
Cento OS7防火墙设置之基础命令
bewithme的专栏
04-03 530
Cento OS7中默认使用了firewalld 作为防火墙而不是iptables   用mac os的终端工具SSH到目标服务器   查看防火墙的运行状态 [jerry@172 ~]$ firewall-cmd --state running  停止防火墙,需要输入密码 [jerry@172 ~]$ systemctl stop firewalld.service  开启访...
linux之防火墙命令firewall、iptable以及端口号等详解诠释(全)
码农研究僧的博客
09-09 1万+
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
网络基础iptables防火墙技术详解及应用
最新发布
06-06
使用场景及目标:①学习iptables命令及其在网络管理中的应用;②掌握NAT原理及其配置方法;③了解iptables防火墙中的应用,实现网络安全防护;④通过配置文件范例,熟悉iptables的实际部署和优化。 其他说明:本...
Linux—iptables防火墙
A6985HG的博客
07-30 2276
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
防火墙Firewalld(iptables
2201_75444658的博客
08-01 935
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
iptables防火墙详解
Linux运维老纪的博客
07-28 1006
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
iptables防火墙配置及Netfilter框架
weixin_48579910的博客
07-13 1482
iptables是一个功能强大且灵活的防火墙工具,通过定义和管理规则,可以有效地控制和保护网络流量。了解并掌握iptables的基本概念、命令和配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链和规则的组合,实现复杂的网络过滤、地址转换和数据包修改功能。
linux中iptables配置文件及命令详解详解
weixin_30690833的博客
09-14 2261
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
防火墙操作命令
qq_41667748的博客
05-04 8798
Linux下的防火墙命令
网络工程师指南:防火墙配置与管理命令大全,零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
02-18 1658
Syslog:用于集中日志管理。ELK Stack:Elasticsearch、Logstash、Kibana,用于日志分析。
iptables 防火墙(下)
不能将运气当成战略!
07-20 151
在Internet环境中,通过网关服务器中正确设置DNAT策略可实现企业所注册的网站或域名必须对应公网IP地址。源地址转换,Source Network Address Translation修改数据包的源地址。项目要求:三台主机,要求其中部署Nginx(iptables01),另外一台可以查看到网页内容。-m iprange --src-range IP范围。-m mac --mac-source MAC地址。局域网主机共享单个公网IP地址接入Internet。注:主机2与主机3均无网关。
关于iptables的简单用法,不涉及forward
2404_85855917的博客
11-21 440
Linux的firewalld可以说是基于iptables进行本机与外部的网络限制,我们关闭firewalld时,想要限制某些端口的外部访问,可以通过iptables来做策略限制。#追加允许外部192.168.254.5访问本地3306端口,此时I表示优先级提到最高(大写i)#添加OUTPUT策略tcp协议,本机3306端口访问外部的包被丢弃或者接受或者拒绝。#查看iptables策略,编号越小,即位置越靠上优先级越高。#dport表示目标端口,sport表示源端口。
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 747
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
iptables命令详解--包括高级用法
热门推荐
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...
Firewalld 防火墙常用命令汇总
m0_63761361的博客
03-05 4885
目录 一、firewalld概述 二、firewalld与iptables的区别 三、firewalld区域的概念 四、firewalld防火墙预定义了9个区域 五、Firewalld数据处理流程 六、Firewalld防火墙的配置方法 1、运行时配置 2、永久配置 七、firewalld防火墙的配置方法 八、常用的 firewall-cmd 命令选项 (一)、常用命令 (二)、区域管理 (三)、服务管理 (四)、端口管理 一、firewalld概述 firewalld防
使用iptables OUTPUT规则实现负载均衡
为君歌一曲
01-14 8118
目的:希望本机服务在发出调用请求的时候,可以负载均衡到不同的目的地址。 这个目的看似有些诡异,一般的负载均衡场景都是服务端在收到请求时,在服务端前段的网关上做负载均衡。但是确实存在这样的场景:在微服务治理场景中,没有了全局的负载均衡器,依赖本地代理实现负载均衡算法,如果某个客户端未连接到注册中心,或者其他场景下和注册中心失联,需要手工配置到目的路由,如改下/etc/hosts文件中,加入目的服务...
Iptables基础入门与命令详解
用户可以创建自定义规则,并通过iptables命令动态管理这些规则,例如清空(iptables-F),清除自定义规则(iptables-X),以及查看当前规则(iptables-L)。 命令行示例如iptables–tfilter–AINPUT–ptcp--dport23...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值