iptables的学习和使用(慕课学习笔记)

最新推荐文章于 2025-05-26 17:31:19 发布
最新推荐文章于 2025-05-26 17:31:19 发布
阅读量608 收藏
点赞数
分类专栏: linux 文章标签: iptables

常见于Linux系统下的应用层防火墙工具

Netfilter

Netfilter 是 Linux操作系统核心层内部的一个数据包处理模块
Hook point 是数据包仔Netfilter中的挂载点(PRE_ROUTING , INPUT , OUTPUT , FORWARD , POST_ROUTING)

iptables 规则组成
组成部分:4张表 + 5条链(Hook point) + 规则
4张表 : filter , nat , mangle , raw
5条链 : PRE_ROUTING , INPUT , OUTPUT , FORWARD , POST_ROUTING

  • Mangle表 :修改数据包,改变包头中内容(TTL,TOS,MARK)
  • Raw表 :数据包状态跟踪
  • filter表:访问控制、规则匹配
  • nat表:地址转发
    数据包在规则表、链匹配流程
    iptables规则组成
    iptables规则组成
  • -t filter/nat 对表
  • -A 在后边追加一个规则
  • -D 删除
  • -L 显示规则 ,与 -n 连用,隐藏不相关的规则
  • -F 清理现有规则
  • -P 设置默认的规则
  • -I 在原有规则基础上插入规则变成第一条规则
  • -p tcp 显示协议
  • -s 发起源
  • -d 目标地址
  • -sport 发起源端口
  • -dport 目标端口
  • -dports 端口段
  • -m tcp 端口补充
iptables -L
iptables -F
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT 
nmap -sS -p 0-1000 10.10.163.233	//扫描0-1000的端口
iptables -nL
iptables -D INPUT -p tcp --dport 80 -j ACCEPT	//删除规则
iptables -I INPUT -p tcp --dport 80 -j REJECT 	//不允许访问80端口

可能存在的问题

  • 本机无法访问本机
  • 本机无法访问外机

解决方法

iptables -I INPUT -i lo -j ACCEPT	//允许本地访问
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT		//允许访问外网
iptables -D INPUT tcp --dport 80 -j ACCEPT	//清除规则
iptables -I INPUT tcp -s 10.10.188.233 --dport 80 -j ACCEPT	//只允许特定的IP访问

ftp模式下的规则
FTP主动模式
FTP被动模式

FTP主动模式下的iptables的设置

  • FTP连接的默认模式是被动模式
  • vsftpd服务支持主动模式需要注意配置选项
	port_enabled=yes
	connect_from_port_20=yes
  • iptables需要开启21端口的访问权限
iptables -F		//清理
iptables -I INPUT -p tcp -dport 21 -j ACCEPT

FTP被动模式下的iptables的设置

  • 为vsftpd指定数据端口,并且通过iptables开放相应需要传输的端口段

    $ iptables -I INPUT -p tcp --dport 21 -j ACCEPT
$ vim /etc/vsftpd/vsftpd.conf
pasv_min_port=50000
pasv_max_port=60000
$ iptables -I INPUT -p tcp --dport 50000:60000 -j ACCEPT

  • 使用连接追踪模块

    $ iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ iptables -I INPUT -p tcp --dport 21 -j ACCEPT
$ modprobe nf_conntrack_ftp		//临时
$ vim /etc/sysconfig-iptables-config	//开机自动加载
IPTEBLES_MODULES="nf_conntrack_ftp"

公司场景模拟

一、员工在公司内部(10.10.155.0/24,10.10.188.0/24)能访问服务器上的任何服务
二、当员工出差上海,通过VPN连接到公司,外网=== 拨号到= =》内网FTP,SAMBA,NFS,SSH
三、公司有个门户网站需要允许公网访问

常见的允许外网访问的服务

网站www		http		80/tcp
			https		443/tcp
邮件mail		smtp		25/tcp
			smtps		465/tcp
			pop3		110/tcp
			pop3s		995/tcp
			imap		143/tcp

常见的不允许外网访问的服务

文件服务器:NFS		123/udp
		  SAMBA		137,138,139/tcp		445/tcp
		  FTP		20/tcp,21/tcp
远程管理:  SSH		22/tcp
数据库:	  MYSQL		3306/tcp
		  ORACLE	1521/tcp

实现:

iptables -F
iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.10.155.0/24 -j ACCEPT
iptebles -A INPUT -s 10.10.188.0/24 -j ACCEPT
iptables -A INPUT -s 10.10.140.0/24 -j ACCEPT	//本机网段

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT	//VPN端口1723
iptables -I INPUT -p icmp -j ACCEPT
iptables -A INPUT -j REJECT		

保存方法1.
/etc/init.d/iptables save		//保存规则备份
保存方法2.
$ history		//拷贝历史
$ vim /opt/iptables_ssh.sh	//写成shell文件
#!/bin/sh
...	//拷贝历史
$ /bin/sh /opt/iptables_ssh.sh

SANT规则设置
Iptables防火墙nat表规则配置
数据包流程
SNAT场景模拟

//10.10.188.173机器
1.配置好80端口

//10.10.188.232机器
$ vim /etc/sysctl.conf
net.ipv4.ip_forward=1
$ sysctl -p
$ iptables -t -nat -A POSTRPUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232		//转发设置

//10.10.177.233机器
curl 	http://10.10.188.173/hello/		//接通测试

cat /etc/sysconfig/network
route add 0.0.0.0 gw 10.10.177.232

DNAT场景模拟
DNAT场景模拟

//10.10.188.173机器
curl	http://10.10.188.232/		//连通测试
curl	http://10.10.188.232/test.txt

//10.10.188.232机器
iptables -F
iptables -t nat -A PREROUTING -d 10.10.188.232	-p tcp --dport 80 -j DNAT --to 10.10.177.233:80
iptables -t nat -L		//查看策略

//10.10.177.233机器
ping 10.10.177.232	//能连通
netstat	-luntp|grep	80		//80端口开放
curl http://10.10.177.233/test.txt	//能够访问

利用iptables防CC攻击
防CC攻击

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT

防CC攻击
模拟场景

//10.10.188.232机器
ping 10.10.188.233	//测试

//10.10.188.233机器
iptables -A INPUT -p icmp -m limit --limit 1/m	--limit-burst 10 -j ACCEPT	//允许10个内运行,超出则每分钟一个
iptables -A INPUT -p icmp -j DROP

命令实例脚本

//FTP内核模块
modprobe ipt_MASQUERADE			
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
//清理规则
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X

iptables -P INPUT DROP		//默认规则设置
//开发本地访问
ipbtales -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -m multiport --dports 110,80,25,-j ACCEPT		//只允许访问80端口,POP3端口110,smtp端口25
iptables -A INPUT -p tcp -s 10.10.0.0/24 --dport 139 -j ACCEPT		//允许内网10.10.0.0网段的samba协议端口139访问

iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT		//允许通过eth1网卡访问udp  DNS端口53

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT		//允许vpn端口1723访问
iptables -A INPUT -p gre -j ACCEPT		//允许虚拟隧道协议访问

iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT		//只允许ip 192.186.0.0访问
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP	//只允许ppp0访问,限制15个链接

iptables -A INPUT -p icmp -j DROP	//封闭访问

iptables -t nat -A POSTROUTING -o ppp0 -s 10.10.0.0/24 -j MASQUERADE	//原地址的转发为ppp0出口--SNAT

//syn攻击限制
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-brust 6 -j RETURN 
iptables -A syn-flood -j REJECT

iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 10.10.0.0/24 -m mulitiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 10.10.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p icmp -s 10.10.0.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

//规定时间段内屏蔽相关关键词
iptables -I FORWARD -p udp --dport 53 -m string --string "tencent" -m time --timestart 8:15 --timestop 12:30  --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP	//上班期间禁止聊QQ
iptables -I FORWARD -p udp --dport 53  -m string --string "TENCENT" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP

iptables -I FORWARD -s 10.10.0.0/24  -m string --string "qq.com" -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j DROP

iptables -I FORWARD -s 10.10.0.0/24 -m string --string "ay2000.net" -j DROP
iptables -I FORWARD -d 10.10.0.0/24 -m string --string "eroticism" -j DROP		//分析数据包,屏蔽相关关键词访问

sysctl -w net.ipv4.ip_forward=1	>>	/dev/null		//数据包转发开关
sysctl -w net.ipv4.tcp_syncookies=1 >> /dev/null	//采用cookie防止syn攻击

iptables -I INPUT -s 10.10.0.50 -j ACCEPT	//允许本机访问所有机器
iptables -I FORWARD -S 10.10.0.50 -J ACCEPT

慕课课程

iptables 学习
weixin_40539956的博客
04-16 1568
为了更好地组织管理规则,你可以创建自定义链。例如,创建一个专门用于日志记录的链:这里创建了一个名为LOGGING的自定义链,所有输入链的数据包都会被转发到这个自定义链。在LOGGING链中,我们限制了日志记录的频率,并在日志消息中添加了前缀,最后丢弃了这些数据包。组织性:自定义链可以帮助您将规则按功能、服务或任何其他逻辑方式分组。易于管理:更新、删除或临时禁用一组规则变得更加简单。性能:通过将检查过程分解到不同的链中,可以提高处理效率,尤其是对于复杂的规则集合。
信息过载时代的终极导航:深入探索 GitHub 上的 Awesome Lists 宝库 (不仅仅是列表,更是知识宇宙的入口!)
wylee的博客
04-29 537
当你想学习一门新的编程语言、寻找一个合适的库、了解某个领域的最佳实践,或者仅仅是发现一些有趣的项目时,搜索引擎往往会返回成千上万的结果,质量良莠不齐,让人眼花缭乱,无所适从。通过浏览列表,你可能会发现一个完美解决你当前问题的库,或者一个能极大提升你工作效率的工具,而这些可能是你通过常规搜索难以发现的。定期浏览你关注领域的 Awesome List,可以帮助你了解最新的技术动态、流行的框架变迁、新兴的工具最佳实践。的集合,涵盖了你能想象到的几乎所有与技术、编程、开发相关的领域,甚至延伸到了许多非技术领域。
iptables学习
Suger999的博客
03-20 1340
iptables是 Linux 系统下的一个用户空间工具,用于配置内核中的网络包过滤规则(Netfilter 框架)。它是 Linux 防火墙的核心工具,可实现数据包过滤、网络地址转换(NAT)、端口转发等功能。以下是iptables的详细解析及常见规则示例。:不同表支持的链不同。例如,nat表处理PREROUTING,而filter表处理INPUTFORWARDOUTPUT。filter-t nat-A-I-D-LACCEPTDROPREJECTLOG-A <链名>-L-F-p <协议>
Linux防火墙iptables学习指南!
最新发布
tersky的专栏
05-26 888
摘要: IPTables是Linux系统中强大的防火墙工具,通过表(Filter、NAT、Mangle等)、链(INPUT、OUTPUT等)规则实现网络流量控制。其核心功能包括允许/阻止端口/IP、修改数据包(如NAT转发)、防御攻击(如CC限制)等。基础操作包括规则添加(-A)、删除(-D)、保存(iptables-save),高级技巧如最小权限原则、端口转发、日志监控需结合实际场景。注意:操作前备份规则,避免误封SSH等关键服务。Debian等系统需使用iptables-persistent持久化规则
关于Nodejs项目服务器部署
m0_64068722的博客
11-17 773
根据程《Nodejs最后一公里》记的笔记,主要了解项目服务器部署流程。 1.项目准备 1.购买自己的域名 2.购买自己的服务器 3.域名备案 4.配置服务器应用环境(用户的权限、无密码的登陆、Nodejs环境、包组件的安装、端口的转发、SSH证书生成配置、Nginx的安装配置、防火墙、数据库、自动备份的机制等等) 5.安装配置数据库(有本地数据库云数据库)(数据库涉及到数据库的角色、数据库的读写权限、自动备份的机制) 6.项目远程部署分布与更新 2.远程登陆服务器 选购域名服务器.
做Nodejs项目服务器部署
m0_64068722的博客
12-02 612
根据程《Nodejs最后一公里》记的笔记,主要了解项目服务器部署流程。 1.项目准备 1.购买自己的域名 2.购买自己的服务器 3.域名备案 4.配置服务器应用环境(用户的权限、无密码的登陆、Nodejs环境、包组件的安装、端口的转发、SSH证书生成配置、Nginx的安装配置、防火墙、数据库、自动备份的机制等等) 5.安装配置数据库(有本地数据库云数据库)(数据库涉及到数据库的角色、数据库的读写权限、自动备份的机制) 6.项目远程部署分布与更新 2.远程登陆服务器 选购域名服务器.
2018年全国信息安全竞赛-安徽省大数据与人工智能应用类竞赛(本科组)--心得总结
https://wangpengcheng0616.github.io/
11-12 5279
2018年全国信息安全竞赛-安徽省大数据与人工智能应用类竞赛(本科组)--心得总结 距离比赛结束近一个月了,比赛定于10月13-14日在安徽工业经济职业技术学院举行。最终取得了14名的成绩获得了二等奖。想想有必要写下这次比赛的一些心得体会。以前听到大数据觉得比较虚无缥缈,但却对其一直有一份好奇,可能正是因为这种好奇,让我有幸的参加了这次大数据竞赛,最终确定组了团队代表学校参赛。真正准备的时间准确...
Nodejs项目服务器部署
热门推荐
yangyang的专栏
11-03 2万+
根据程《Nodejs最后一公里》记的笔记 1.项目准备 1.购买自己的域名 2.购买自己的服务器 3.域名备案 4.配置服务器应用环境(用户的权限、无密码的登陆、Nodejs环境、包组件的安装、端口的转发、SSH证书生成配置、Nginx的安装配置、防火墙、数据库、自动备份的机制等等) 5.安装配置数据库(有本地数据库云数据库)(数据库涉及到数据库的角色、数据库的读写权限、自动备...
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
网络知识学习iptables学习
weixin_39666581的博客
01-12 330
前言: 学习iptables,需要知道它的工作原理,我们可以把它归纳成“三表五链”,其中“三表”分别为nat表、filter表以及raw表,“五链”为PREROUTING、FORWARD、POSTROUTING、INPUT、OUTPUT,至于他们到底怎么配置,有什么作用,请看下文。 特别注意: 对于centOS 7最小化系统而言,并没有自带iptables服务,需要手动安装。 一、iptabl...
iptables学习笔记
qq_42960944的博客
01-13 443
Linux-IP tables 简单介绍 Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架。Netfilter所设置的规则是存放在内核空间中的,而iptables是一个应用层的应用程序,它通过Netfilter放出的接口来对存放在内核空间中的 XXtables(Netfilter的配置表)进行修改。 五链四表 五链 iptables开启后,数据报文从进入服务器到出来会经过5道关卡 **INPUT链:**当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则; *
Linux系统学习笔记精要
以上为Linux学习笔记的核心知识点,对Linux的学习应从基础开始,逐步深入到系统管理、网络配置、软件安装安全维护等领域。通过不断地实践使用Linux系统,加深理解并提高操作技能,能够有效地提升个人在IT行业中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值