Linux防火墙规则-Iptables

最新推荐文章于 2025-04-11 12:00:00 发布
最新推荐文章于 2025-04-11 12:00:00 发布
阅读量980 收藏
点赞数
分类专栏: 每日笔记
原文链接:https://www.toutiao.com/i6713425859291644424/?tt_from=weixin&utm_campaign=client_share&wxshare_count=1&timestamp=1575538570&app=news_article&utm_source=weixin&utm_medium=toutiao_android&req_id=2019120517361001002607720101011C1B&group_id=671342585929164442
版权

Iptables规则

iptables防火墙

一、防火墙的功能

1、过滤数据包

2、进行地址转换

3、实现QoS功能

4.链接跟踪

二、iptables的结构

1、表(-t)

raw表:做链接跟踪(OUTPUT,PREROUTING)

filter表:实现数据包过滤功能(INPUT,OUTPUT,FORWARD)

nat表:实现地址转换(源地址转换、目标地址转换、端口转换)(PREROUTING,POSTROUTING,OUTPUT) prerouting postrouting

mangle表:给数据做标记,实现QoS功能(INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING)

2、链

INPUT:处理进入防火墙的数据包(目标地址是防火墙)

OUTPUT:处理从防火墙出去的数据包(源地址是防火墙的数据包)

FORWARD:处理由防火墙转发的数据包

PREROUTING:进行目标地址转换(在路由前处理)

POSTROUTING:进行源地址转换(在路由后处理)

iptables的基本语法

# iptables -t 表名 操作命令 链名 匹配规则 -j 跳转处理方法

例:设置服务器拒绝源地址为172.16.0.220进行ping测试

# iptables -t filter -A INPUT -s 172.16.0.220 -p icmp -j DROP

例:设置服务器只允许源地址为172.16.0.220进行ping测试

# iptables -P INPUT DROP

# iptables -A INPUT -s 172.16.0.220 -p icmp -j ACCEPT

# iptables -A INPUT -s 0.0.0.0/0 -p icmp -j DROP

3、iptables的操作命令

-A 添加规则

-D 删除规则

-R 替换规则

-N 新建规则链

-L 列出防火墙规则

-I 插入规则

-F 清空标准规则链

-X 删除自定义链

-Z 计数器清零

-P 设置默认规则

-E 重命名规则链

例:设置允许环回地址127.0.0.1进行所有的数据通信

设置允许172.16.0.254进行ssh链接

设置进入防火墙数据包的默认规则为DROP

在第二条规则的前面插入一条规则,允许进行web访问

# iptables -P INPUT DROP

# iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT

# iptables -A INPUT -s 172.16.0.254 -p tcp --dport 22 -j ACCEPT

# iptables -I INPUT 2 -p tcp --dport 80 -j ACCEPT

4、常见匹配项

-s 指定源地址

-d 指定目标地址

--sport 指定源端口

--dport 指定目标端口

-p 指定协议

-i 指定进入的网卡

-o 指定出去的网卡

5、跳转处理方法

ACCEPT 允许通过

DROP 丢弃数据包

REJECT 退回数据包

SNAT 源地址转换

DNAT 目标地址转换

MASQUERADE 自动匹配地址

REDIRECT 端口重定向

例:设置服务器拒绝从接口eth0、源地址为172.16.0.220进行web连接

# iptables -A INPUT -i eth0 -s 172.16.0.220 -p tcp --dport 80 -j DROP

6、保存防火墙设置

# service iptables save \\将防火墙规则保存到/etc/sysconfig/iptables

# iptables-save > /iptables/server \\保存防火墙到指定的文件

# iptables-restore < /iptables/server \\从指定的文件中恢复防火墙

练习:设置服务器防火墙只允许172.16.0.0/16的地址段进行ping测试,ftp连接,ssh连接,所有其它的访问全部拒绝

# iptables -F

# iptables -Z

# iptables -A INPUT -s 127.0.0.1 -j ACCEPT

# iptables -A INPUT -s 172.16.0.0/16 -p icmp -j ACCEPT

# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 20:22 -j ACCEPT 或者

# iptables -A INPUT -s 172.16.0.0/16 -p tcp -m multiport --dport 20,21,22 -j ACCEPT

# iptables -P INPUT DROP

练习:设置服务器的防火墙,要求满足如下要求

(1)、允许任何地址进行web访问

# iptables -t filter -A INPUT 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT

(2)、只允许从172.16.0.220进行ssh连接

# iptables -t filter -A INPUT 172.16.0.220 -p tcp --dport 22 -j ACCEPT

(3)、允许从172.16.0.0/16进行ping连通性测试

#iptables -t filter -A INPUT 172.16.0.0/16 -p icmp -j ACCEPT

(4)、允许本机环回地址进行通信

#iptables -t filter -A INPUT 127.0.0.1 -j ACCEPT

(5)、拒绝其它任何地址访问

#iptables -t filter -A INPUT 0.0.0.0/0 -j DROP

7、iptables扩展

(1)多端口扩展

-m multiport --dport 23,25,80

(2)状态扩展

NEW,ESTABLISHED,INVALID,RELATED

-m state --state NEW

(3)多地址匹配

-m iprange --src-range 172.16.0.100-172.16.0.200

-m iprange --dst-range 172.16.0.100-172.16.0.200

练习:设置你的服务器拒绝10.0.0.x-->10.0.0.y之间的地址进行ping,x和y的差值在10之间

(4)tcp标记扩展

--tcp-flags syn,ack,fin syn

(5)时间扩展

--timestart 08:30:00

--timestop 17:30:00

--datestart 2015/06/01

--datestop 2015/06/30

--monthdays 1,20

--weekdays 1,2,3,4,5

(6)字符匹配扩展

-m string

-m string --algo kmp --string "sex" -j DROP

(7)limit限制扩展

-m limit --limit 5/s --limit-burst 8

8、nat表实现地址转换

# iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.1.201

# iptables -t nat -A POSTROUTING -o eth1 -s 172.16.0.0/16 -j MASQUERADE

# iptables -t nat -A PREROUTING -s 172.16.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -t nat -A PREROUTING -d 10.0.10.10 -p tcp --dport 80 -j DNAT 192.168.10.100

/proc/net/nf_conntrack 连接跟踪表

9、raw表控制连接跟踪

# iptables -t raw -A OUTPUT -p tcp --sport 80 -j NOTRACK

# iptables -t raw -A PREROUTING -m tcp --dport 80 -j NOTRACK

# iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED,UNTRACKED -j ACCEPT

10、使用mangle表给数据包加标记(实现策略路由)

# iptables -t mangle -A FORWARD -m iprange --src-range 192.168.10.1-192.168.10.100 -p tcp -j MARK --set-mark 10

# ip rule add from all fwmark 10 table 10

# ip route add default via 10.0.0.10 dev eth0 table 10

# iptables -t mangle -A FORWARD -m iprange --src-range 192.168.10.101-192.168.10.200 -p tcp -j MARK --set-mark 20

# ip rule add from all fwmark 20 table 20

# ip route add default via 10.0.10.10 dev eth0 table 20

实验:

(1)使用一台机器做服务器,包括web服务和ftp服务

(2)要求这台服务器能够正常上网

(3)但是对访问本机的web服务和ftp服务不进行连接跟踪

(4)允许 环回地址进行网络测试

(5)要求能进行ping测试和ssh连接,除此以外拒绝所有其它访问

# service httpd start

# service vsftpd start

# iptables -P INPUT DROP

# iptables -A INPUT -s 127.0.0.1 -j ACCEPT

# iptables -A INPUT -p icmp -j ACCEPT

# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# iptables -t raw -A PREROUTING -p tcp -m multiport --dport 21,80 -j NOTRACK

# iptables -t raw -A OUTPUT -p tcp -m multiport --sport 21,80 -j NOTRACK

# iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED,UNTRACKED -j ACCEPT

带你学习Linux防火墙规则-Iptables

 

带你学习Linux防火墙规则-Iptables

Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-21 3144
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
防火墙技术-iptables
m0_51586984的博客
03-19 1090
线路1:网络1进入,网络1出去;线路2:网络1进入,网络2出去;线路3:网络1转发,网络2转发白名单:只有哪些人可以访问;黑名单:只有哪些人不能访问。iptables有四表五链流入 PREROUTING---> INPUT流出 OUTPUT ---> POSTROUTING转发 PREROUTING ---> FORWARD ---> POSTROUTING优先级次序:Raw(跟踪)>mangle(标记)>nat(修改)>fliter(过滤)规则链之间的顺序。
iptables
wzt888的博客
06-14 5715
systemctl stop firewalld systemctl start iptables.service systemctl enable iptables.service 1.三表五链 iptables -t filter -nL #查看filter表,与iptables -nL看到的效果相同 //图片 iptables -t nat -nL #查...
iptables 全面解析与实战指南
最新发布
漫谈网络
04-11 772
通过系统学习iptables,您可构建灵活高效的网络管控方案,应对企业级安全与性能挑战!在协议栈关键节点拦截数据包,iptables 通过规则定义数据包的处理逻辑。协作,实现网络数据包的过滤、网络地址转换(NAT)、流量控制等功能。:内网(192.168.1.0/24)通过网关访问互联网。:优先处理VoIP流量(UDP 5060-5080端口)。:允许SSH、HTTP/HTTPS,拒绝其他入站流量。:限制单个IP对SSH端口的连接频率(每秒最多5次)。是内核级的框架,通过。
iptables学习笔记
爱折腾的技术人
08-14 911
iptables由上而下,由Tables,Chains,Rules组成。
iptables命令详解和举例(完整版)
热门推荐
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables中对TCP,UDP,ICMP非常不错的阐述
爱.NET
01-29 543
数据包在用户空间的状态 就象前面说的,包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里,只有4种 状态:NEW,ESTABLISHED,RELATED和INVALID。它们主要是和状态匹配一起使用。下面就简要地介绍以下这几种状态: NEW说明这个包是我们看到的第一个包。意思就是,这是conntrack模块看到的某个连接第一个包,它即将被匹配了。比如,我们看到一个S...
Linux防火墙-Netfilter和iptables
flytalei的博客
07-11 772
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
防火墙--iptables
H_YANG__的博客
07-17 579
iptables
Linux防火墙--IPtables配置策略思路
「 虚幻私塾」
01-12 551
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475阅读目录 一、防火墙简介 二、IPtables介绍 三、iptables包过滤流程 iptables工作流程 四、iptables的4表5链作用关系及工作原理 1.tables四表的作用 2.chains链的作用 五、iptables安装 1.关闭selinux
linux防暴力白名单怎么添加,Linux防火墙--iptables--白名单配置
weixin_28879085的博客
05-06 759
1.服务器22端口和1521端口开通给指定IP[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0...
iptables 源码
06-05
iptables 协议栈
Linuxiptables防火墙配置
asdfg___xiaobai的博客
11-02 8054
1. NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包 2. ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进 入该状态
【转】linux防火墙配置
zj19880814的专栏
05-19 220
http://cnzhx.net/blog/centos-redhat-iptables-firewall-configuration/   CentOS / Redhat 上的 Iptables 防火墙配置简介 发表于 2012-08-29 作者 Haoxian Zeng 更新于 2013-04-13 浏览 2,146 次 2 在 CentOS / RHEL / Fedora...
LinuxIPTABLES配置详解
weixin_33938733的博客
09-10 259
我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)targe...
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4250
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
iptables常用的一些规则
linuxkai
11-02 1297
#入站规则:ESTABLISHED,RELATED状态允许通过 #ESTABLISHED:已经建立的连接 #RELATED:正在启动新连接,本机主动建立的连接 -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT #INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消
IPTABLES中文MAN
NETOCOOL的专栏
12-13 2562
总览用iptables -ADC 来指定链的规则-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用i
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值