iptables

最新推荐文章于 2024-07-22 14:36:34 发布
最新推荐文章于 2024-07-22 14:36:34 发布
阅读量191 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42816196/article/details/82494914

IPTABLES
一、四种功能,每个功能用一张表来表示
1、filter: 防火墙
2、nat: 网络地址转换
3、mangle: 流标标记
4、raw: 状态跟踪
二、五条链
1、INPUT:数据包的目的地是自己
2、OUTPUT:自己向外发,源是自己
3、FORWARD:一块网卡进,另一块出
4、PREROUTING:路由前,DNAT
5、POSTROUTING:路由后,SNAT
三、配置防火墙
1、清空规则
[root@node2 ~]# iptables -F
2、明确允许指定的服务
[root@node2 ~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@node2 ~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
3、设置默认规则是DROP
[root@node2 ~]# iptables -P INPUT DROP

ptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)
2)iptables的5个链(区分大小写):
INPUT链(入站规则)
OUTPUT链(出站规则)
FORWARD链(转发规则)
PREROUTING链(路由前规则)
POSTROUTING链(路由后规则)

//目标操作:
// ACCEPT:允许通过/放行
// DROP:直接丢弃,不给出任何回应
// REJECT:拒绝通过,必要时会给出提示
// LOG:记录日志,然后传给下一条规则

规则修改的规则

iptables的过滤条件

实验案例

1)关闭firewalld服务器

[root@proxy ~]# systemctl stop firewalld.service
[root@proxy ~]# systemctl disable firewalld.service

2)安装iptables-services并启动服务

[root@proxy ~]# yum -y install iptables-services
[root@proxy ~]# systemctl start iptables.service

iptables命令的基本使用方法
1)iptabels语法格式

[root@proxy ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
[root@proxy ~]# iptables -t filter -I INPUT -p icmp -j REJECT
[root@proxy ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT
[root@proxy ~]# iptables -I INPUT -p icmp -j REJECT
//注意事项与规律:
//可以不指定表,默认为filter表
//可以不指定链,默认为对应表的所有链
//如果没有找到匹配条件,则执行防火墙默认规则
//选项/链名/目标操作用大写字母,其余都小写

#

//目标操作:
// ACCEPT:允许通过/放行
// DROP:直接丢弃,不给出任何回应
// REJECT:拒绝通过,必要时会给出提示
// LOG:记录日志,然后传给下一条规则

2)iptables命令的使用案例

创建规则的案例:
[root@proxy ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
//追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机

[root@proxy ~]# iptables -I INPUT -p udp -j ACCEPT
//插入规则至filter表中的INPUT链的开头,允许任何人使用UDP协议访问本机

[root@proxy ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
//插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机

查看iptables防火墙规则

[root@proxy ~]# iptables -nL INPUT //仅查看INPUT链的规则
target prot opt source destination
ACCEPT udp – 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0

[root@proxy ~]# iptables -L INPUT –line-numbers //查看规则,显示行号
num target prot opt source destination
1 ACCEPT udp – anywhere anywhere
2 ACCEPT icmp – anywhere anywhere
3 ACCEPT tcp – anywhere anywhere
删除规则,清空所有规则
[root@proxy ~]# iptables -D INPUT 3
//删除filter表中INPUT链的第3条规则
[root@proxy ~]# iptables -nL INPUT //查看规则,确认是否删除
[root@proxy ~]# iptables -F
//清空filter表中所有链的防火墙规则
[root@proxy ~]# iptables -t nat -F
//清空nat表中所有链的防火墙规则
[root@proxy ~]# iptables -t mangle -F
//清空mangle表中所有链的防火墙规则
[root@proxy ~]# iptables -t raw -F
//清空raw表中所有链的防火墙规则

设置防火墙默认规则

[root@proxy ~]# iptables -t filter -P INPUT DROP //所有数据丢失,不给与任何回复
[root@proxy ~]# iptables -nL
Chain INPUT (policy DROP)
… …

根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙,如图-1所示。
主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。
网络防火墙,主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等。
这里写图片描述

1)主机型防火墙案例

[root@proxy ~]# iptables -I INPUT -p tcp –dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
[root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp –dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -i eth0 -p tcp –dport 80 -j REJECT
[root@proxy ~]# iptables -A INPUT -s 192.168.4.100 -j DROP
//丢弃192.168.4.100发给本机的所有数据包
[root@proxy ~]# iptables -A INPUT -s 192.168.2.0/24 -j DROP
//丢弃192.168.2.0/24网络中所有主机发送给本机的所有数据包
[root@proxy ~]# iptables -A INPUT -s 114.212.33.12 -p tcp –dport 22 -j REJECT
//拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)

步骤二:开启Linux的路由转发功能

1)Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能。
[root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward //关闭路由转发
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
//注意以上操作仅当前有效,计算机重启后无效
[root@proxy ~]# echo ‘net.ipv4.ip_forward=1’ >> /etc/sysctl.conf
//修改/etc/sysctl.conf配置文件,可以实现永久有效规则

网络型防火墙案例

1)网络型防火墙案例

部署如表-3所示的网络拓扑,一定要把proxy主机的路由转发功能打开。

这里写图片描述

添加网关的命令

[root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
[root@client ~]# nmcli connection up eth0
[root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.5
[root@web1 ~]# nmcli connection up eth1

确认不同网络的联通性

[root@client ~]# ping 192.168.2.100
[root@web1 ~]# ping 192.168.4.100

在web1主机上启动http服务

[root@web1 ~]# yum -y install httpd
[root@web1 ~]# echo “test page” > /var/www/html/index.html
[root@web1 ~]# systemctl restart httpd

没有防火墙的情况下client访问web服务

[root@client ~]# curl http://192.168.2.100 //成功

设置proxy主机的防火墙规则,保护防火墙后面的Web服务器

[root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp –dport 80 -j DROP

设置完防火墙规则后,再次使用client客户端访问测试效果

[root@client ~]# curl http://192.168.2.100 //失败

Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
linux iptables 命令简介
whatday的专栏
01-02 2313
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
iptables INPUT设置
热门推荐
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
LINUX 防火墙iptables常用指令
听风闻香的博客
12-12 1357
封单个IP的命令: iptables -I INPUT -s 124.115.0.199 -j DROP 封IP段的命令: iptables -I INPUT -s 124.115.0.0/16 -j DROP 封整个段的命令: iptables -I INPUT -s 194.42.0.0/8 -j DROP 封几个段的命令: iptables -I INPUT -s 61.37.80.0/24...
iptables基本命令
weixin_45281254的博客
07-22 1526
链是规则的集合,用于确定数据包在系统中的处理路径。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn。规则是定义在链中的指令,用于决定数据包的处理方式。注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。链名用于确定规则所属的链(数据包在系统中的处理路径,如 INPUT、OUTPUT 和 FORWARD);:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG):指定数据包的协议类型,如 TCP、UDP、ICMP 等。
Linux iptables常用命令的使用
贾世鑫的博客
03-02 465
语法: iptables (选项) (参数) iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 参数说明: 表名...
《Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables是Linux系统中用于配置和管理防火墙规则的工具。在本次提供的rpm压缩包文件中,包含了iptables及其依赖的rpm安装包。该压缩包的文件名为"iptables-1.4.21-35.el7.x64-86.rpm.tar.gz",解压后会得到一系列rpm...
iptables-services-1.4.21-35.el7.x64-86.rpm.tar.gz
最新发布
01-26
iptables是一种在Linux系统中广泛使用的用于配置和控制防火墙规则的工具,它工作在内核空间的netfilter模块上,是许多Linux发行版中默认的防火墙管理器。iptables-services-1.4.21-35.el7.x86_64.rpm是iptables服务...
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz 是一个包含多种rpm包的压缩文件,用于在Linux系统的RPM包管理系统上安装iptables开发环境所需的文件。iptables是一个用于配置Linux内核防火墙的命令行工具,广泛...
Linux服务器防火墙Iptables命令使用详解
cn_yaojin
01-11 675
原文地址:https://blog.youkuaiyun.com/han156/article/details/78449253   iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用P...
linux防火墙iptables常用操作笔记
2401_83621384的博客
03-18 882
-A 添加规则到链的结尾,最后一条 -I 插入规则到链的开头,第一条。越靠前的规则优先级越高。iptables -I INPUT 2 #指定位置插入规则,插入INPUT链的第二行#禁止10.0.0.0网段连入#取反匹配(不同centos版本!位置有变化)#-p协议 (all, tcp, udp, icmp),默认alliptables -A INPUT -m iprange --src-range 13.32.4.168-13.32.4.176 -j ACCEPT #匹配源IP。
iptables详解
fanzhang1990的专栏
06-23 1075
(2)SNAT 改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。内网到外网的映射。 (3)MASQUERADE 的作用和SNAT完全一样,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的D
Linux防火墙iptables学习笔记(三)iptables命令详解和举例
cuizhu0832的博客
12-02 793
网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能有所帮助。 网管员的安全意识要比空喊Linux安全重要得多。 iptables -F iptables -X iptables -F -t m...
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 748
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
『运维备忘录』之 iptables 防火墙使用指南,直接上干货
m0_60607245的博客
04-06 1478
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
iptables 清空规则
weixin_33720452的博客
06-29 793
为什么80%的码农都做不了架构师?>>> ...
删除 iptables 中的规则
qq_44534541的博客
07-31 3575
其中,[chain] 是规则所在的链(如 INPUT、OUTPUT、FORWARD 等),[rule-number] 是要删除的规则的编号。查看 iptables 中的规则,找到要删除的。
清空 iptables 规则的命令
无止境学的博客
01-08 8183
iptables -F iptables -X iptables -t nat -F iptables -t nat -X
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维螺丝钉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值