2. 程式人生 > >iptables防火墻 (一)

iptables防火墻 (一)

阿新 發佈:2018-01-18
接口 用戶 分享圖片 允許 詳細 列表 -o 現在 要求

Linux防火墻主要工作在網絡層,屬於典型的包過濾防火墻;

netfilter
位於Linux內核中的包過濾功能體系
稱為Linux防火墻的“內核態”
iptables
位於/sbin/iptables,用來管理防火墻規則的工具
稱為Linux防火墻的“用戶態”

-

—— 上述2種稱呼都可以表示Linux防火墻

包過濾的工作層次
主要是網絡層,針對IP數據包
體現在對包內的IP地址、端口等信息的處理上
技術分享圖片

  1. 規則鏈
    規則的作用:對數據包進行過濾或處理
    鏈的作用:容納各種防火墻規則
    鏈的分類依據:處理數據包的不同時機
    默認包括5種規則鏈
    1)INPUT:處理入站數據包
    2)OUTPUT:處理出站數據包
    3)FORWARD:處理轉發數據包
    4)POSTROUTING鏈:在進行路由選擇後處理數據包
    5)PREROUTING鏈:在進行路由選擇前處理數據包

-
2.規則表
表的作用:容納各種規則鏈
表的劃分依據:防火墻規則的作用相似
默認包括4個規則表
1)raw表:確定是否對該數據包進行狀態跟蹤
2)mangle表:為數據包設置標記
3)nat表:修改數據包中的源、目標IP地址或端口
4)filter表:確定是否放行該數據包(過濾)

默認的表、鏈結構示意圖
技術分享圖片

3.規則表之間的順序
raw?mangle?nat?filter
規則鏈之間的順序
1)入站:PREROUTING?INPUT
2)出站:OUTPUT?POSTROUTING
3)轉發:PREROUTING?FORWARD?POSTROUTING

規則鏈內的匹配順序
按順序依次檢查,匹配即停止(LOG策略例外)
若找不到相匹配的規則,則按該鏈的默認策略處理

匹配流程示意圖
技術分享圖片

語法構成
iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]

-

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT

-

幾個註意事項
不指定表名時,默認指filter表
不指定鏈名時,默認指表內的所有鏈
除非設置鏈的默認策略,否則必須指定匹配條件
選項、鏈名、控制類型使用大寫字母,其余均為小寫

數據包的常見控制類型
ACCEPT:允許通過
DROP:直接丟棄,不給出任何回應

REJECT:拒絕通過,必要時會給出提示
LOG:記錄日誌信息,然後傳給下一條規則繼續匹配

添加新的規則
-A:在鏈的末尾追加一條規則
-I:在鏈的開頭(或指定序號)插入一條規則

**[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT

[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT

[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT**

查看規則列表
-L:列出所有的規則條目
-n:以數字形式顯示地址、端口等信息
-v:以更詳細的方式顯示規則信息
--line-numbers:查看規則時,顯示規則的序號

[root@localhost ~]# iptables -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source        destination
1    ACCEPT     udp  --  anywhere      anywhere
2    ACCEPT     icmp --  anywhere      anywhere
3    REJECT     icmp --  anywhere      anywhere     reject-with icmp-port-unreachable
4    ACCEPT     tcp  --  anywhere      anywhere
**[root@localhost ~]# iptables -n -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source          destination
ACCEPT     udp  --  0.0.0.0/0       0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0       0.0.0.0/0
REJECT     icmp --  0.0.0.0/0       0.0.0.0/0       reject-with icmp-port-unreachable
ACCEPT     tcp  --  0.0.0.0/0       0.0.0.0/0**

刪除、清空規則
-D:刪除鏈內指定序號(或內容)的一條規則
-F:清空所有的規則

[root@localhost ~]# iptables -D INPUT 3
[root@localhost ~]# iptables -n -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]# iptables -t mangle -F
[root@localhost ~]# iptables -t raw -F

設置默認策略
-P:為指定的鏈設置默認規則

[root@localhost ~]# iptables -t filter -P FORWARD DROP
[root@localhost ~]# iptables -P OUTPUT ACCEPT

常用管理選項匯總
技術分享圖片

通用匹配
可直接使用,不依賴於其他條件或擴展
包括網絡協議、IP地址、網絡接口等條件
隱含匹配
要求以特定的協議匹配作為前提
包括端口、TCP標記、ICMP類型等條件
顯式匹配
要求以“-m 擴展模塊”的形式明確指出類型
包括多端口、MAC地址、IP範圍、數據包狀態等條件

常見的通用匹配條件
協議匹配:-p 協議名
地址匹配:-s 源地址、-d 目的地址
接口匹配:-i 入站網卡、-o 出站網卡

[root@localhost ~]# iptables -I INPUT -p icmp -j DROP
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -s 192.168.1.11 -j REJECT
[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP

-

[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 
[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP

常用的隱含匹配條件
端口匹配:--sport 源端口、--dport 目的端口
TCP標記匹配:--tcp-flags 檢查範圍 被設置的標記
ICMP類型匹配:--icmp-type ICMP類型

[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP

常用的顯式匹配條件
多端口匹配:-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
IP範圍匹配:-m iprange --src-range IP範圍
MAC地址匹配:-m mac --mac-source MAC地址
狀態匹配:-m state --state 連接狀態

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j  ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

常見匹配條件匯總

技術分享圖片

iptables防火墻 (一)

相關推薦

iptables防火 ()

接口 用戶 分享圖片 允許 詳細 列表 -o 現在 要求 Linux防火墻主要工作在網絡層,屬於典型的包過濾防火墻; netfilter位於Linux內核中的包過濾功能體系稱為Linux防火墻的“內核態”iptables位於/sbin/iptables,用來管理防火墻規則的

iptables防火

表名 基本語法 51cto 防火墻規則 處理 cde process 命令 語法 linux的防火墻體系主要工作在網絡層,針對TCP/IP數據包實施過濾和限制,屬於典型的包過濾防火墻(或稱為網絡層防火墻)。(1)在許多安全技術資料中,netfilter和iptables都用

2-7-配置iptables防火增加服務器安全

我們 公網ip 為我 介紹 1-1 5% family 方式 man 本節所講內容: ? iptables常見概念 ? iptables服務器安裝及相關配置文件 ? 實戰:iptables使用方法 ? 例1:使用ipt

Iptables防火配置

dport -m nts enter 火墻 pop lis input net Iptables防火墻配置 安裝防火墻 sudo apt-get install iptables 查看狀態 sudo iptab

iptables防火四表五鏈介紹

iptablesiptables只是Linux防火墻的管理工具而已,位於/sbin/iptables。真正實現防火墻功能的是netfilter,它是Linux內核中實現包過濾的內部結構。 iptables包含4個表,5個鏈。其中表是按照對數據包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是ne

如何將centos7自帶的firewall防火更換為iptables防火

style 防火墻 dpt http pre wal 配置文件 sta targe 用慣了centos6的iptables防火墻,對firewall太無感了,那麽如何改回原來熟悉的iptables防火墻呢? 1、關閉firewall防火墻 [[email pro

iptables防火服務

iptables一.iptables介紹二.安裝服務並開啟服務 yum install iptables-services.x86_64 systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld

網絡安全之iptables防火

ted dos con inter 調用 sna 遠程 probe 2.6 1》各種傳輸方式到最後都會轉化為能夠通過網絡發送的數據格式:   1>文本格式;   2>二進制格式;2》TCP三次握手連接,四次斷開,連接時客戶端是主動打開

iptables防火規則整理

iptables防火墻規則整理iptables防火墻規則整理iptables是組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業防火墻解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。在日常Linux運維工作中,經常會設置iptab

CentOS 7.0關閉默認防火啟用iptables防火

you -i system 顯示 entos star for con restart 操作系統環境:CentOS Linux release 7.0.1406(Core) 64位CentOS 7.0默認使用的是firewall作為防火墻,這裏改為iptables防火墻步

Linux iptables防火原理與常用配置

linux iptables Linux系統中,防火墻(Firewall),網址轉換(NAT),數據包(package)記錄,流量統計,這些功能是由Netfilter子系統所提供的,而iptables是控制Netfilter的工具。iptables將許多復雜的規則組織成成容易控制的方式,以便管理員可以

配置IPTABLES防火(1)

iptables linux 防火墻 安全 iptables技能: 需要熟悉linux防火墻的表,鏈結構;理解數據包匹配的基本流程;會管理和設置iptbables規則;會使用防火墻腳本的一般方法。 linux防火墻功能是由內核實現的: 2.0版本中,包過濾機制是ip

Iptables防火規則使用

移動 let 隨著 nat restore 比較 hour 解析 主機 iptables是組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業防火墻解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。

Centos7安裝iptables防火

centos7安裝iptables防火墻安裝iptable iptable-service#先檢查是否安裝了iptables service iptables status #安裝iptables yum install -y iptables #升級iptables yum update

iptables防火的基本配置

iptables netfilter 包過濾防火墻 filter 楊書凡 在Internet中,通過架設各種服務器為用戶提供各種網絡服務,怎樣保護這些服務器,過濾惡意的訪問、入侵呢?這裏主要介紹Linux系統中的防火墻——netfilter和iptables,包括防火墻的結構和匹配

iptables防火(二)

icm ofo tro 客戶機 條件 目的 ppp cto tina SNAT策略的典型應用環境局域網主機共享單個公網IP地址接入Internet SNAT策略的原理源地址轉換,Source Network Address Translation修改數據包的源地址局域網共享

遠程管理防火

1.10 keypair net方式 idt write text ref topo圖 fault 在日常生活中,我們在配置設備時,往往都喜歡進行遠程配置,不喜歡抱著電腦一趟又一趟的去機房進行配置設備這裏,我就把剛學的遠程配置防火墻(圖形化),記錄下來。準備環境:設備ip地

iptables防火基本配置

source 內容 追加 通用 tab inpu routing 包括 ip地址 linux的防火墻工作在網絡層,屬於包過濾防火墻,Linux包括netfilter和iptables。netfilter屬於“內核態”防火墻而iptables屬於“用戶態”防火墻。1.ipta

iptables防火(二)

art star save fig str filter tput 1.10 功能 1、SNAT:源地址轉換實現內網訪問外網,修改源IP地址,使用POSTROUTING命令:iptables?-t nat -A ?POSTROUTING -s 192.168.1.

centos6-iptables防火

mask inpu 特定 type www 跟蹤 cmp start 查看 iptables命令中常見的控制類型有: ACCEPT:允許通過 LOG:記錄日誌信息,然後傳給下一條規則繼續匹配 REJECT:拒絕通過,必要時會給出提示 DROP:直接丟棄,不給出任何回應