iptables防火墻基本配置
阿新 • • 發佈:2018-02-04
source 內容 追加 通用 tab inpu routing 包括 ip地址 linux的防火墻工作在網絡層,屬於包過濾防火墻,Linux包括netfilter和iptables。
netfilter屬於“內核態”防火墻而iptables屬於“用戶態”防火墻。
1.iptables包括四表五鏈
四表內容如下:
raw表:確定是否對該數據包進行狀態跟蹤
mangle表:為數據包設置標記
nat表:修改數據包中的源、目標IP地址或端口
filter表:確定是否放行該數據包(過濾)
五鏈內容如下:
INPUT:處理入站數據包
OUTPUT:處理出站數據包
FORWARD:處理轉發數據包
POSTROUTING鏈:在進行路由選擇後處理數據包
PREROUTING鏈:在進行路由選擇前處理數據包
2.數據包過濾的匹配流程
鏈之間的規則應用順序:
入站:PREROUTING-INPUT
出站:OUTPUT-POSTROUTING
轉發:PREROUTING-FORWARD-POSTROUTING
鏈內的匹配順序
按順序依次檢查,匹配即停止(LOG策略例外)
若找不到相匹配的規則,則按該鏈的默認策略處理
3.iptables語法構成:iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]
4.數據包的常見控制類型
ACCEPT:允許通過
DROP:直接丟棄,不給出任何回應
REJECT:拒絕通過,必要時會給出提示
LOG:記錄日誌信息,然後傳給下一條規則繼續匹配
-A 在鏈的末尾追加一條規則
-I 在鏈的開頭(或指定序號)插入一條規則
-L 列出所有的規則條目
-n 以數字形式顯示地址、端口等信息
-v 以更詳細的方式顯示規則信息
--line-numbers 查看規則時,顯示規則的序號
-D 刪除鏈內指定序號(或內容)的一條規則
-F 清空所有的規則
-P 為指定的鏈設置默認規則
6.通用匹配:
協議匹配 -p 協議名
地址匹配 -s 源地址、-d 目的地址
接口匹配 -i 入站網卡、-o 出站網卡
7.隱含匹配:
端口匹配 --sport 源端口、--dport 目的端口
TCP標記匹配 --tcp-flags 檢查範圍 被設置的標記
8.顯示匹配:
多端口匹配 -m multiport --sports | --dports 端口列表
IP範圍匹配 -m iprange --src-range IP範圍
MAC地址匹配 -m mac --mac-source MAC地址
狀態匹配 -m state --state 連接狀態
10.iptables應用示例:
通用匹配:iptables -I INPUT -p icmp -j DROP
隱含匹配:iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
顯示匹配:iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
查看規則表列: iptables -nL
刪除input鏈第三條規則:iptables -D INPUT 3
清空所有的規則:iptables -F
netfilter屬於“內核態”防火墻而iptables屬於“用戶態”防火墻。
1.iptables包括四表五鏈
四表內容如下:
raw表:確定是否對該數據包進行狀態跟蹤
mangle表:為數據包設置標記
nat表:修改數據包中的源、目標IP地址或端口
filter表:確定是否放行該數據包(過濾)
五鏈內容如下:
INPUT:處理入站數據包
OUTPUT:處理出站數據包
FORWARD:處理轉發數據包
POSTROUTING鏈:在進行路由選擇後處理數據包
PREROUTING鏈:在進行路由選擇前處理數據包
2.數據包過濾的匹配流程
鏈之間的規則應用順序:
入站:PREROUTING-INPUT
出站:OUTPUT-POSTROUTING
轉發:PREROUTING-FORWARD-POSTROUTING
鏈內的匹配順序
按順序依次檢查,匹配即停止(LOG策略例外)
若找不到相匹配的規則,則按該鏈的默認策略處理
3.iptables語法構成:iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]
4.數據包的常見控制類型
ACCEPT:允許通過
DROP:直接丟棄,不給出任何回應
REJECT:拒絕通過,必要時會給出提示
LOG:記錄日誌信息,然後傳給下一條規則繼續匹配
-A 在鏈的末尾追加一條規則
-I 在鏈的開頭(或指定序號)插入一條規則
-L 列出所有的規則條目
-n 以數字形式顯示地址、端口等信息
-v 以更詳細的方式顯示規則信息
--line-numbers 查看規則時,顯示規則的序號
-D 刪除鏈內指定序號(或內容)的一條規則
-F 清空所有的規則
-P 為指定的鏈設置默認規則
6.通用匹配:
協議匹配 -p 協議名
地址匹配 -s 源地址、-d 目的地址
接口匹配 -i 入站網卡、-o 出站網卡
7.隱含匹配:
端口匹配 --sport 源端口、--dport 目的端口
TCP標記匹配 --tcp-flags 檢查範圍 被設置的標記
8.顯示匹配:
多端口匹配 -m multiport --sports | --dports 端口列表
IP範圍匹配 -m iprange --src-range IP範圍
MAC地址匹配 -m mac --mac-source MAC地址
狀態匹配 -m state --state 連接狀態
10.iptables應用示例:
通用匹配:iptables -I INPUT -p icmp -j DROP
隱含匹配:iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
顯示匹配:iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
查看規則表列: iptables -nL
刪除input鏈第三條規則:iptables -D INPUT 3
清空所有的規則:iptables -F
iptables防火墻基本配置