2. 程式人生 > >iptables裡的四表五鏈

iptables裡的四表五鏈

阿新 發佈:2019-02-02
iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是netfilter,它是Linux核心中實現包過濾的內部結構。
iptables包含4個表,5個鏈。其中表是按照對資料包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是netfilter的兩個維度。      4個表:filter,nat,mangle,raw,預設表是filter(沒有指定表的時候就是filter表)。表的處理優先順序:raw>mangle>nat>filter。
filter:一般的過濾功能
nat:用於nat功能(埠對映,地址對映等)
mangle:用於對特定資料包的修改

raw:有限級最高,設定raw時一般是為了不再讓iptables做資料包的連結跟蹤處理,提高效能

5個鏈:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:資料包進入路由表之前
INPUT:通過路由表後目的地為本機
FORWARDING:通過路由表後,目的地不為本機
OUTPUT:由本機產生,向外轉發
POSTROUTIONG:傳送到網絡卡介面之前。

規則表:
1.filter表——三個鏈:INPUT、FORWARD、OUTPUT
作用:過濾資料包  核心模組:iptables_filter.
2.Nat表——三個鏈:PREROUTING、POSTROUTING、OUTPUT


作用:用於網路地址轉換(IP、埠) 核心模組:iptable_nat
3.Mangle表——五個鏈:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改資料包的服務型別、TTL、並且可以配置路由實現QOS核心模組:iptable_mangle(別看這個表這麼麻煩,咱們設定策略時幾乎都不會用到它)
4.Raw表——兩個鏈:OUTPUT、PREROUTING
作用:決定資料包是否被狀態跟蹤機制處理  核心模組:iptable_raw
(這個是REHL4沒有的,不過不用怕,用的不多)

規則鏈:
1.INPUT——進來的資料包應用此規則鏈中的策略
2.OUTPUT——外出的資料包應用此規則鏈中的策略

3.FORWARD——轉發資料包時應用此規則鏈中的策略
4.PREROUTING——對資料包作路由選擇前應用此鏈中的規則
(記住!所有的資料包進來的時侯都先由這個鏈處理)
5.POSTROUTING——對資料包作路由選擇後應用此鏈中的規則
(所有的資料包出來的時侯都先由這個鏈處理)

規則表之間的優先順序:
Raw——mangle——nat——filter
規則鏈之間的優先順序(分三種情況):

第一種情況:入站資料流向
    從外界到達防火牆的資料包,先被PREROUTING規則鏈處理(是否修改資料包地址等),之後會進行路由選擇(判斷該資料包應該發往何處),如果資料包的目標主機是防火牆本機(比如說Internet使用者訪問防火牆主機中的web伺服器的資料包),那麼核心將其傳給INPUT鏈進行處理(決定是否允許通過等),通過以後再交給系統上層的應用程式(比如Apache伺服器)進行響應。

第二衝情況:轉發資料流向
    來自外界的資料包到達防火牆後,首先被PREROUTING規則鏈處理,之後會進行路由選擇,如果資料包的目標地址是其它外部地址(比如區域網使用者通過閘道器訪問QQ站點的資料包),則核心將其傳遞給FORWARD鏈進行處理(是否轉發或攔截),然後再交給POSTROUTING規則鏈(是否修改資料包的地址等)進行處理。

第三種情況:出站資料流向
     防火牆本機向外部地址傳送的資料包(比如在防火牆主機中測試公網DNS伺服器時),首先被OUTPUT規則鏈處理,之後進行路由選擇,然後傳遞給POSTROUTING規則鏈(是否修改資料包的地址等)進行處理。

管理和設定iptables規則

iptables的基本語法格式:
iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉]
說明:表名、鏈名用於指定iptables命令所操作的表和鏈,命令選項用於指定管理iptables規則的方式(比如:插入、增加、刪除、檢視等;條件匹配用於指定對符合什麼樣條件的資料包進行處理;目標動作或跳轉用於指定資料包的處理方式(比如允許通過、拒絕、丟棄、跳轉(Jump)給其它鏈處理。

iptables命令的管理控制選項:
-A 在指定鏈的末尾新增(append)一條新的規則
-D刪除(delete)指定鏈中的某一條規則,可以按規則序號和內容刪除
-I在指定鏈中插入(insert)一條新的規則,預設在第一行新增
-R修改、替換(replace)指定鏈中的某一條規則,可以按規則序號和內容替換
-L列出(list)指定鏈中所有的規則進行檢視
-F清空(flush)
-N新建(new-chain)一條使用者自己定義的規則鏈
-X刪除指定表中使用者自定義的規則鏈(delete-chain)
-P設定指定鏈的預設策略(policy)
-n使用數字形式(numeric)顯示輸出結果
-v檢視規則表詳細資訊(verbose)的資訊
-V檢視版本(version)
-h獲取幫助(help)

防火牆處理資料包的四種方式:
ACCEPT 允許資料包通過
DROP 直接丟棄資料包,不給任何迴應資訊
REJECT 拒絕資料包通過,必要時會給資料傳送端一個響應的資訊。
LOG在/var/log/messages檔案中記錄日誌資訊,然後將資料包傳遞給下一條規則

iptables防火牆規則的儲存與恢復

iptables-save把規則儲存到檔案中,再由目錄rc.d下的指令碼(/etc/rc.d/init.d/iptables)自動裝載

使用命令iptables-save來儲存規則。一般用iptables-save > /etc/sysconfig/iptables
生成儲存規則的檔案 /etc/sysconfig/iptables,
也可以用service iptables save

它能把規則自動儲存在/etc/sysconfig/iptables中。

當計算機啟動時,rc.d下的指令碼將用命令iptables-restore呼叫這個檔案,從而就自動恢復了規則。

刪除INPUT鏈的第一條規則
iptables -D INPUT 1

Iptables防火牆常用的策略:

1.拒絕進入防火牆的所有ICMP協議資料包
iptables -I INPUT -p icmp -j REJECT

2.允許防火牆轉發除ICMP協議以外的所有資料包
iptables -A FORWARD -p ! icmp -j ACCEPT
說明:使用“!”可以將條件取反。

3.拒絕轉發來自192.168.1.10主機的資料,允許轉發來自192.168.0.0/24網段的資料
iptables -A FORWARD -s 192.168.1.11 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
說明:注意要把拒絕的放在前面不然就不起作用了啊。

4.丟棄從外網介面(eth1)進入防火牆本機的源地址為私網地址的資料包
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

5.封堵網段(192.168.1.0/24),兩小時後解封。
[[email protected] ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[[email protected] ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP
[[email protected] ~]# at now +2 hours
at> iptables -D INPUT 1
at> iptables -D FORWARD 1
說明:這個策略咱們藉助crond計劃任務來完成,就再好不過了。
[1]+  Stopped     at now +2 hours

6.只允許管理員從202.13.0.0/16網段使用SSH遠端登入防火牆主機。
iptables -A INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
說明:這個用法比較適合對裝置進行遠端管理時使用,比如位於分公司中的SQL伺服器需要被總公司的管理員管理時。

7.允許本機開放從TCP埠20-1024提供的應用服務。
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT

8.允許轉發來自192.168.0.0/24區域網段的DNS解析請求資料包。
iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -p udp --sport 53 -j ACCEPT

9.禁止其他主機ping防火牆主機,但是允許從防火牆上ping其他主機
iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

10.禁止轉發來自MAC地址為00:0C:29:27:55:3F的和主機的資料包
iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP
說明:iptables中使用“-m 模組關鍵字”的形式呼叫顯示匹配。咱們這裡用“-m mac –mac-source”來表示資料包的源MAC地址。

11.允許防火牆本機對外開放TCP埠20、21、25、110以及被動模式FTP埠1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT
說明:這裡用"-m multiport –dport"來指定目的埠及範圍

12.禁止轉發源IP地址為192.168.1.20-192.168.1.99的TCP資料包。
iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
說明:此處用"-m –iprange –src-range"指定IP範圍。

13.禁止轉發與正常TCP連線無關的非—syn請求資料包。
iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP
說明:"-m state"表示資料包的連線狀態,"NEW"表示與任何連線無關的,新的嘛!

14.拒絕訪問防火牆的新資料包,但允許響應連線或與已有連線相關的資料包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
說明:“ESTABLISHED”表示已經響應請求或者已經建立連線的資料包,“RELATED”表示與已建立的連線有相關性的,比如FTP資料連線等。

15.只開放本機的web服務(80)、FTP(20、21、20450-20480),放行外部主機發住伺服器其它埠的應答資料包,將其他入站資料包均予以丟棄處理。
iptables -I INPUT -p tcp -m multiport --dport 20,21,80 -j ACCEPT
iptables -I INPUT -p tcp --dport 20450:20480 -j ACCEPT
iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

相關推薦

iptables

  iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是netfilter,它是Linux核心中實現包過濾的內部結構。      iptables包含4個表,5個鏈。其中表是按照對資料包的操作區分的,鏈是按照不同的

iptables

iptables只是Linux防火牆的管理工具而已,位於/sbin/iptables。真正實現防火牆功能的是netfilter,它是Linux核心中實現包過濾的內部結構。iptables包含4個表,5個鏈。其中表是按照對資料包的操作區分的,鏈是按照不同的Hook點來區分的,

iptables防火墻介紹

iptablesiptables只是Linux防火墻的管理工具而已,位於/sbin/iptables。真正實現防火墻功能的是netfilter,它是Linux內核中實現包過濾的內部結構。 iptables包含4個表,5個鏈。其中表是按照對數據包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是ne

iptables詳解(2):

關於iptables中“四表五鏈”,我們今天來好好嘮嘮: 1、表的概念:   我們把具有相同功能的規則的集合叫做"表",所以說,不同功能的規則,我們可以放置在不同的表中進行管理,而iptables已經為我們定義了4種表,每種表對應了不同的功能,而我們定義的規則也都逃脫不了這4種功能的範圍,所以,學習ipt

Linux防火牆 iptables基本原理 NetFilter 概述

Linux防火牆主要就行工作的部分在核心,這個模組叫NetFilter;我們平時配置的iptables是給我們的一個配置介面,我們通過iptables配置規則,配置之後,NetFilter通過這些規則來

Linux網絡相關、防火墻firewalld、netfilter 及iptable的、語法

20180507一、 Linux網絡相關1?ifconfig 查看網卡的ip地址,(yum install net-tools)也可以用ip add-a 斷網的情況下都可以查看2?ifdown /ifup 斷開/連接 網卡。更改配置的時候,用來重啟指定的網卡。如果是遠程的機器不可以單獨用,可以把它們連

iptables

在啟用了iptables web伺服器上,流量高的時候經常會出現下面的錯誤: ip_conntrack: table full, dropping packet 這個問題的原因是由於web伺服器收到了大量的連線,在啟用了iptables的情況下,iptables會把所有的連線都做連結跟蹤處理,這樣iptabl

iptables5個

一、netfilter和iptables說明:     1、   netfilter/iptables IP 資訊包過濾系統是一種功能強大的工具,可用於新增、編輯和除去規則,這些規則是在做資訊包過濾決定時,防火牆所遵循和組成的規則。這些規則儲存在專用的資訊包過濾表中,而

數據結構第篇——線性式存儲之循環

lan 雙向循環鏈表 delet alt 分享 函數 ima truct cli ?註:未經博主同意,不得轉載。   鏈表是另一種形式的鏈式存儲結構,它是線性鏈表的一種變形。在線性鏈表中,每個結點的指針都指向它的下一個結點,最後一個結點的指針域為空,表示鏈表的結束。若使最後

防火墻的配置與備份----iptables

防火墻 iptables nat filter input forward 一、基本知識 在現在的網絡環境當中,我們使用的主機或者服務器很容易受到攻擊,所以人們不斷的針對各種攻擊研究相應的對策,像殺毒軟件這些,但是這些都是治標不治本,只能在受到攻擊的之後再做出相應的處理,那麽為了

Linux網絡相關,firewalld和netfilter,netfilter55介紹,iptables語法

iptables netfilter linux 筆記內容:l 10.11 Linux網絡相關l 10.12 firewalld和netfilterl 10.13 netfilter5表5鏈介紹l 10.14 iptables語法筆記時間: 10.11 Linux網絡相關ifconfig命令在Ce

數據結構()——基於式存儲結構的線性

線性表 地址 之間 一個數 mage col 結構 cdb 邏輯 數據結構(四)——基於鏈式存儲結構的線性表 一、基於鏈式存儲結構的線性表 1、鏈式存儲的定義 鏈式存儲為了表示數據元素與其直接後繼元素間的邏輯關系,數據元素除了存儲本身的信息外,還需要存儲直接後繼的信息。相連

firewalld、netfilter、 netfilter55iptables介紹

sage spa logs state bytes tcp workman 斜杠 fatal Linux網絡相關#ifconfig 查看網卡ip(如果沒有這個命令請使用yum install net-tools安裝)#ifdown ens33 關閉網卡ens3

firewalld和netfilter、netfilter55介紹、iptables語法

mii-tool 強制 網絡地址轉換 targe system vim ifdown localhost tables Linux網絡相關 ifconfig命令查看網卡IP剛接觸linux系統開始的時候我們學習到查看網卡IP方式是使用ip addr,而ifconfig命令和

10.11-10.14 網絡相關 firewall,netfilter,55iptables

網絡相關 firewall netfilter 七周三次課(3月21日)10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 iptables語法擴展(selinux了解即可)1. selinux教程 http://

網絡相關、firewalld和netfilter、netfilter55介紹、iptables

src process 配置文件 想要 表鏈 enforce 網絡地址轉換 51cto top 一:linux網絡相關 ifconfig命令,如果沒有,用下列命令安裝一下yum install -y net-tools如果想禁用一個網卡:ifdown ens33啟用網卡if

【資料結構】線性式儲存()靜態連結串列

靜態連結串列的初始化插入刪除操作 程式碼收穫 靜態連結串列有一個備用連結串列和資料兩條鏈在一個數組空間裡。 比較特別的是需要對是否空鏈進行討論,只有在空鏈時,-1遊標對應的索引的資料是無效資料。 用scanf記得後面要把回車吃掉。 插入和刪除需要考慮備用連結串

Linux網路相關的命令、firewalld和netfilter、netfilter55介紹、iptables語法

一、Linux網路相關的一些命令 1. 檢視網絡卡的命令 ifconfig -a                     ip addr                                這兩個命令都可以檢視網絡卡,當網絡卡down掉的時候是看不到的,使用 -

七週第三次課 2017.11.29 Linux網路相關、firewalld和netfilter、netfilter55介紹、iptables語法

10.11 Linux網路相關 ifconfig檢視網絡卡ip(需要安裝net-tools包)ip add也可以檢視網絡卡ip 當你的網絡卡沒有ip的時候是不顯示的,但是加上-a就可以檢視到。 關閉網絡卡(如果你正在連線這個網絡卡使用該命令會斷開連線,所以不要用該命令關閉正

2119=數據結構實驗之:有序的歸並

nbsp scanf eof ret div spa 數據 sizeof else 1 #include <stdio.h> 2 #include <stdlib.h> 3 struct node 4 { 5 int d