iptables防火墙(一)

news2024/11/25 2:04:41

iptables防火墙

  • 一、iptables概述
    • 1、netfilter 与 iptables 的关系
      • 1.netfilter
      • 2.iptables
    • 2、四表五链
      • 1.四表
      • 2.五链
      • 3.表的匹配优先级
      • 4.规则链之间的匹配顺序
      • 5.规则链内的匹配顺序
  • 二、iptables防火墙的安装及配置方法
    • 1、iptables防火墙安装
    • 2、iptables防火墙的配置方法
      • 1.iptables命令行配置方法
      • 2.常用的控制类型
      • 3.常用的管理选项
      • 4.规则的增删改查
      • 5.规则的匹配

一、iptables概述

Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

1、netfilter 与 iptables 的关系

1.netfilter

netfilter 属于"内核态"(Kernel Space,又称为内核空间)的防火墙功能体系。
netfilter是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。

2.iptables

iptables 属于"用户态"(User Space,又称为用户空间)的防火墙管理体系。
iptables 是一种用来管理Linux防火墙的命令程序,它使插入、修改、和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables 文件下。

2、四表五链

netfilter/iptables 后期简称为iptables,iptables 是基于内核的防火墙,其中内置了raw、mangle、nat 和 filter。
在这里插入图片描述

1.四表

  • raw:确定是否对该数据包进行状态跟踪包含两个规则链OUTPUT、PREROUTING。
  • mangle:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
  • nat:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链OUTPUT、PREROUTING、POSTROUTING。
  • filter:负责过滤数据包,确定是否放行该数据包(过滤)包含三个规则链INPUT、FORWARD、OUTPUT。

2.五链

  • INPUT :处理入站数据,匹配目标IP为本机的数据包。
  • OUTPUT:处理出站数据,一般不在此链上做配置。
  • FORWARD:处理转发数据,匹配流经本机的数据包。
  • POSTROUTING:修改源IP。在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
  • PREROUTING:修改目的IP,在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3.表的匹配优先级

	raw表 → mangle表 → nat表 → filter表

4.规则链之间的匹配顺序

  1. 入站数据 :PREROUTING → INPUT → 本机的应用程序 ######## 过滤数据包filter(INPUT

  2. 出站数据 :本机的应用程序 → OUTPUT→ PREROUTING ######## 过滤数据包filter(OUTPUT

  3. 转发数据 :PREROUTING → FORWARD → POSTROUTING ######## 过滤数据包filter(FORWARD


外网到内网修改目的IP nat(PREROUTING
内网到外网修改源IP nat(POSTROUTING

5.规则链内的匹配顺序

  • 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
  • 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

二、iptables防火墙的安装及配置方法

1、iptables防火墙安装

Centos7默认使用 firewalld 防火墙,没有安装 iptables,若想使用 iptables 防火墙。必须先关闭 firewalld 防火墙,在安装iptables。

systemctl stop firewalld.services  ##关闭防火墙
systemctl disable firewalld.service  ##关闭防火墙的开机自启

yum install -y iptables iptables-service  ##下载iptables防火墙及服务
systemctl start iptables.service  ##开启iptables防火墙

2、iptables防火墙的配置方法

  • 使用 iptables 命令行
  • 使用system-config-firewall (Centos6可以使用)

1.iptables命令行配置方法

命令格式:
iptables 【-t 表名】 管理选项 【链名】 【匹配条件】 【-j 控制类型】


注意事项:
不指定表名时,默认指 filter 表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
控制类型的链名使用大小写字母,其余均为小写


2.常用的控制类型

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包,不给出任何回应消息。
  • REJECT:拒绝数据包通过,会给数据发送端一个响应消息。
  • SNAT:修改数据包的源地址。
  • DNAT:修改数据包的目的地址。
  • MASQUERADW:伪装成一个非固定公网IP地址。
  • LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包

3.常用的管理选项

  • -A:在指定链的末尾追加(–append)一条新的规则。
  • -I:在指定链的开头插入(–insert)一条新的规则,未指定序号时默认作为第一条规则,也可以在链名后指定添加在第几行规则的上边。
  • -R:修改、替换(–replace)指定链中的某一条规则,可指定规则序号或具体内容。
  • -P:这是指定链的默认策略(–policy)
  • -D:删除(–delete)指定链中的某一条规则,可指定规则序号或具体内容。
  • -F:清空(–flush)指定链中的所有规则,若未指定链名,则清空表中的所有链。
  • -L:列出(–list)指定链中的所有的规则,若未指定链名,则列出表中的所有链。
  • -n:使用数字形式(–numeric)显示输出结果,如显示IP地址而不是主机名。
  • -v:显示详细信息,包括每条规则的匹配包数量和匹配字节数。
  • --line-numbers:查看规则时,显示规则的序号。

4.规则的增删改查


iptables 【-t 表名】 -n -L 【链名】【–line-numbers】
在这里插入图片描述


-A在指定链的末尾增加新的规则
iptables 【-t 表名】 -A 【链名】【匹配条件】 【-j 控制类型】

-I在指定链的末尾增加新的规则
iptables 【-t 表名】 -I【链名】【匹配条件】【-j 控制类型】
在这里插入图片描述


iptables 【-t 表名】 -D【链名】 【指定规则或编号】##-D删除指定链名内的指定规则

在这里插入图片描述
iptables 【-t 表名】 -F【链名】 ##-F删除指定链名内的所有规则



iptables 【-t 表名】 -R <链名> <规则编号> <修改内容>

在这里插入图片描述

修改链的默认策略
iptables 【-t 表名】 -P <链名> <控制类型>

在这里插入图片描述

5.规则的匹配

1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。

  • 协议匹配:-p 协议名
  • 地址匹配:-s 源地址、-d 目的地址 #可以是IP、网段、域名、空(任何地址)
  • 接口匹配:-i 入站网卡、-o 出站网卡

在这里插入图片描述
在这里插入图片描述
2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。

端口匹配:–sport 源端口、–dport 目的端口
#可以是个别端口、端口范围

  • –sport 1000 ##匹配源端口是1000的数据包
  • –sport 1000:3000 ##匹配源端口是1000-3000的数据包
  • –sport :3000 ##匹配源端口是3000及以下的数据包
  • –sport 1000: ##匹配源端口是1000及以上的数据包

== 注意==:–sport 和 --dport 必须配合 -p <协议类型> 使用
在这里插入图片描述
3.ICMP类型匹配
ICMP类型匹配:- -icmp-type ICMP类型(可以是字符串、数字代码)。

  • “Echo-Request”(代码为8)表示 请求
  • “Echo-Reply”(代码为0)表示 回显
  • “Destination-Unreachable”(代码为3)表示 目标不可达

关于其他可用的ICMP协议类型,可以执行“iptables -p icmp -h”命令,查看帮助信息
在这里插入图片描述
4.TCP标志位匹配:- -tacp-flags TCP标志位

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT

在这里插入图片描述5.显示匹配
要求以“-m 扩展模块” 的形式明确指除类型,包括多端口、MAC地址、IP范围、数据包状态等条件。

多端口匹配:

-m multiport - -sport 源端口列表
-m multiport - -dport 目的端口列表

在这里插入图片描述
IP范围匹配:
-m iprange --src-range IP范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP

MAC地址匹配:
-m mac --mac-source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

状态匹配:
-m state --state 连接状态
常见的连接状态:

  • NEW :主机连接目标主机,在目标主机上看到的第一个想要连接的包
  • ESTABLISHED :主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
  • RELATED :主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用
  • INVALID :无效的封包,例如数据破损的封包状态

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/552134.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

nginx(七十八)日志的深入探究

一 日志 ① nginx与日志相关的指令 access_log log_format error_log rewrite_log log_subrequest debug_connection rewrite_log limit_conn_log_level limit_req_log_level log_not_found open_log_file_cache uninitialized_variable_warn log_not_found …

【重新定义matlab强大系列八】利用matlab求局部值(函数islocalmax求局部最大值+函数islocalmin求局部最小值)

&#x1f517; 运行环境&#xff1a;Matlab &#x1f6a9; 撰写作者&#xff1a;左手の明天 &#x1f947; 精选专栏&#xff1a;《python》 &#x1f525; 推荐专栏&#xff1a;《算法研究》 #### 防伪水印——左手の明天 #### &#x1f497; 大家好&#x1f917;&#x1f91…

三控开关接线方式记录

参考原视频 三控开关与双控开关的多种接法&#xff0c;多控开关的工作原理_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1Qh4y1J7gC/?spm_id_from333.337.search-card.all.click&vd_sourcee821a225c7ba4a7b85e5aa6d013ac92e原视频讲的不错&#xff0c;大家可以关…

国内好用的免费AI处理工具:Chat8(实现类似ChatGPT功能、TCP/IP通讯问题)

目前国外的ChatGPT比较火&#xff0c;朋友推荐了一个chat8&#xff0c;经过使用&#xff0c;觉得还不错&#xff0c;链接如下&#xff1a; https://ai.chat86.co/go/kl/775283&#xff0c;进去后可以直接用手机注册使用&#xff0c;以下是我问其关于TCP/IP的对话过程&#xff0…

(转载)从0开始学matlab(第11天)—关系运算符和逻辑运算符

选择结构的运算由一个表达式控制的&#xff0c;这个表达式的结果只有 true(1) 和 false(0)。有两种形式的运算符可以在 MATLAB 中关系得到 true/false&#xff1a;关系运算符和逻辑运算符。跟 C 语言一样&#xff0c; MATLAB 没有布尔型和逻辑数据类型。 MATLAB 把 0 …

模块一:k8s集群部署与安全配置

模块一&#xff1a;k8s集群部署与安全配置 目录 1、K8s安全运维概述 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PST6trat-1684674016197)(https://bucket-hg.oss-cn-shanghai.aliyuncs.com/img/1665822875941-73d822c8-7bdd-481c-acc1-df97b70c…

python爬虫实战——小说爬取

python爬虫实战——小说爬取 基于requests库和lxml库编写的爬虫&#xff0c;目标小说网站域名http://www.365kk.cc/&#xff0c;类似的小说网站殊途同归&#xff0c;均可采用本文方法爬取。 目标网站&#xff1a;传送门 本文的目标书籍&#xff1a;《我的师兄实在太稳健了》…

软件设计师第4题

首先&#xff0c;我是备考2023年上半年的考试。 一、历年考试题 历年的考题如下&#xff0c;从表中分析可以看出&#xff0c;动态规划法、排序算法、回溯法、分治法是很大概率考察的算法&#xff0c;尤其是动态规划法&#xff0c;本身其理解难度较高&#xff0c;且可以出的题型…

docker:容器的数据卷

1 数据卷概念及作用 1.1 什么是容器数据卷 先来看看Docker的理念&#xff1a; 将应用与运行的环境打包形成容器运行 &#xff0c;运行可以伴随着容器&#xff0c;但是我们对数据的要求希望是持久化的容器之间希望有可能共享数据 Docker容器产生的数据&#xff0c;如果不通过…

什么是人工智能的知识图谱?知识图谱的组成、构建、应用有哪些?

人工智能&#xff08;Artificial Intelligence&#xff0c;AI&#xff09;是一种通过计算机模拟人类智能的技术&#xff0c;其应用范围越来越广泛。知识图谱&#xff08;Knowledge Graph&#xff0c;KG&#xff09;则是人工智能技术中的重要组成部分&#xff0c;它是一种结构化…

Redis集群安装之主从集群

1.主从集群 Redis有三种集群模式&#xff0c;分别是&#xff1a;主从模式、哨兵模式、Cluster模式。Rdis最开始使用主从模式做集群&#xff0c;若master宕机需要手动配置slave转为master&#xff1b;后来为了高可用提出来哨兵模式&#xff0c;该模式下有一个哨兵监视master和s…

TCP实现HTTP服务

在之前的篇章中我们已经讲过七层参考模型了&#xff0c;今天我们从传输层实现应用层http服务 使用nodejs原生net模块就可以打通TCP传输层并且提供一个端口号进行监听 创建一个TCP服务 import net from netconst server net.createServer((socket) > {socket.on(data, (da…

【路径规划】基于人工蜂群算法的栅格法路径规划 机器人路径规划【Matlab代码#23】

文章目录 【可更换其他算法&#xff0c;获取资源请见文章第6节&#xff1a;资源获取】1. 原始ABC算法2. 机器人路径规划环境创建3. 路径规划模型建立4. 部分代码展示5. 仿真结果展示6. 资源获取 【可更换其他算法&#xff0c;获取资源请见文章第6节&#xff1a;资源获取】 1. 原…

【实时性】实时性优化的一些参数设置和心得

博主未授权任何人或组织机构转载博主任何原创文章&#xff0c;感谢各位对原创的支持&#xff01; 博主链接 本人就职于国际知名终端厂商&#xff0c;负责modem芯片研发。 在5G早期负责终端数据业务层、核心网相关的开发工作&#xff0c;目前牵头6G算力网络技术标准研究。 博客…

Deformable DETR 论文学习

1. 解决了什么问题&#xff1f; DETR 去除了目标检测算法中的人为设计&#xff0c;取得了不错的表现。但是其收敛速度很慢&#xff0c;对低分辨率特征识别效果差&#xff1a; 模型初始化时&#xff0c;注意力模块给特征图上所有的像素点分配的权重是均匀的&#xff0c;就需要…

chatgpt赋能Python-python5的阶乘

Python5的阶乘介绍 Python是一门广泛应用于编写脚本、自动化、爬虫、数据分析等方面的编程语言&#xff0c;也是很多科研领域使用的首选。Python的功能和灵活性可以帮助用户解决各种问题&#xff0c;而本文要介绍的是Python中计算阶乘的方法。 阶乘是数学中的一个概念&#x…

fullter 学习记录_01_插件整理

flutter学习记录第一节--搭建项目及路由的设置 1.轮播图: flutter_swiper1.1 用处1.2 导入flutter_swiper库1.3 导入库&#xff0c;运行后可能遇到的问题1.4 属性说明1.5 代码案例 2. flutter_screenutil2.1 用处2.2 引用2.3 使用说明2.4 代码实现按理2.5 ScreenUtl 的封装 1.轮…

UNIX环境高级编程——守护进程

13.1 引言 守护进程&#xff08;daemon&#xff09;是生存期长的一种进程。它们常常在系统引导装入时启动&#xff0c;仅在系统关闭时才终止。因为它们没有控制终端&#xff0c;所以说它们是在后台运行的。 13.2 守护进程的特征 系统进程依赖于操作系统实现。父进程ID为0的各…

xxs跨站之原理分类及攻击手法

xss跨站达到原理&#xff0c;危害和特点 他和语言没有太大关系&#xff0c;它大部分都是属于一个前端的漏洞&#xff0c;搭建一个简易的php网站存在xss跨站漏洞 访问这个网站&#xff0c;x1&#xff0c;就输出1&#xff0c; 如果我们把x<script>alert(1)</script&g…

系统分析师考试之论文框架

系统分析师考试之论文框架 系统分析师考试之论文框架