一.概述

因为iptables软件利用的是数据包的过滤的机制。所以它会分析数据包的报头数据。根据报头数据与定义的规则来决定该数据是否可以放行。若数据包内容与规则内容相同则放行,否则继续与下一条规则进行比较。我们可以发现这些规则是有顺序的。如果数据符合第一条规则,则不再理会后续的规则了。因此,规则的排列顺讯是非常重要的。

如果该数据与所有规则都不符合,则会通过默认操作,即数据包策略Policy。

二.iptables的整体框架

从名字我们就可以得知,iptables是一个管理多个表格的软件。而每个表格又有很多链(chain)。我们在上面(概述)提到的工作流程其实只是某个表格的某个链的执行原理。

如何查看当前iptables中已经存在的表以及其中的规则呢?

iptables [-t tables] [-L] [-nv]

-t ===> 后面接table,若省略则默认使用filter

-L ===> 列出目前的table的规则

-n ===> 不进行IP和HOSTNAME的反查

-v ===> 列出更多的信息

eg:

字段属性:

target ===> 代表进行的操作,ACCEPT事放行,而REJECT则是拒绝,DROP是丢弃

prot ===> 代表使用的数据包协议

opt ===> 额外的选项说明

source ===> 代表此规则是针对哪个来源IP进行限制

destination ===> 代表此规则是针对哪个目标IP进行限制

主要的表及其内部包含的链:

Filter(过滤器):

主要跟进入Linux本机的数据包有关,是默认的table。

INPUT:与要进入本机的数据包有关

OUTPUT:与本机要送出的数据包有关

FORWARD:与本机没有关系,可以传递数据包到后端的计算机中,与NAT的相关性较高

NAT(地址转换):

PREROUTING:路由判断之前要进行的规则

POSTROUTING:路由判断之后要进行的规则

OUTPUT:与发送出去的数据包有关

这个用来进行来源与目的地的IP或port的转换,与本机无关,主要与Linux主机后的局域网内计算机有关

Mangle(破坏者):

特殊的数据包。该表与特殊标志相关性较高

三、常用命令

1.查看完整的防火墙规则(没有格式化输出)

iptables-save [-t table]

2.清除规则

iptables [-t tables] [-FXZ]

-F ===> 清除所有的已制定规则

-X ===> 删除所有用户“自定义”的链(chain)

-Z ===> 将所有用户的链(chain)的计数与流量都归零

注意:这三条命令会将本机防火墙规则都清除,但是不会改变默认策略(policy)

3.定义默认策略

策略(policy) :当数据包不在我们设置的规则之内时,它的通过与否是以策略(policy)的设置为准。

iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT|DROP]

-P ===> 定义策略(Policy)

ACCEPT ===> 该数据包可接受

DROP ===> 该数据包直接丢弃,不会让Client端知道为何丢弃

eg:

将本机的INPUT设置为DROP

iptables -P INPUT DROP

4.数据包的基础对比

iptables [-A/I 链名] [-i/o 网络接口] [-p 协议] [-s 来源IP/网络] [-d 目标IP/网络] -j [ACCEPT|DROP|REJECT|LOG]

-A ===> 新增一条规则到该链的最后面

-I ===> 插入一条规则,若没有指明此规则的顺序,则默认插入变成第一条规则

-i ===> 设置数据包进入网络接口(eth0,lo等)的规范,需要与INPUT链配合

-o ===> 设置数据包传出网络接口的规范,需要与OUTPUT链配合

-p ===> 设置改规则适用于哪种数据包格式(tcp,udp,icmp,all)

-s ===> 设置此规则之数据包的来源地,可以为IP(如192.168.1.1)或网络(如192.168.1.0/24或192.168.1.0 255.255.255.0)

-d ===> 设置此规则之数据包的目标IP或网络

-j ===> 后面接操作,ACCEPT(接受),DROP(丢弃),REJECT(拒绝),LOG(记录)

注意:如果没有设置某个参数,则代表无论该参数代表的值为何值都接受

eg:

(1).

iptables -A INPUT -i lo -j ACCEPT 

该命令的意思是:设置lo成为受信任的设备,亦即进入和出去lo的数据都予以接受。

(2).

iptables -A INPUT -i eth1 -j ACCEPT

该命令的意思是:设置eth1网卡为信任网卡。即该网卡没有任何防备。

5.TCP、UDP的规则比对:针对端口设置

iptables [-A/I 链] [-i/o 网络接口] [-p tcp,udp] [-s 来源IP/网络] [--sport 端口范围] [-d 目标IP/网络] [--dport 端口范围] -j [ACCEPT|DROP|REJECT]

--sport ===> 端口范围,限制来源的端口号码

--dport ===> 端口范围,限制目标的端口号码

注意:因为仅有tcp与udp数据包具有端口,因此要想使用--dport,sport时,需要加上-p tcp或-p udp的参数才会成功

eg:将想要连接进入本机port 21的数据包全部阻挡

iptables -A INPUT -i ens33 -p tcp --dport 21 -j DROP

6.特殊标志,对主动连接SYN的处理

eg:

将来自任何地方来源port 1:1023的主动连接到本机端的 1:1023连接丢弃

iptables -A INPUT -i ens33 -p tcp --sport 1:2023 --dport 1:1023 --syn -j DROP 

注意:一般来说,客户端启用的port都大于1024,而服务器端启用的端口都小于1023。

7.iptables外挂模块:mac与state

iptables -A INPUT [-m state] [--state 状态]

-m ===> 接iptables的外挂模块

常见的外挂模块有:

state:状态模块

mac:网卡硬件地址

--state ===> 接数据包的状态

常见状态主要有:

INVALID:无效的数据包

ESTABLISHED:已经连接成功的连接状态

NEW:想要新建立连接的数据包状态

RELATED:表示这个数据包是与主机发送出去的数据包有关

eg:

(1).只要已建立连接或与已发出请求相关的数据包就予以通过

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

(2).针对局域网内的aa:bb:cc:dd:ee:ff主机开放其连接

iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT 

Linux网络安全篇,认识防火墙(二),Netfilter的更多相关文章

  1. Linux网络安全篇,认识防火墙(一)

    一.概念 防火墙分为软件防火墙和硬件防火墙.我们的主要讨论范围为软件防火墙. 软件防火墙又分为网络型和单一型的管理. 1.单一主机型防火墙 (1)数据包过滤型的Netfilter (2)依据服务软件程 ...

  2. Linux网络安全篇,认识防火墙(三),TCP Wrappers

    1.防火墙设置文件 任何以xinetd管理的服务都可以通过 /etc/hosts.allow /etc/hosts.deny 这两个文件来设置防火墙(针对源IP或域进行允许或操作的设置). 其实/et ...

  3. Linux网络安全篇,配置Yum源(二),阿里Yum源

    官网教程: https://opsx.alibaba.com/mirror 1.下载配置文件到 /etc/yum.repos.d 目录 wget -O /etc/yum.repos.d/CentOS- ...

  4. Linux网络安全篇,进入SELinux的世界(二)

    一.简单的网页制作 1.启动httpd服务 /etc/init.d/httpd start 2.编写首页网页文件 echo "hello,this is my first webPage&q ...

  5. Linux网络安全篇,进入SELinux的世界(一)

    SELinux 即安全强化的Linux. 一.基本概念 SELinux是通过MAC(强制访问控制,,可以针对特定的进程与特定的文件资源来进行访问权限的控制!也就是说即使你是root,在使用不同的进程时 ...

  6. Linux网络安全篇,FTP服务器的架设

    一.FTP简介 FTP基于TCP协议.而且FTP服务器使用了命令通道和数据流通道两个连接.两个连接都会分别进行三次握手.在命令通道中客户端会随机取一个大于1024的端口与FTP服务器的21端口建立连接 ...

  7. Linux网络安全篇,进入SELinux的世界(三)

    SELinux防火墙配套的服务 一.auditd 1.基本功能 将详细信息写入到 /var/log/audit/audit.log文件 2.设置开机自动启动 chkconfig --list audi ...

  8. Linux网络安全篇,配置Yum源(一),本地Yum源

    1.创建挂载目录 mkdir /mnt/cdrom 2.挂载软件源cdrom mount /dev/cdrom /mnt/cdrom/ 3.建立本地yum源资源文件夹 mkdir /usr/local ...

  9. Linux网络安全篇,进入SELinux的世界(四)

    SELinux的策略与规则管理set 1.安装SELInux工具 yum install setools-console 2.基本的命令 seinfo [-Atrub] -A ===> 列出SE ...

随机推荐

  1. .NET实现一个简单的IOC容器

    目录 1.主要细节 2.具体示例 参考及示例代码下载 shanzm-2020年3月17日 20:06:01 1.主要细节 使用反射程序集的方式获取对象的类型 通过反射的方式获取指定类型的的所有公共属性 ...

  2. iframe的父子层跨域 用了百度的postMessage()方法

    父层:第一个是方法申明 第二个是接收子层过来的数据 <script type="text/javascript"> $("#main").load( ...

  3. ASP.net 简单ajax实现

    <script type="text/javascript"> $(function () { var t=$("txt1").val(); $.a ...

  4. .Net微服务实战之技术选型篇

    王者荣耀 去年我有幸被老领导邀请以系统架构师的岗位带技术团队,并对公司项目以微服务进行了实施.无论是技术团队还是技术架构都是由我亲自的从0到1的选型与招聘成型的,此过程让我受益良多,因此也希望在接下来 ...

  5. Python-时间戳、元组时间的格式、自定义时间格式之间的转换

    一.时间戳.元组时间的格式.自定义时间格式之间的转换 1.下面是三者之间的转换关系: 2.代码如下: import time import datetime print(time.time()) #获 ...

  6. 五分钟学Java:一篇文章带你搞懂spring全家桶套餐

    原创声明 本文首发于微信公众号[程序员黄小斜] 本文作者:黄小斜 转载请务必在文章开头注明出处和作者. 本文思维导图 什么是Spring,为什么你要学习spring? 你第一次接触spring框架是在 ...

  7. form组件源码

  8. 【NLP面试QA】预训练模型

    目录 自回归语言模型与自编码语言 Bert Bert 中的预训练任务 Masked Language Model Next Sentence Prediction Bert 的 Embedding B ...

  9. [Linux系统] CentOS7(RHEL7)重置root用户密码

    1.系统启动时,按"e"进入编辑界面 2.编辑内容 将rhgb quiet修改为 init=/bin/sh : 然后按 ctrl+x . 3.修改root密码 mount -o r ...

  10. html5 window.postMessage 传递数据的使用

    window.postMessage(图片介绍): 发送方(图片介绍): 接收方(图片介绍): 个人测试一(iframe): 发送方,地址为:http://localhost:63342/HelloH ...