Linux_IPtables防火墙详解
目录
Iptables
iptables(Linux package filter firewall (network layer))是Linux内核集成的IP信息包过滤系统,该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。防火墙在做信息包过滤决定时,有一套规则,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。虽然netfilter/iptables IP信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter和iptables组成。
netfilter组件:也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件:是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用Red Hat Linux 7.1或更高版本,否则需要下载该工具并安装使用它。
Iptables结构
表内有若干条链,链内有若干条规则。
规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用
4个规则表:
nat表:修改数据包中的源、目标IP地址或端口(网络地址转换)
filter表:确定是否修改数据包(过滤)解决放同行的数据包
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
表内访问链的顺序:
nat表:PREROUTING->POSTROUTING->OUTPUT
filter表:INPUT->FORWARD->OUTPUT
规则链
规则的作用:对数据包进行处理和过滤
链的作用:容纳各种防火墙规则
5种规则链:
INPUT:处理入站数据包
output:处理出战数据包
FORWARD(forward转发):处理转发数据包
POSTROUTING(post routing路由选择后):在进行路由选择后处理数据包 post 之后
PREROUTING(pre routing路由选择前):在进行路由选择钱处理数据包 pre 之前
Attention:数据包处理流程
数据包入站:
nat:PREROUTING->路由选择->filter:INPUT->本地应用程序
数据包转发:
nat: PREROUTING->路由选择->filter:FORWARD->nat:POSTROUTING->转发走
数据包出站:
nat: 本地应用程序->路由选择->filter:OUTPUT->nat:POSTROUTING->出站
iptables command use:
iptables指令用法详解
iptables [-t tableName] 选项 [链名] [条件] [-j 控制类型]
#example:
iptables -t filter -I INPUT -p icmp -j REJECT #reject ping protocols.
注意:
a. 不指定表,默认是filter表
b. 不指定链名,默认是指表的所有链
c. 除非设置了链的默认策略,否则必须指定匹配条件
常见的控制类型: -j
1. ACCEPT:允许通过
2. DROP:直接丢弃,不给予回应
3. REJECT:拒绝通过,给予回应
4. LOG:记录日志的信息
选项:
-A add 在链的末尾追加新的规则
-I insert 在链的开头插入规则
-L list 列出所有的规则条目
-n number 以数字的形式显示地址、端口的信息
--line-number 序号
查看iptables规则一般使用:
iptables -nvL
-D 删除链内指定序号的一条规则
-F 清空一个表的多有规则
-X 删除自定义链规则
-p 指定链设置默认规则DROP or ACCEPT
条件匹配:
-P protocol 协议名
-s source 源IP
-d destination 目的IP
-i input 入站网卡
-o output 出站网卡
--sport source port 源端口
--dport destination port 目的端口
--tcp-flags TCP标记
--icmp-type ICMP 类型
8:请求
0:回应
3:不可达
#example:
iptables -A FORWARD -s 192.168.4.0/24 -p udp -dport 52 -j ACCEPT --icmp-type 8
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
-m iprange --src-range
-m state --start ESTANLISHED,RELATED
综合案例
iptables -I INPUT -s 172.16.1.2 -d -i eth2 -p icmp --icmp-type 8 -j DROP
iptables -P FORWARD DROP --> FORWARD table default rule is DROP.
iptables -I FORWARD -s 172.16.1.0/24 -p tcp -m multiport --dport 21,25,80 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #established已经确定的,related相关的 有关的链接参数
Load Module:
modprobe ip_conntrack_ftp #FTP为需要2个端口的特殊的模块,所以需要加载模块
lsmod | grep ip #查看模块
SNAT 策略
Source Network Transform:私网内主机IP都共享一个公网IP,实现私网内主机使用同一个公网IP上网。
Attention:一定是路由转发后转换IP,且只有一个 -O(出站网卡)
数据包出站:
nat: 本地应用程序->路由选择->filter:OUTPUT->nat:POSTROUTING->出站
Example:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31(防火墙公网IP)
iptables -t nat -I POSTROUTING -s 192.168.8.0/24 -p tcp -m multiport --dport 80.21.25 -j SNAT -to 172.16.1.1
外网地址非固定时的共享动态IP地址上网:
MASQUERADE –> 地址伪装 –> 拨号
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
DNAT 策略
Destination Network Transform:将使用私网IP的服务器发布到公网上,使得公网上的主机可以访问此服务器
原理:目标地址转换
iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp -dport 80 -j DNAT -to -destination 192.168.1.6
目标地址转换
iptables -t nat -I PREROUTING -d 172.16.1.1 -p tcp -m multiport --dport 21,22,80 -j DNAT --to-destination 192.168.8.171
#一条DNAT规则只能指定一个服务器
iptables -I FROWARD -d 192.168.8.171 -p tcp -m multiport --dport 21,25,80 -j Accept
转换目标端口
iptables -t nat -I PREROUTING -d 172.16.1.1 -p tcp --dport 2222 -j DNAT --to 192.128.8.171:22
iptables -I FORWARD -d 192.168.8.171 -p tcp --dport 22 -j Accept
#Test:
ssh root@172.16.1.1 -p 2222 #在生产环境中,一般先SSH到Iptables Server,然后在从Server SSH 到目标主机中。
Iptables规则的备份和还原
导出规则:
iptables-save > /opt/iptables_all.txt #iptables-save用来把当前的规则存入一个文件里以备iptables-restore使用
备份:
service iptables save
还原:
iptables_all.txt > /etc/sysconfig/iptables
#or
iptables-restore << /opt/iptables_all.txt
iptables 练习
将filter table 中的INPUT 链的默认规则设为DROP
iptables -P OUTPUT DROP
iptables server可以ping到任何人,任何人不可以ping到iptables server
iptables -A OUTPUT -s 10.10.10.1 -o eth1 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -d 10.10.10.1 -i eth1 -p icmp --icmp-type 0 -j ACCEPT
#or
iptables -A OUTPUT -s 192.168.100.1 -o eth0 -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -d 192.168.100.1 -i eth0 -p icmp --icp-type 0 -j ACCEPT
HOST2可以通过防火墙访问HOST1的各种服务,HOST2的DNS要指向HOST1
SNAT 私网IPHOST可以访问公网IPHOST,转换源IP地址
iptables -A FORWARD -s 192.168.100.0/24 -p tcp -m multiport --dports 80,25,21 -j ACCEPT
iptables -A FORWARD -s 192.168.100.0/24 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -p tcp -m multiport --dport 80,25,21 -o eth1 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -p udp --dport 53 -o eth1 -j SNAT --to 10.10.10.1
iptables -A FORWARD -m state --state RELATED,ESTABLISHED # 设定FORWARD链的全局状态为:自动匹配数据包的状态,可以无须关心包回来的方法
modprobe ip_conntrcak_ftp #加载ftp模块, iptables 自身不带有
modprobe ip_nat_ftp
用iptables防火墙发布于内网的HOST2上的各种服务,是HOST1可以通过域名访问HOST2上的各种服务
DNAT 将私网中的服务器发布出去,让公网上的HOST可以访问,转换公网IP 主机的目的地址。
iptables -t nat -A PREROUTING -d 10.10.10.1 -i eth1 -p tcp -m multiport --dports 80,25,21 -j DNAT --to 192.168.100.2
iptables -t nat -A PREROUTING -d 10.10.10.1 -i eth1 -p udp --dport 53 -j DNAT --to 192.168.100.2
iptables -A FORWARD -d 192.168.100.2 -i eth1 -p tcp -m multiport --dport 80,25,21 -j ACCEPT
iptables -A FORWARD -d 192.168.100.2 -i eth1 -p udp --dport 53 -j ACCEPPT
HOST1访问远程管防火墙
iptables -A INPUT -d 10.10.10.1 -i eth1 -p tcp --dport 22 -j ACCEPT
iptables --A OUTPUT -S 10.10.10.1 -P TCP ---SPORT 22 -j ACCEPT
当HOST1访问iptables外网的2222端口时,会转发到HOST2的主机中(DNAT的端口转发)
iptables -t nat -A PREPOUTONG -d 10.10.10.1 -i eth1 -p dport 2222 -j DNAT --to 192.168.100.2:22
iptablws -A FORWARD -d 192.168.100.2 -i eth0 -p dport 22 -j ACCEPT
Linux_IPtables防火墙详解的更多相关文章
- iptables防火墙详解
iptables常用命令 iptables -nv -L 查看iptables列表 iptables -F 清空iptables规则 iptables-save > /etc/sysconfig ...
- Linux iptables 防火墙详解
0x00 iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成. netfilter 组件也称为内核空间,是内核的一部分,由一些 ...
- iptables 防火墙详解
一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种.无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘.而我们的任务就是需要去定义到底防 ...
- iptables防火墙详解(二)
-- 基于状态的iptables 如果按照tcp/ip来划分连接状态,有11种之多(课后可以自己去读一下相关知识) 但iptables里只有4种状态:ESTABLISHED.NEW.RELATED及I ...
- iptables防火墙详解(一)
-- 防火墙 常见的防火墙 :瑞星 江民 诺顿 卡巴斯基 天网...... iptables firewalld http://www.netfilter.org/ netfilter / iptab ...
- CentOS7中firewall防火墙详解和配置,.xml服务配置详解
修改防火墙配置文件之前,需要对之前防火墙做好备份 重启防火墙后,需要确认防火墙状态和防火墙规则是否加载,若重启失败或规则加载失败,则所有请求都会被防火墙 1. firewall-cmd --state ...
- CentOS 7中firewall防火墙详解和配置以及切换为iptables防火墙
官方文档介绍地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Gui ...
- CentOS 7.4中firewall防火墙详解和配置以及切换为iptables防火墙
转载:https://blog.csdn.net/xlgen157387/article/details/52672988 一.firewall介绍 CentOS 7中防火墙是一个非常的强大的功能,在 ...
- Linux防火墙详解
1.Linux防火墙基础 作为隔离内外网.过滤非法数据的有力屏障,防火墙通常按实现环境的不同分为硬件防火墙和软件防火墙.硬件防火墙是功能专一的硬件设备,具有比较全面的功能,其工作效率较高,但是加个昂贵 ...
随机推荐
- Qt设置生成的exe文件图标
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/qq_37354286/article/d ...
- Qualcomm_Mobile_OpenCL.pdf 翻译-5-性能优化的概述
这章提供了一个OpenCL应用程序优化的总体概述.更多的细节将会在接下来的章节中找到. 注意:OpenCL程序的优化是具有挑战性的.相比初始的程序开发工作,经常需要做更多的工作. 5.1 性能移植性 ...
- POSTGRESQL 批量权限 管理方法
原博地址 https://yq.aliyun.com/articles/41512?spm=a2c4e.11153940.0.0.20b7640fcDiFQA 关于PostgreSQL的逻辑架构和权限 ...
- Windows 2012 R2 DataCenter服务器 重启之后,其他加域电脑无法访问域账户
需在域控服务器重启,服务Kerberos Key
- Spring 核心之IOC 容器
核心概念: IOC(Inversion of Control)控制反转:所谓控制反转,就是把原先我们代码里面需要实现的对象创建.依赖的代码,反转给容器来帮忙实现. DI(Dependency Inje ...
- Django模型层(各种表及表数据的操作)
目录 一.Django模型层 0. django模型层的级联关系 1. 配置django测试脚本 (1)方式一 (2)方式二 2. orm表数据的两种增删改 (1)方式一: (2)方式二: 3. pk ...
- python之路day14--嵌套函数、匿名函数、高阶函数。函数的递归
嵌套函数 函数里不仅可以写代码,还可以嵌套函数 name = "小猿圈" def change(): name = "小猿圈,自学编程" def chang ...
- Vue路由参数设置可有可无
参数后面使用 ? id 后面加个 ‘ ? ’ ,将 id 设置为可选参数 { name: "index", path: '/p/:id?', component: resolve ...
- 【leetcode】1217. Play with Chips
题目如下: There are some chips, and the i-th chip is at position chips[i]. You can perform any of the tw ...
- Python 变量类型 Ⅱ
Python字符串 字符串或串(String)是由数字.字母.下划线组成的一串字符. 一般记为 : s="a1a2···an"(n>=0) 它是编程语言中表示文本的数据类型. ...