防火墙:是一种位于内部网络与外部网络之间安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。iptables通常被用作类UNIX系统中的防火墙,更准确的说,可以称为iptables/netfilter;管理员通过终端与iptables打交道,来添加和定义防火墙规则到预定义的表中。iptables位于/etc/sysconfig/iptables。iptables可以说是一个过滤规则,而Netfilter是内核中的一个模块,它才是执行包过滤任务的。而在RHEL/CentOS
7中,Firewalld被作为最新的过滤规则,它已经取代了iptables接口,并与netfilter相连接。Firewalld位于/etc/firewalld/是以XML为基础进行配置的。

iptables是来执行脚本的,而不是一种服务

    service iptables start     会启动一些模块。

    service iptables stop      会卸载一些模块。

    service status iptables    查看当前iptables是否开启

    lsmod | grep ip_tables     检测iptables模块是否被加载

iptables的一般格式:

iptables [-t 表] [-AID 链] [-i/o 接口] [-s sip] [-d dip] [-p 协议] -j 处理动作

放行sshd服务:(通信是双向的,在进出口上都要设置)

    iptables -t filter -A INPUT -s 192.168.1.0/24 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT      #表示192.168.1.0/24中的主机都可以访问192.168.1.1的sshd服务

    iptables -t filter -A OUTPUT -s 192.168.1.1 -d 192.168.1.0/24 -p tcp --sport 22 -j ACCEPT

4个基本表:

    1、filter:是iptables的默认表,用来过滤数据包,支持INPUT链、FOWARD链、OUTPUT链。

    2、nat:用于网络地址转换,根据表中规则修改数据包IP地址,支持PREROUTING链、OUTPUT链、POSTROUTING链

    3、mnagle:用来对特殊的包进行修改 支持PREROUTING链、INPUT链、FOWARD链、OUTPUT链、POSTROUTING链

    4、raw:表示在对数据包修改前定义某些包不能修改,直接放行

iptables的5个链

    1、PREROUTING:(表示路由前)

    2、INPUT :(入口处)

    3、FOWARD:(转发时)

    4、OUTPUT:(出口)

    5、POSTROUTING:(路由后)

处理动作:

    ACCEPT    :接受

    DROP    :丢弃,不让客户端知道

    REJECT    :明确拒绝

    DNAT    :目的地址转换

    SNAT    :源地址转换

    REDIRECT:端口重定向

    LOG        :为匹配的包开启内核记录

    MARK    :打标记,只适用于mangle表

规则:

    -A:在指定链后面追加一个规则

    -I 链 n:插入后为第n条,n不指定默认为第一条

    -D 链 n: 删除第n条规则

             iptables -D OUTPUT 3        #删除OUTPUT中第3条规则

    -R 链 n:替换,修改第n条规则

链:

    -F:清空规则,没有指定就删除所有

        iptables -t filter -F  INPUT     #删除filter表中的INPUT链上的规则

    -P:设置默认规则

        iptables -P INPUT DROP           #预设INPUT链为DROP

    -X:删除一个自定义的链

    -Z:清空计数器

查看  iptables -L:

    -n主机以数字形式表示

        iptables -L -n

    --line-number给出行号

    -v详细情况

    -vv更详细情况

    -vvv更更详细

    -x以字节为单位,表示数据包大小

匹配条件:

    1、通用匹配

        -s:源IP地址,可以跟网段和子网掩码,不加是表示全部匹配

        -d:目的IP地址,可以跟网段和子网掩码

        -p:协议(tcp、udp、icmp)

        -i:入口设备名(eth0、lo)

           iptables -A INPUT -i lo -j ACCEPT     #放行本机环回口

           iptables -A OUTPUT -o lo -j ACCEPT

        -o:出口设备名

    2、扩展匹配

       隐式匹配:

        -p  tcp --dport

                --tcp-flags SYN,FIN,ACK,RST    SYN,ACK    SYN和ACK是否为1,其他为0才匹配

            icmp --icmp-type

                ping 别人 进类型0 出8;别人ping自己 进8 出0;<span>不允许别人ping自己,自己可以ping别人</span>。

                iptables -A OUTPUT -s 192.168.248.133 -p icmp --icmp-type 8 -j ACCEPT

                iptables -A INPUT -d 192.168.248.133 -p icmp --icmp-type 0 -j ACCEPT

       显式匹配:

        -m state --state {NEW|ESTABLISHED|INALID|RELATED} 指定状态

           NEW:一次新的请求,tcp三次握手的第一次

           ESTABLISHED:NEW以后的连接,已经连接成功的连接状态

           RELATED:相关连得状态,表示这个包是与主机发送出去的数据包有关系,FTP连接中两个端口

           INALID:无法识别的状态,数据包破损

           iptables -A INPUT -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT  #用户创建新连接时和已经建立的连接时放行,进入链

           iptables -A INPUT -s 192.168.1.1 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT      #只放行已建立的连接,出链

        -m multiport

                --sport 源端口

                --dport 目的端口

                --ports 可以多个端口一起

           iptables -A INPUT -d 192.168.248.138 -p tcp -m multiport --dports 21,22,80 -m state --state NEW -j ACCEPT  #表示接收以192.168.248.138的21,22,80为目的端口状态为new的数据

        -m connlimit --connlimit-above    限制连接数

           iptables -A INPUT -d 192.168.248.131 -p tcp --dport 80 -m connlimit --connlimit-above 2 -j DROP  #限制访问192.168.248.131 httpd服务为2个,当有第3个时就会连不上

        -m limit --limit n/second   平均每秒n个连接

                 --limit-burst m     最大时每秒m个连接

           iptables -A INPUT -d 192.168.248.131 -p tcp --dport 80 -m limit --limit 10/second --limit-burst 30 -j ACCEPT   #设置访问web服务平均每秒10个连接,最大时30个链接。

        -m mac 网卡地址

              --mac-source 源网卡地址

           iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT #放行局域网内源MAC为aa:bb:cc:dd:ee:ff的主机。此条也可以限制局域网内部主机访问外网。

        -m string --algo {bm|kmp} --string "string"    过滤敏感字符 有两种算法bm和kmp

           iptables -A OUTPUT -s 192.168.248.1 -p tcp --sport 80 -m string --algo kmp --string "abc" -j DROP        #访问时内容包含abc的都过滤掉。

NAT(Network Address Translation)网络地址转换

SNAT  源IP地址转换为一个外网的IP

          iptables -t nat -A POSTROUTING -s 192.168.248.0/24 -j SNAT --to-source 222.24.24.1 #将192.168.248.0/24的地址 转换成222.24.24.1

DNAT  将目标IP转换为内网IP

          iptables -t nat -A PREROUTING -d 222.24.24.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.248.131  #将访问222.24.24.1的80端口,改为192.168.248.131的80端口

          iptables -t nat -A PREROUTING -d 222.24.24.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.248.131:8080 #改为访问8080端口

后面还有很复杂的规则;未完待续。。。。。



参考:鸟哥Linux私房菜,马哥Linux教学视频

Linux中iptables学习的更多相关文章

  1. Linux防火墙iptables学习笔记(三)iptables命令详解和举例[转载]

     Linux防火墙iptables学习笔记(三)iptables命令详解和举例 2008-10-16 23:45:46 转载 网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能 ...

  2. Linux防火墙iptables学习

    http://blog.chinaunix.net/uid-9950859-id-98277.html 要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多数据包进入,离开,或者经过 ...

  3. LINUX中IPTABLES防火墙使用

    对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptable ...

  4. Linux下iptables学习笔记

    Linux下iptables学习笔记 在Centos7版本之后,防火墙应用已经由从前的iptables转变为firewall这款应用了.但是,当今绝大多数的Linux版本(特别是企业中)还是使用的6. ...

  5. linux中iptables配置文件及命令详解详解

    iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables. 1.关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放. 下 ...

  6. linux中iptables配置文件及命令详解

    转自:https://www.cnblogs.com/itxiongwei/p/5871075.html iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconf ...

  7. linux中iptables的用法

    iptables基本操作笔记 一.基本操作 #启动防火墙 service iptables start #停止防火墙 service iptables stop #重启防火墙 service ipta ...

  8. Linux防火墙--iptables学习

    iptables是Linux系统提供的一个强大的防火墙工具,可以实现包过滤.包重定向.NAT转换等功能.iptables是免费的,iptables是一个工具,实际的功能是通过netfilter模块来实 ...

  9. Linux中iptables设置详细(转)

    无论如何,iptables是一个需要特别谨慎设置的东西,万一服务器不在你身边,而你贸然设置导致无法SSH,那就等着被老板骂吧,呵呵... 以下内容是为了防止这种情况发生而写的,当然很初级,不过一般服务 ...

随机推荐

  1. Haproxy压测

    目的:测试Haproxy压测情况 环境: Ha服务器:8核16G虚机,后端6个2核4G,压测客户端3个2核4G 安装和优化: 一.Haproxy #cd /opt/soft #wget http:// ...

  2. BZOJ 1598 第k短路

    思路: 先反向建图 Dijkstra一遍 求出h数组 再正向建图 A_star一遍 搞定 //By SiriusRen #include <queue> #include <cstd ...

  3. Gym - 100625D Destination Unknown 最短路

    http://codeforces.com/gym/100625/attachments/download/3213/2013-benelux-algorithm-programming-contes ...

  4. SQL一列的合并连起来

    CREATE TABLE #temp( ID INT, name NVARCHAR(max), age int, address ) ) insert into #temp select ID, na ...

  5. BZOJ3130: [Sdoi2013]费用流(二分,最大流)

    Description Alice和Bob在图论课程上学习了最大流和最小费用最大流的相关知识.    最大流问题:给定一张有向图表示运输网络,一个源点S和一个汇点T,每条边都有最大流量.一个合法的网络 ...

  6. JAVA基础数据类型

    JAVA的数据类型粗略分两种 1.基本数据类型 整数类型: byte,short,int,long 浮点类型: float,double 字符类型: char 布尔类型: boolean 基本语法格式 ...

  7. codevs 1019 集合论与图论

    1019 集合论与图论  时间限制: 1 s  空间限制: 128000 KB  题目等级 : 黄金 Gold 题解  查看运行结果     题目描述 Description 集合论与图论对于小松来说 ...

  8. SQL char字段类型排序

    我是做的ACCESS时候需要对字段的值进行排序,字段格式是char类型的,但是存的值是数字.现在需要对该字段进行排序. 通过查找,找到以下两种方法,记录下来. 1. 你可以转换成int型再排序 sel ...

  9. 父类与子类的virtual

    父类加了virtual,子类不需要加virtual,多余.加了也不会报错. 父类中不是virtual,子类是virtual,那么父类中的不是虚函数,子类及子子类的派生类中该函数才是虚函数

  10. POJ 2352 Stars(线段树)

    题目地址:id=2352">POJ 2352 今天的周赛被虐了. . TAT..线段树太渣了..得好好补补了(尽管是从昨天才開始学的..不能算补...) 这题还是非常easy的..维护 ...