1、关闭firewalld,安装iptables-server并启动服务

  systemctl stop firewalld

  systemctl disable firewalld

  yun -y install iptables-server

  yum -y install iptables-server

2、熟悉iptable框架

  1)iptables的4个表(区分大小写):

    iptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)。

  2)iptables的5个链(区分大小写):

    INPUT链(入站规则)

    OUTPUT链(出站规则)

    FORWARD链(转发规则)

    PREROUTING链(路有前规则)

    POSTROUTING链(路由后规则)

3、iptables命令的基本使用方法
  1)iptables语法的基本格式 

    iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]

    iptables -t filter -I INPUT -p icmp -j REJECT

    iptables -t filter -I INPUT -p icmp -j ACCEPT

    iptables -I INPUT -p icmp -j REJECT

##注意事项//注意事项与规律:

//可以不指定表,默认为filter表

//可以不指定链,默认为对应表的所有链

//除非设置默认策略,否则必须指定匹配条件

//选项/链名/目标操作用大写字母,其余都小写

#######################################//目标操作:

// ACCEPT:允许通过/放行

// DROP:直接丢弃,不给出任何回应

// REJECT:拒绝通过,必要时会给出提示

// LOG:记录日志,然后传给下一条规则

iptables命令的常用选项如图所示

创建iptables规则:

  iptables -t filter -A input -p tcp -j accept  #追击规则到filter表中的input链末尾,允许任何人使用tcp协议访问本机
  iptables -I input -p udp -j accept     #插入规则到filter表中的input链的开头,允许任何人使用UDP协议访问本机
  iptables -I input  2 -p icmp -j Accept    #插入规则到filter表中国的input链的第2行,允许任何人使用icmp协议访问本机

查看iptables防火墙规则:

  iptables -nL input    #仅查看input链的规则
  iptables -nL input --line-numbers  #查看规则显示行号

删除规则,清空所有规则

  iptables -D input 3    #删除filter表中input链的第3 条规则
  iptables -nL input     #查看规则是否已经删除
  iptables -F        #清空filter表中所有链的防火墙规则
  iptables -t nat -F      #清空nat表中的所有链的防火墙规则

  iptables -t mangle -F     #清空mangle表中的所有链的防火墙规则

设置防火墙默认规则

  iptables -t filter -P INPUT DROP  #当所有规则不匹配的时候走这一条规则
  iptables -nL

filter过滤和转发控制

1、iptables防火墙可以根据很多很灵活的规则进行过滤行为

主机型防火墙案例

  iptables -I INPUT -p tcp --dport 80 -j REJECT

  iptables -I INPUT -s 192.168.2.100 -j REJECT

  iptables -I INPUT -d 192.168.2.5 -p tcp -- dport 80 -j REJECT

  iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT

  iptables -A INPUT -s 192.168.4.120 -j DROP    #丢弃192.168.4.120发给本机的所有数据包
  iptables -A INPUT -s 10.0.10.0/24 -j DROP     #丢弃10.0.10.0/24网络中所有主机发送给本机的所有数据包

  iptables -A INPUT -s 114.21.33.12 -p tcp --dport 22 -j REJECT  #拒绝114.21.33.12使用TCP协议远程连接本机ssh(22端口)

开启linux路由转发功能

linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能
  echo 0 > /proc/sys/net/ipv4/ip_forward    #关闭路由转发(当前有效,重启失效)
  echo 1 > /proc/sys/net/ipv4/ip_forward    #开启路由转发(当前有效,重启失效)

  echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf  #修改/etc/sysctl.conf配置文件,可以实现永久有效规则

网络型防火墙案例

1)网络型防火墙案例

部署如表-3所示的网络拓扑,一定要把proxy主机的路由转发功能打开。

表-3 实验拓扑

添加网关的命令

  1. [root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
  2. [root@client ~]# nmcli connection up eth0
  3. [root@web1 ~]# nmcli connection modify eth1 ipv4.gateway 192.168.2.5
  4. [root@web1 ~]# nmcli connection up eth1

确认不同网络的联通性

  1. [root@client ~]# ping 192.168.2.100
  2. [root@web1 ~]# ping 192.168.4.100

在web1主机上启动http服务

  1. [root@web1 ~]# yum -y install httpd
  2. [root@web1 ~]# echo "test page" > /var/www/html/index.html
  3. [root@web1 ~]# systemctl restart httpd

没有防火墙的清空下client访问web服务

  1. [root@client ~]# curl http://192.168.2.100                    //成功

设置proxy主机的防火墙规则,保护防火墙后面的Web服务器

  1. [root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j DROP

设置完防火墙规则后,再次使用client客户端访问测试效果

  1. [root@client ~]# curl http://192.168.2.100                    //失败

禁ping的相关策略

1)默认直接禁ping的问题?

  1. [root@proxy ~]# iptables -I INPUT -p icmp -j DROP
  2. //设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
  3. //当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃

2)禁止其他主机ping本机,允许本机ping其他主机

  1. [root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
  2. //仅禁止入站的ping请求,不拒绝入站的ping回应包

注意:关闭ICMP的类型,可以参考help帮助,参考命令如下:

  1. [root@proxy ~]# iptables -p icmp --help

方案

iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:

iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:根据MAC地址过滤

1)根据IP过滤的确定是对方修改IP后,防火墙是失效

  1. [root@proxy ~]# iptables -F
  2. [root@proxy ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
  3. //设置规则禁止192.168.4.100使用ssh远程本机

但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开,需要使用virt-manager开启虚拟机操作:

  1. [root@client ~]# ifconfig eth0 192.168.4.101
  2. [root@client ~]# ssh 192.168.4.5                    //依然成功

根据MAC地址过滤,可以防止这种情况的发生

  1. [root@client ~]# ip link show eth0                    //查看client的MAC地址
  2. eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
  3. link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
  4. [root@proxy ~]# iptables -A INPUT -p tcp --dport 22\
  5. > -m mac --mac-source 52:54:00:00:00:0b -j DROP
  6. //拒绝52:54:00:00:00:0b这台主机远程本机

步骤二:基于多端口设置过滤规则

1)一次需要过滤或放行很多端口时会比较方便

  1. [root@proxy ~]# iptables -A INPUT -p tcp \
  2. > -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
  3. //一次性开启20,21,22,25,80,110,143,16501到16800所有的端口

步骤三:根据IP地址范围设置规则

1)允许从 192.168.4.10-192.168.4.20 登录

  1. [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 \
  2. > -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT

2)禁止从 192.168.4.0/24 网段其他的主机登录

  1. [root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP

配置SNAT实现共享上网

4.1 问题

本案例要求设置防火墙规则,允许位于局域网中的主机可以访问外网,主要包括下列服务:

  1. 搭建内外网案例环境
  2. 配置SNAT策略实现共享上网访问

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:搭建内外网案例环境

表-4 实验拓扑

这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。

现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.100在访问网页。

我们需要实现的效果是,client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。

步骤二:设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)

1)确保proxy主机开启了路由转发功能

  1. [root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            //开启路由转发

2)设置防火墙规则,实现SNAT地址转换

  1. [root@proxy ~]# iptables -t nat -A POSTROUTING \
  2. > -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5

3)登陆web主机查看日志

  1. [root@proxy ~]# tail /var/log/httpd/access_log
  2. .. ..
  3. 192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器!

iptables基本命令到深入的更多相关文章

  1. iptables命令详解和举例

    网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能有所帮助.网管员的安全意识要比空喊Linux安全重要得多. iptables -Fiptables -Xiptables -F ...

  2. 【服务器防护】iptables 配置详解(非常棒的案例)

    一. iptables 基本命令使用举例 链的基本操作 1.清除所有的规则.1)清除预设表filter中所有规则链中的规则.# iptables -F2)清除预设表filter中使用者自定链中的规则. ...

  3. IPTables系列:如何配置Ubuntu 14.04中的IPTables防火墙

    IPTables基本命令 在向大家介绍复杂防火墙规则之前,还是先上一些简单的料,让大家对IPTables最为基本的命令有一些简单了解. 首先要说明的是IPTables命令必需以root权限运行,这意味 ...

  4. Linux防火墙iptables学习笔记(三)iptables命令详解和举例[转载]

     Linux防火墙iptables学习笔记(三)iptables命令详解和举例 2008-10-16 23:45:46 转载 网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能 ...

  5. 细说firewalld和iptables

    在RHEL7里有几种防火墙共存:firewalld.iptables.ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等. fir ...

  6. Linux 防火墙iptables命令详解

    [转:原文链接] iptables -Fiptables -Xiptables -F -t mangleiptables -t mangle -Xiptables -F -t natiptables ...

  7. Linux防火墙iptables学习

    http://blog.chinaunix.net/uid-9950859-id-98277.html 要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多数据包进入,离开,或者经过 ...

  8. Linux 防火墙iptables 实例

    iptables的基本语法格式 iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 说明:表名.链名用于指定iptables命令所操作的表和链,命令选项用于指 ...

  9. iptables (2) 基本配置

    iptables 基本命令使用举例 一.链的基本操作 1.清除所有的规则.1)清除预设表filter中所有规则链中的规则.# iptables -F -F, --flush [chain] Flush ...

随机推荐

  1. python中装饰器(语法糖)概念

    “”“” 什么是装饰器? """ 还是通过一个例子来慢慢说明 先看下面的例子 def func_1(x): return x*2 def fun_2(x): return ...

  2. C++之带有默认参数值的构造函数

    在一个类中 ,如果程序员没有写,任何一个构造函数,则编译器将为该类提供一个默认的构造函数,如果程序员对类的构造函数进行了重载,则编译器将不提供默构造函数,这里需要手动书写一个无参的构造函数, 无参的构 ...

  3. (七)对话框,单选框(radiobox),复选框(checkbox),列表框(ListBox),组合框(CComboBox),水平滚动条(Horizontal scroll bar),微调(旋转)spincontrol,列表视图控件CListCtrl,静态控件static

    1,模态对话框和非模态对话框 // 模态对话框 void CMainFrame::OnDialogExec() { // TODO: 在此添加命令处理程序代码 // 创建对话框对象 CDialog d ...

  4. Django基础之template

    1. 模板系统的介绍 def current_datetime(request): now = datetime.datetime.now() html = "<html>< ...

  5. 完全免费,再也不用担心转pdf文件乱来乱去的问题了

    完全免费,再也不用担心转pdf文件乱来乱去的问题了. 源代码:https://github.com/xlgwr/WpsToPdf.git 第三方插件Bye Bye... 功能说明 主要引用Wps金山办 ...

  6. 预处理、const、static与sizeof-使用const与#define的特点及区别

    1:#define只是用来做文本替换的.例如: #define PI 3.1415926 float angle; angle=*PI/; 那么,程序进行编译的时候,编译器会首先将“#define P ...

  7. Netty使用(一)

    1.Netty介绍 Netty是一款基于NIO(Nonblocking I/O,非阻塞IO)开发的网络通信框架: 提供异步的.事件驱动的网络应用程序框架和工具,用以快速开发高性能.高可靠性的网络服务器 ...

  8. vue 无法覆盖vant的UI组件的样式

    vue 无法覆盖vant的UI组件的样式 有时候UI组件提供的默认的样式不能满足项目的需要,就需要我们对它的样式进行修改,但是发现加了scoped后修改的样式不起作用. 解决方法: 使用深度选择器,将 ...

  9. python练习-(秒转时分秒,时分秒转秒)-对比linux中文件的上次更改时间跟当前时间相差多久。

    具体代码如下> import paramiko,re,datetime,time ssh=paramiko.SSHClient() ssh.set_missing_host_key_policy ...

  10. tensorflow中一个矩阵和一个向量相加

    import tensorflow as tf x=tf.constant([[1,2],[3,4]]) y=tf.constant([[1],[1]])#列向量 z=tf.constant([1,1 ...