iptables防火墙入门
一、iptables基本管理
iptables运行前提:关闭firewalld防火墙再开启iptables,不然造成冲突。
基本指令:
1.部署iptables服务
yum –y install iptables-services
systemctl start iptables.service
systemctl status iptables.service
2.iptables的框架(4表5链)
iptables默认有4个表:filter表(数据过滤表)、nat表(地址转换表)、raw表(状态跟踪表)以及mangle表(包标记表),常用的有filter以及nat。
每个表下有5条链对应不同的过滤节点:INPUT链(入站规则),OUTPUT链(出站规则)、FORWARD链(转发规则)、PREROUTING链(路由前规则)以及POSTROUTING链(路由后规则)。
3.iptables命令的基本使用方法
基本格式:iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
ps:
1.可以不指定表,默认为filter表;
2.可以不指定链,默认为对应表的所有链;
3.除非设置默认策略,否则必须指定匹配条件;
4.选项/链名/目标操作用大写字母,其余用小写
5.关于目标操作:
a.ACCEPT:允许通过/放行
b.DROP:直接丢弃,不给出任何回应
c.REJECT:拒绝通过,必要时会给出提示
d.LOG:记录日志,然后传给下一条规则
6.iptables的常用选项
7.举例说明
a.创建规则:[root@proxy ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
//追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机
b.查看iptables防火墙规则:
[root@proxy ~]# iptables -nL INPUT //仅查看INPUT链的规则
[root@proxy ~]# iptables -L INPUT --line-numbers //查看规则,显示行号
c.删除规则:
[root@proxy ~]# iptables -D INPUT 3 //删除filter表中INPUT链的第3条规则
[root@proxy ~]# iptables -F//清空filter表中所有链的防火墙规则
[root@proxy ~]# iptables -t nat -F //清空nat表中所有链的防火墙规则
d. 设置防火墙默认规则
[root@proxy ~]# iptables -t filter -P INPUT DROP
[root@proxy ~]# iptables -nL
Chain INPUT (policy DROP)
ps:设置前最好设置允许远程,不然设置默认为drop后远程会直接断开,实际应用中不设置为reject。
二、filter过滤和转发控制
2.1防火墙分类
实际应用中,根据防火墙需要保护的对象的不同,防火墙可以分为主机型防火墙与网络型防火墙。
主机型防火墙:主要保护的是服务器本机(过滤威胁本机的数据包);
网络防火墙:主要保护的是防火墙后面的其他服务器,如web服务器、ftp服务器等
2.2防火墙过滤条件及举例
iptables防火墙可以根据很多很灵活的规则进行过滤行为,具体常用的过滤条件如下:
举例:(针对主机型防火墙)
[root@proxy ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
拒绝任何通过tcp协议访问本机80端口;
[root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
拒绝来自192.168.2.100主机访问
[root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
拒绝通过tcp协议访问192.168.2.5主机的80端口
[root@proxy ~]# iptables -A INPUT -s 114.212.33.12 -p tcp --dport 22-j REJECT
拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)
2.3针对网络防火墙,需要开启lunux的路由转发功能
linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能
[root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward //关闭路由转发
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
//注意以上操作仅当前有效,计算机重启后无效
[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
//修改/etc/sysctl.conf配置文件,可以实现永久有效规则
举例:(网络防火墙过滤)
实验前需要搭建的测试环境:
环境测试:
1.确认不同网络的连通性:4.100能ping通2.100
2.web1上建立测试页面并启动web服务
3.未建立防火墙前client能访问web1的页面
实例:
[root@proxy ~]# iptables -I FORWARD -s 192.168.4.100 -p tcp --dport 80 -j REJECT
拒绝192.168.4.100 通过tcp协议访问其他网段的80端口;
[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
设置其他主机无法ping本机,但存在本机也无法ping其他主机,因为本机ping其他主机时,其他主机的回应使用的也是icmp协议,会被丢弃,无法接受
解决方法:仅禁止入站的ping请求,不拒绝入站的ping回应包
[root@proxy ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
ps:关闭ICMP的类型,可以参考help帮助,参考命令如下:
[root@proxy ~]# iptables -p icmp --help
三、防火墙扩建规则
iptables在基本过滤条件的基础上海扩展了很多其他条件,在使用时需要使用-m参数来激活这些扩展功能,基本语法如下:
iptables 选项 链名 –m 扩展模块 –具体扩展条件 –j 目标操作
3.1根据mac地址的过滤
实际应用中,根据ip过滤的规则在对方修改ip后再次访问,防火墙并不能识别过滤,而由于一台主机仅对应一个mac地址,因此根据mac地址过滤则可以防止这种情况发生。
eg:
[root@proxy ~]# iptables -I INPUT -s 192.168.4.100 -p tcp --dport 22 -j DROP
//设置规则禁止192.168.4.100使用ssh远程本机,此时用4.100远程得不到回应
[root@client ~]# ifconfig eth0 192.168.4.101 //修改4.100的ip为4.101
[root@client ~]# ssh 192.168.4.5 //可以远程
[root@client ~]# ip link show eth0 //查看client的MAC地址
eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22
> -m mac --mac-source 52:54:00:00:00:0b -j DROP
//拒绝52:54:00:00:00:0b这台主机远程本机
3.2基于多端口设置过滤规则
[root@proxy ~]# iptables -A INPUT -p tcp -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
//一次性开启20,21,22,25,80,110,143,16501到16800所有的端口,“:”为范围;
3.3根据ip地址范围设置规则
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
允许从 192.168.4.10-192.168.4.20 登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP
禁止从 192.168.4.0/24 网段其他的主机登录
四、配置snat实现共享上网
实际应用中,需要企业内部位于局域网的主机可以访问外网,可以通过配置snat策略实现共享上网访问。
环境继续使用刚刚的环境,在这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。
现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.100在访问网页。
我们需要实现的效果是,client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。
实际操作如下:设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)
1)确保proxy主机开启了路由转发功能
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发
2)设置防火墙规则,实现SNAT地址转换
[root@proxy ~]# iptables -t nat -A POSTROUTING
> -s 192.168.4.0/24 –p tcp --dport 80 -j SNAT --to-source 192.168.2.5
3)登陆web主机查看日志
[root@proxy ~]# tail /var/log/httpd/access_log
.. ..
192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器!
iptables防火墙入门的更多相关文章
- 快速入门linux系统的iptables防火墙 1 本机与外界的基本通信管理
概述 iptables是一种运行在linux下的防火墙组件,下面的介绍可以快速的学习iptables的入门使用. 特点(重要) 它的工作逻辑分为 链.表.规则三层结构. 数据包通过的时候,在对应表中, ...
- Netfilter/iptables防火墙
http://os.51cto.com/art/201107/273443.htm [51CTO独家特稿]Linux系统管理员们都接触过Netfilter/iptables,这是Linux系统自带的免 ...
- iptables 从入门到应用
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://powermichael.blog.51cto.com/12450987/1952 ...
- CentOS系统配置 iptables防火墙
阿里云CentOS系统配置iptables防火墙 虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT.OUTPUT和FO ...
- 关闭SELinux和iptables防火墙
1.关闭SELinux: 编辑SELinux配置文件: [root@Redis selinux]# vim /etc/selinux/config 修改SELINUX配置项为disable SELIN ...
- CentOS 7.0,启用iptables防火墙
CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙. 1.关闭firewall: systemctl stop firewalld.service #停止fir ...
- 编译内核实现iptables防火墙layer7应用层过滤 (三)
在前面的两篇文章中我们主要讲解了Linux防火墙iptables的原理及配置规则,想博友们也都知道iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙.以 ...
- [CentOs7]iptables防火墙安装与设置
摘要 CentOS 7.0默认使用的是firewall作为防火墙,如果改为iptables防火墙,如何操作? 关闭firewall: systemctl stop firewalld.service ...
- iptables防火墙作为基本需求的配置
企业中使用iptables防火墙:(一般不要在命令中输入规则) # Firewall configuration written by system-config-firewall# Manual c ...
随机推荐
- mac docker --net=host
Docker 中的 host 模式指定是容器与主机享受相同的 network namespace. host 模式设计出来就是为了性能,但是这却对 docker 的隔离性造成了破坏,导致安全性降低. ...
- python中的FQA (python 学习篇 1)
Q:1. " if __name__=='__main__' " 这句是什么意思,可以不加吗? A: 如果单独运行该文件,则该模块的内容会被执行: 若运行的文件引用该 ...
- hdoj2196(树形dp,树的直径)
题目链接:https://vjudge.net/problem/HDU-2196 题意:给出一棵树,求每个结点可以到达的最远距离. 思路: 如果求得是树上最长距离,两次bfs就行.但这里求的是所有点的 ...
- Linux就该这么学——初识vim编辑器
在Linux系统中一切都是文件,而配置一个服务就是在修改其配置文件的参数 初识Vim编辑器 Vim编辑器顾名思义就是用来编写脚本程序的”记事本” Vim编辑器模式 : 命令模式 : 控制光标移动,可对 ...
- T100——查询 r类 报表开发流程
报表开发流程:1.建立入口程序 如r类的作业:cxmr500步骤: azzi900中建立程序代号 azzi910中建立作业代号 设计器--规格--签出 设计器--程序--签出 adzp168(r.a) ...
- Nginx、OpenResty和Kong的基本概念与使用方法
Nginx.OpenResty和Kong的基本概念与使用方法 2018年10月10日 22:46:08 李佶澳 阅读数 322更多 分类专栏: kubernetes 版权声明:本文为博主原创文章, ...
- 解决radiobutton在gridview中无法单选的一种方法
最近在项目中有个单选gridview中某一项的需求,使用radiobutton后发现,虽然最终选择出来的是一项,但是在页面上却可以选择多项,经过查看生成的html代码,发现生成的radio的name属 ...
- c# word excel text转html的方法
首先是预览图片,这个功能很好实现,无非就是创建一个html页面,嵌套一个<img>,为了限制图片类型,可以定义一个允许预览类型数组作为限制: /// <summary> /// ...
- CSS 小工具集
http://www.colorzilla.com/gradient-editor/css渐变生成工具.http://linxz.github.io/tianyizone/css志爷小工具.http: ...
- vue入门:(事件处理)
基本应用 修饰符 为什么要在HTML中使用事件监听 Demo 一.基本应用 1.通过v-on指令绑定事件,例如: <button v-on:click="">提交< ...