当前位置: 首页 > article >正文

Linux网络服务只iptables防火墙工具

目录

一、防火墙简介

1.iptables概述

 2.netfilter 及 iptables关系

 二、四表五链

 1.四表

 2.五链

三、iptables 工作原理

1.原理

 2.三种报文流向

 四、配置ipables

1. 下载并查看ipables

 2. 基本格式

 3. 常用选项

3.1 常用的控制类型:

3.2常用的管理选项:

四、规则的匹配

1.通用规则

2. 隐含匹配

 3. 显示匹配

 3.1多端口匹配

 3.2 IP范围匹配

3.3 MAC地址匹配

 3.4 状态匹配

五、 SNAT和DNAT

1.SNAT

2.DNAT


一、防火墙简介

1.iptables概述

Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

 2.netfilter 及 iptables关系

netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。

iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。

netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了 raw、mangle、nat 和 filter 四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

 二、四表五链

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
总结:表里有链,链里有规则

 1.四表

  • raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。
  • mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
  • nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
  • filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。
规则表说明
filter表过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表
nat表地址转换规则表
mangle表给数据包设置标记
raw表关闭启用的连接跟踪机制,加快封包穿越防火墙速度

 规则表的顺序: raw——>mangle——>nat——>filter

规则表的作用:容纳各种规则链

 2.五链

  • INPUT:处理入站数据包,匹配目标IP为本机的数据包。
  • OUTPUT:处理出站数据包,匹配从本机发出的数据包。
  • FORWARD:处理转发数据包,匹配流经本机的数据包。
  • PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
  • POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
规则链说明
INPUT处理入站数据包
OUTPUT处理出站数据包
FORWARD处理转发数据包
PEROUTING在进行路由选择前处理数据包
POSTROUTING在进行路由选择后处理数据包

 规则链的作用:容纳各种防火墙规则,对数据包进行过滤或处理

链的分类依据:处理数据包的不同时机

三、iptables 工作原理

1.原理

由软件包iptables提供的命令行工具。工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。

 2.三种报文流向

  • 流入本机:PREROUTING --> INPUT–>用户空间进程
  • 流出本机:用户空间进程 -->OUTPUT–> POSTROUTING
  • 转发:PREROUTING --> FORWARD --> POSTROUTING

 四、配置ipables

1. 下载并查看ipables

systemctl stop firewalld.service
systemctl disable firewalld.service         #关闭防火墙

yum -y install iptables iptables-services
systemctl start iptables.service

ipables --version                           #查看ipables版本

 2. 基本格式

iptables  [-t 规则表]  管理选项  [规则链]  [匹配条件]  [-j 处理动作]


例:iptables -t filter -A INPUT -s 192.168.0.1 - DROP

 注意事项:

  • 不指定表名时,默认指filter表
  • 不指定链名时,默认指表内的所有链
  • 除非设置链的默认策略,否则必须指定匹配条件
  • 控制类型和链名使用大写字母,其余均为小写

 3. 常用选项

3.1 常用的控制类型:
选项说明
ACCEPT允许数据包通过
DROP直接丢弃数据包,不给出任何回应消息
REJECT拒绝数据包通过,会给数据发送端一个相应信息
SNAT修改数据包的源地址
DNAT修改数据包的目的地址
REDIRECT重定向改变端口,将接受的包转发至本机的不同端口
MASQUERADE伪装成一个非固定公网IP地址
LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包。
3.2常用的管理选项:
选项说明
-A在指定链的末尾追加(--append)一条新的规则
-I在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则
-R修改、替换(--replace)指定链中的某一条规则,可指定规则序号或具体内容
-P设置指定链的默认策略(--policy)
-D删除(--delete)指定链中的某一条规则,可指定规则序号或具体内容
-F清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-L列出(--list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-n使用数字形式(--numeric)显示输出结果,如显示 IP 地址而不是主机名
-v显示详细信息,包括每条规则的匹配包数量和匹配字节数
--line-numbers查看规则时,显示规则的序号

 注意:

  • 若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
  • 按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
  • 按内容匹配删除时,确保规则存在,否则报错
  • -F 仅仅是清空链中的规则,并不影响 -P 设置的默认规则,默认规则需要手动进行修改
  • -P 设置了DROP后,使用 -F 一定要小心!
  • #防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决
  • 如果不写表名和链名,默认清空filter表中所有链里的所有规则
#允许来自192.168.1.0/24子网的数据包进入INPUT链
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
#-j 选项用于指定数据包匹配规则后的跳转目标(jump target)意味着如果数据包匹配了这条规则
(即,数据包的源 IP 地址在 192.168.1.0/24 范围内),那么它将被允许通过(接受)。


#删除允许来自192.168.1.0/24子网的数据包进入INPUT链的规则
iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT

#在INPUT链的第2条规则之前插入一条允许来自192.168.1.0/24子网的数据包进入的规则
iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT

#将INPUT链中的第2条规则替换为拒绝来自192.168.1.0/24子网的数据包的规则
iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP)
#列出INPUT链中的所有规则
iptables -L INPUT

#清空INPUT链中的所有规则
iptables -F INPUT

#清空INPUT链的数据包和字节数统计
iptables -Z INPUT

#将INPUT链的默认策略设置为DROP,即拒绝所有数据包
iptables -P INPUT DROP

#将FORWARD链重命名为NFORWARD
iptables -E FORWARD NFORWARD

#创建一个名为MYCHAIN的新规则链
iptables -N MYCHAIN

#删除名为MYCHAIN的自定义规则链
iptables -X MYCHAIN

四、规则的匹配

1.通用规则

可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。

  • 协议匹配:-p 协议名
  • 地址匹配:-s 源地址、-d 目的地址    #可以是IP、网段、域名、空(任何地址)
  • 接口匹配:-i 入站网卡、-o 出站网卡

2. 隐含匹配

 要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件。

  • 端口匹配:--sport 源端口、--dport 目的端口        #可以是个别端口、端口范围
  • --sport 1000                 匹配源端口是1000的数据包
  • --sport 1000:3000        匹配源端口是1000-3000的数据包
  • --sport :3000                匹配源端口是3000及以下的数据包
  • --sport 1000:                匹配源端口是1000及以上的数据包
TCP标志位匹配:--tcp-flags TCP标志位
例如:
iptables -I INPUT -p tcp --dport22  --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACT,URG,PSH SYK,FIN,RSN,ACK -j REJECT
iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH ACK -j REJECT

#tcp三次握手时的第一次握手放行 SYN 为 1 数据报文,拒绝其他包;第二次握手放行 SYN,ACK 为 1 数据报文,拒绝其他包
TCP标志功能
SYN(同步)用于建立连接。
ACK(确认)用于确认收到的数据。
FIN(结束)用于关闭连接。
RST(复位)用于重置连接。
URG(紧急)用于指示数据中有紧急数据部分。
PSH(推送)用于强制接收方立即处理数据。
ICMP类型匹配:--icmp-type ICMP类型    #可以是字符串、数字代码
“Echo-Request”(代码为 8)表示 请求
“Echo-Reply”(代码为 0)表示 回显
“Destination-Unreachable”(代码为 3)表示 目标不可达
关于其它可用的 ICMP 协议类型,可以执行“iptables -p icmp -h”命令,查看帮助信息

 举个例子
 
 #丢弃icmp的包,别人ping不通本机,本机也ping不通别人
 iptables -A INPUT -p icmp -j DROP
 ​
#禁止其他主机ping本机
 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 
 ​
 #当本机ping不通其它主机时提示目标不可达,此时其它主机需要配置关于icmp协议的控制类型为REJECT
 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

 3. 显示匹配

要求以“-m 扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。

 3.1多端口匹配

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

 3.2 IP范围匹配

-m iprange --src-range 源IP范围  --dst-range 目标地址范围

iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP			
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
3.3 MAC地址匹配

-m mac --mac-source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
#禁止来自某MAC 地址的数据包通过本机转发
 3.4 状态匹配

-m state --state 连接状态

常见的连接状态:说明
NEW主机连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
RELATED主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用
INVALID无效的封包,例如数据破损的封包状态

五、 SNAT和DNAT

1.SNAT

SNAT用于在网络中修改数据包的源IP地址
SNAT是一种单向的地址转换技术,只会修改数据包的源IP地址,不会修改目的IP地址。

2.DNAT

DNAT应用环境:在Internet中发布位于局域网内的服务器

DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。

DNAT转换前提条件:

  • 局域网的服务器能够访问Internet;
  • 网关的外网地址有正确的DNS解析记录;
  • Linux网关开启IP路由转发。


http://www.kler.cn/a/302403.html

相关文章:

  • 【LeetCode】【算法】581. 最短无序连续子数组
  • Android Studio更新成2024.1.2版本后旧项目Gradle配置问题
  • 鸿蒙next版开发:ArkTS组件点击事件详解
  • 免费,WPS Office教育考试专用版
  • 【STM32F1】——无线收发模块RF200与串口通信
  • Android音频架构
  • 网络编程day04(UDP、Linux IO 模型)
  • Hive SQL基础语法及查询实践
  • Linux网络:网络套接字-TCP回显服务器——多进程/线程池(生产者消费者模型)
  • “区块链积分系统:支付安全与效率的新篇章
  • 内外网文件安全交换如何做到?
  • 春日美食汇:基于SpringBoot的订餐平台
  • windows vscode ssh 连接远程服务器
  • 工厂模式(二):工厂方法模式
  • 使用Python或者GO实现OTP令牌的获取
  • <Linux> 基础IO
  • 利用物化视图刷新同步表记录
  • 从概念到现实,国际数字影像产业园如何打造数字文创产业标杆?
  • Android 开发避坑经验(2):深入理解Fragment与Activity交互
  • 宽哥之家小程序任务脚本
  • 服务器深度解析:五大关键问题一网打尽
  • CentOS 7 上安装 Docker
  • 【Three.js】实现护罩(防御罩、金钟罩、护盾)效果
  • 【PGCCC】PostgreSQL重做日志内幕!如何掌握事务日志记录的“黑魔法”
  • 9月13日星期五今日早报简报微语报早读
  • ssm“健康早知道”微信小程序 LW PPT源码调试讲解