防火墙之iptables

iptables概述

1.Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。

2.主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

-netfilter/iptables关系:

netfilter:

属于“内核态”又称内核空间(kernel space)的防火墙功能体系。linux 好多东西都是内核态 用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables :

属于“用户态”(User Space, 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。


netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

iptables的四表五链

五链:控制流量的时机

流量:有两种可能性:一种是发给你的,另一种是需要你转发的

五个规则链:

1.pre -routing :路由选择前处理数据包

2.post -routing:路由选择后处理数据包

3.input :处理进入本机的数据包

4.output :处理本机出去的数据包

5.forward :处理转发数据包

四个规则表:(按优先级排列)如何控制流量

raw > mangle > nat > filter

1.raw表:确定是否对该数据包进行状态跟踪

2.mangle表:为数据包设置标记

3.nat表:修改数据包中的源、目标ip地址或端口

4.filter表:确定是否放行该数据包(实际上就是过滤)

总结:

  • 表的作用:容纳各种规则链

  • 表的划分依据:防火墙规则的作用相似

  • 链规则的作用:对数据包进行过滤或处理

  • 链的作用:容纳各种防火墙规则

  • 链的分类依据:处理数据包的不同时机

内核数据包的传输过程

1.当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要 转送出去

2.如果数据包是进入本机的,数据包就会到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达

3.如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

iptables的安装

centos7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙,必须先关闭firewalld防火墙,再安装iptables

yum -y install ptables iptables-services      #安装后再开启

iptables的基本语法:

iptables   [-t  表名]  管理选项 [规则链] [匹配条件]  [-j  控制类型]

管理选项用法示例
-A在指定链末尾追加一条 iptables -A INPUT (操作)
-I在指定链中插入一条新的,未指定序号默认作为第一条 iptables -I INPUT (操作)
-P指定默认规则 iptables -P OUTPUT ACCEPT (操作)
-D删除 iptables -t nat -D INPUT 2 (操作)
-p服务名称 icmp tcp
-R修改、替换某一条规则 iptables -t nat -R INPUT (操作)
-L查看 iptables -t nat -L (查看)
-n所有字段以数字形式显示(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名) iptables -L -n,iptables -nL,iptables -vnL (查看)
-v查看时显示更详细信息,常跟-L一起使用 (查看)
--line-number规则带编号 iptables -t nat -L -n --line-number /iptables -t nat -L --line-number
-F清除链中所有规则 iptables -F (操作)
-N新加自定义链
-X清空自定义链的规则,不影响其他链 iptables -X
-Z清空链的计数器(匹配到的数据包的大小和总和)iptables -Z
-S看链的所有规则或者某个链的规则/某个具体规则后面跟编号

匹配条件

匹配条件含义
-s源地址
-d目的地址
--sport 输入端口                
--dport输出端口
-i代表从哪个网卡进来
-o代表从哪个网卡出去

数据包的常见控制类型

控制类型含义
DROP丢弃
REJECT拒绝
ACCEPT允许
LOG日志,添加备注
SNAT源地址转换
DNAT目的地址转换

查询: -vnL

iptables [-t 表名(默认filter)] -vnL :

v:显示详细信息

n:所有字段以数字化形式显示

L:防火墙列表

显示行号:    iptables -vnL --line-num   

如果查看的不是filter表需要指明表:

iptables -vnL -t nat

添加规则:-A  -I

-A:追加规则

iptales -A INPUT -s ip/掩码 -j ACCEPT或REJECT或REJECT

示例:

iptables -A INPUT -p icmp -j REJECT 

#不允许任何主机ping本主机

#形成白名单:

iptables -A INPUT -s 192.168.116.30 -j ACCEPT  #允许192.168.116.30通过

iptables -A INPUT -i  lo  -j  ACCEPT                       #允许本机的网卡通过

iptables -A INPUT -j REJECT                                  #最后一条加入拒绝全部,白名单形成

#黑名单则反之

-I (大写的i)需要指明序号:

iptables -I INPUT 2 -s 192.168.116.0 /24 -j ACCEPT

#允许主机ssh端口通过我

语法:ipatble [-t fil] I或A 链(INPUT) 规则 -j 跳转

删除、清空规则:-D -F

-F:清空规则

iptables -F

-D:删除

iptab -D 链 规则序号

示例:

iptables -t filter -D INPUT 2

#删除 filter 表中 INPUT链中的 第2条规则

修改默认规则:-P

-F只会清空链中的规则,并不影响-P的默认规则,默认规则需要手动修改

语法:iptables [-t 表名]  -P  链名   控制类型

默认是允许通过(黑名单)

iptaples -P INPUT -j ACCEPT

修改默认不允许通过(白名单)

iptaples -P INPUT -j  REJECT                     

替换规则:-R

iptables -R INPUT 1 -S 192.168.116.30 -j ACCEPT

#将序号的内容替换为192.168.116.30

通用匹配和模块匹配

通用匹配:没有指明模块

模块匹配:写规则的时候要  -m  指定模块名

-m 模块名 如-m time 指定时间模块

通用匹配

直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。

1.协议匹配: -p协议名

2.地址匹配: -s 源地址、-d目的地址 #可以是IP、网段、域名、空(任何地址)

3.接口匹配: -i入站网卡、-o出站网卡

iptables -A FORWARD ! -p icmp -j ACCEPT         #使用了icmp协议

iptables -A INPUT -s 192.168.91.101 -j DROP     #使用源地址

iptables -I INPUT -i ens33 -s 192.168.116.0/24  -j DROP 

 #进入的网卡口为ens33,源地址为192.168.116.0/24

iptables -I INPUT -p icmp -j DROP

iptables -A FORWARD ! -p icmp -j ACCEPT

   #感叹号”!”表示取反

扩展模块的使用

隐含匹配

要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类 型等条件。

 端口匹配: --sport 源端口、–dport 目的端口,可以是个别端口、端口范围

注意:

  • --sport和--dport 必须配合-p <协议类型>使用

  • 端口可以使用的范围 0-65535

TCP标记匹配: --tcp-flags TCP标记

ICMP类型匹配:--icmp-type ICMP类型,可以时字符串、数字代码

示例题:

100能ping通101,101ping不通100

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

#禁止其它主机ping本机

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT

 #允许本机ping其他主机

icmp 协议的扩展选项
 语法:--icmp-type   {类型编号(0或8) |协议名}

 0/0  = echo-reply icmp应答
 8/0  = echo-request icmp请求

显示 扩展模块

要求以“-m扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件

多端口匹配

-m multiport --sport 源端口列表

-m multiport --dport 目的端口列表

iptables -A INPUT -P tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT

iptables -A INPUT -P udp -m multiport --dport 53 -j ACCEPT

IP范围匹配

iptables -A INPUT  -m iprange --src-range 192.168.91.101-192.168.91.103 -j REJECT 
# 指定 源地址为192.168.91.101-192.168.91.103   3个地址无法访问 当前主机

MAC地址匹配    适用于:PREROUTING, FORWARD,INPUT chains

-m   mac   --mac-source XX:XX:XX:XX:XX:XX(MAC地址)

iptables -A FORWARD  -m --mac-source xx:xx:xx:xx:xx:xx  -j DROP

#禁止来自某MAC地址的数据包通过本机转发

状态匹配

state

状态类型:

  • NEW:新发出请求;连接追踪信息库中不存在此连接的相关信息条目,因此,将其识别为第一次发出的请求

  • ESTABLISHED:NEW状态之后,连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态

  • RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系

  • INVALID:无效的连接,如flag标记不正确

  • UNTRACKED:未进行追踪的连接,如:raw表中关闭追踪

格式:

-m state  --state连接状态

ipatables -A INPUT -m state --state NEW(新发起的) -j REJECT ipatables -A INPUT -m state --state ESTABLISHED(已存在) -j ACCEPT

新用户不可以访问 老用户可以访问

故障案例:

state示例题:

规则优化、实践

  1. 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条,效率更高

  2. 谨慎放行入站的新请求

  3. 有特殊目的限制访问功能,要在放行规则之前加以拒绝

  4. 同类规则(访问同一应用,比如:http ),匹配范围小的放在前面,用于特殊处理

  5. 不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更高

  6. 应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率

  7. 设置默认策略,建议白名单(只放行特定连接)

    A:iptables -P,不建议,容易出现“自杀现象”

    B:规则的最后定义规则做为默认策略,推荐使用,放在最后一条

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/184233.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JS获取字符串里最长的回文字符串

方法一 使用双指针配合枚举 /*** param {string} s* return {string}*/ const longestPalindrome s > {const LEN s.lengthif (LEN < 2) {return s}let maxStr /*** param left * param right * returns */const findPalindrome (left, right) > {while (left &…

day32_Git

今日内容 零、 复习昨日 零、 复习昨日 一、引言 在单人开发过程中&#xff0c;需要进行版本管理&#xff0c;以利于开发进度的控制。 在多人开发过程中&#xff0c;不仅需要版本管理&#xff0c;还需要进行多人协同控制。 版本控制(VS) SVN GIT 二、介绍 Git是一个开源的…

rabbitmq-server-3.11.10.exe

rabbitmq需要erlang环境 otp_win64_25.1.exe erlang-CSDN博客 https://www.rabbitmq.com/download.htmlhttps://www.rabbitmq.com/install-windows.htmlhttps://github.com/rabbitmq/rabbitmq-server/releases/download/v3.11.10/rabbitmq-server-3.11.10.exe C:\Users\Admi…

Spine深入学习 —— 换装

Spine深入学习————换装 数据对象和实例对象的关系与区别 数据对象是无状态的&#xff0c;可在任意数量的骨架实例间共用。有对应实例数据的数据对象类名称以“Data”结尾&#xff0c;没有对应实例数据的数据对象则没有后缀&#xff0c;如附件、皮肤及动画。 实例对象有许…

python-GC机制、装饰器、生成器、迭代器、三元表达式、列表生成式、生成器表达式、函数递归、面向对象、

1 基础知识 1.1 GC机制 Python的垃圾回收&#xff0c;其实高级的语言都有自己的垃圾回收机制简称GC&#xff0c; python当中主要通过三种方式解决垃圾回收的方式&#xff0c;引用计数、标记清除、分代回收。引用计数&#xff1a;如果有新的引用指向对象&#xff0c;对象引用计…

产品运营常用的ChatGPT通用提示词模板

产品定位和规划&#xff1a;请帮助我明确产品的定位和规划&#xff0c;包括目标市场、用户需求、竞争对手等方面的内容&#xff0c;以便我能够更好地制定产品运营策略。 产品设计和开发&#xff1a;请帮助我进行产品设计和开发&#xff0c;包括功能设计、界面设计、用户体验等…

Nodejs 第二十章(fs 下)

概述 在 Node.js 中&#xff0c;fs 模块是文件系统模块&#xff08;File System module&#xff09;的缩写&#xff0c;它提供了与文件系统进行交互的各种功能。通过 fs 模块&#xff0c;你可以执行诸如读取文件、写入文件、更改文件权限、创建目录等操作&#xff0c;Node.js …

壹财基金杨振骏:资本如何做好Web3布局?

Web3行业是革命性的时代风口&#xff0c;目前全球各个发达国家都在争先抢占Web3的主导地位。2023年&#xff0c;香港特区政府大力支持Web3行业的政策落地&#xff0c;缔造了良好的发展环境&#xff0c;鼓励有意布局Web3行业的机构和创业者积极参与。 然而&#xff0c;Web3行业…

ply前端

ply 是 eBPF 的 front-end 前端工具之一&#xff0c;专为 embedded Linux systems 开发&#xff0c;采用 C 语言编写&#xff0c;只需 libc 和内核支持 BPF 就可以运行&#xff0c;不需要外部 kernel 模块&#xff0c;不需要 LLVM&#xff0c;不需要 python。 ply 由瑞典工程师…

【数据结构】——排序

&#x1f383;个人专栏&#xff1a; &#x1f42c; 算法设计与分析&#xff1a;算法设计与分析_IT闫的博客-CSDN博客 &#x1f433;Java基础&#xff1a;Java基础_IT闫的博客-CSDN博客 &#x1f40b;c语言&#xff1a;c语言_IT闫的博客-CSDN博客 &#x1f41f;MySQL&#xff1a…

bugku题解记录2

文章目录 哥哥的秘密黄道十二官where is flag一段新闻 哥哥的秘密 给出了一个qq&#xff0c;那就去看看呗 hint里面说 收集空间信息——相册——收集微博信息——相册——解题——相册——提交flag 那看看空间先 盲文&#xff1a; hint&#xff1a;密码时地人 旗帜存在相册里…

【精选】ATKCK红队评估实战靶场一 超详细过程思路

一、环境搭建 1.红日靶场下载&#xff1a; 靶场下载地址&#xff1a; https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shflsharepset 提取码&#xff1a;n1u22.内外网IP搭建 Windows 7 x64Windows Server 2008Win2K3 Metasploitablekali内网IP&#xff1a;192.168.52…

ROS学习笔记(一)- 创建工作空间和功能包

1.工作空间 工作空间(workspace)是一个存放工程开发相关文件的文件夹 • src &#xff1a;代码空间&#xff08;Source Space&#xff09; • build &#xff1a;编译空间&#xff08;Build Space&#xff09; • devel &#xff1a;开发空间&#xff08;Development Spa…

【LeetCode:1657. 确定两个字符串是否接近 | 计数 + 阅读理解】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…

Ubuntu使用Nginx部署前端项目——记录

安装nginx 依次执行以下两条命令进行安装&#xff1a; sudo apt-get update sudo apt-get install nginx通过查看版本号查看是否安装成功&#xff1a; nginx -v补充卸载操作&#xff1a; sudo apt-get remove nginx nginx-common sudo apt-get purge nginx nginx-common su…

软件工程(十一)

逆向工程 定义 逆向工程 (reverse engineering)&#xff1a;指在软件生存周期中&#xff0c;将软件的某种形式描述转换成更抽象形式的活动 重构 重构 (restructuring&#xff09;&#xff1a;指在同一抽象级别上转换系统的描述形式。如把C程序转换成Java程序 设计恢复 设…

[ffmpeg] aac 音频编码

aac 介绍 aac 简单说就是音频的一种压缩编码器&#xff0c;相同音质下压缩比 mp3好&#xff0c;目前比较常用。 aac 编码支持的格式 aac 支持的 sample_fmts: 8 aac 支持的 samplerates: 96000 88200 64000 48000 44100 32000 24000 22050 16000 12000 11025 8000 7350 通…

PC企业微信http协议逆向接口开发,发送大视频文件

产品说明 一、 hook版本&#xff1a;企业微信hook接口是指将企业微信的功能封装成dll&#xff0c;并提供简易的接口给程序调用。通过hook技术&#xff0c;可以在不修改企业微信客户端源代码的情况下&#xff0c;实现对企业微信客户端的功能进行扩展和定制化。企业微信hook接口…

js字符串分割方法

使用split()方法 这可能是最常见的字符串分割方法&#xff0c;它使用指定的分隔符将字符串拆分为子字符串&#xff0c;并返回一个数组。例如&#xff1a; const str Hello World; const arr str.split( );console.log(arr); // [Hello, World]使用substring()方法 此方法从…

Pycharm中使用matplotlib绘制动态图形

Pycharm中使用matplotlib绘制动态图形 最终效果 最近用pycharm学习D2L时发现官方在jupyter notebook交互式环境中能动态绘制图形&#xff0c;但是在pycharm脚本环境中只会在最终 plt.show() 后输出一张静态图像。于是有了下面这段自己折腾了一下午的代码&#xff0c;用来在pych…