iptables 防火墙(一)

iptables 防火墙(一)

  • 一、Linux 防火墙基础
    • 防火墙分类
  • 二、iptables 的表、链结构
    • 规则表
    • 规则链
    • 数据包过滤的匹配流程
  • 三、编写防火墙规则
    • iptables 的安装
    • iptables的基本语法
    • 规则的匹配条件
      • 通用匹配
      • 隐含匹配
      • 显式匹配
  • 四、总结

在网络安全的世界里,防火墙无疑是我们抵御外部威胁的第一道防线。而iptables,作为Linux系统上最强大的防火墙工具之一,为我们提供了细致控制网络流量的能力。本系列博客将带您逐步了解并掌握iptables的基础知识与配置方法。

一、Linux 防火墙基础

防火墙的定义

  • 防火墙是一种由硬件和软件组合而成,在内部网和外部网之间、专有网和公共网之间构造的保护屏障,用已保护用户资料和信息安全的一种技术

防火墙的作用

  • 主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,从而实现对计算机不安全网络因素的阻断。确保网络正常运行,保障信息安全,为用户提供良好的网络体验

防火墙分类

  • 逻辑上分:主机防火墙和网络防火墙
    • 主机型防火墙:针对单个主机进行防护
    • 网络型防火墙:针对网络进行保护,保护内部的局域网
  • 物理上分:硬件防火墙和软件防火墙
    • 硬件防火墙:在硬件上实现防火墙功能,性能高,成本高。
    • 软件防火墙:依靠软件来实现防火墙功能,性能低,成本低

Linux包过滤防火墙概述

  • Linux防火墙是一种功能强大的信息包过滤系统

netfilter

  • 是Linux内核中的一种包过滤功能体系
  • 称为Linux防火墙的 “内核态”

iptables

  • 位于 /sbin/iptables,是防火墙规则的管理工具
  • 称为Linux防火墙的 ”用户态“
    ——上述2种称呼都可以表示Linux防火墙

包过滤的工作层次

  • 主要是网络层,针对IP数据包
  • 体现在对数据包内的IP地址、端口等信息的处理上

二、iptables 的表、链结构

在这里插入图片描述

规则表

  • 表的作用:容纳各种规则链
  • 表的划分依据:防火墙规则的作用相似

默认包括4个规则表

  • raw表:是否对数据包进行状态跟踪
  • mangle表:是否为数据包设置标记
  • nat表:是否修改数据包中的源、目标IP地址或端口
  • filter表:是否放行该数据包(过滤)

规则链

  • 规则的作用:对数据包进行过滤或处理
  • 链的作用:容纳各种防火墙规则
  • 链的分类依据:处理数据包的不同时机

默认包括5种规则链

  • INPUT:处理入站数据包
  • OUTPUT:处理出站时间包
  • FORWARD:处理转发数据包
  • POSTROUTING:在进行路由选择后处理数据包
  • PREROUTING:在进行路由选择前处理数据包

数据包过滤的匹配流程

  • 规则表之间的顺序
    • raw→mangle→nat→filter
  • 规则链之间的顺序
    • 入站:PREROUTING→INPUT
    • 出站:OUTPUT→POSTROUTING
    • 转发:PREROUTING→FORWARD→POSTROUTING
  • 规则链内的匹配顺序
    • 按顺序依次检查,匹配即停止(LOG策略例外)
    • 若找不到相匹配的规则,则按该链的默认策略处理
      在这里插入图片描述

三、编写防火墙规则

iptables 的安装

  • CentOS 7.3 默认使用 firewalld 防火墙,如果想使用 iptables 防火墙,必须先关闭firewalld 防火墙
# 关闭 firewalld 防火墙
[root@localhost ~]# systemctl stop firewalld
# 关闭自启动
[root@localhost ~]# systemctl disable firewalld
  • Firewalld 防火墙关闭之后,可以通过 yum 方式再安装 iptables,因为默认 CentOS7.3系统中并没有安装 iptables
# 安装 iptables
[root@localhost ~]# yum -y install iptables iptables-services
# 启动 iptables
[root@localhost ~]# systemctl start iptables
# 设置开机自启动
[root@localhost ~]# systemctl enable iptables

iptables的基本语法

数据包的常见控制类型

  • ACCEPT:允许通过
  • DROP:直接丢弃,不给出任何回应
  • REJECT:拒绝通过,必要时会给出提示
  • LOG:记录日志信息,然后传给下一条规则继续匹配

添加、查看、删除规则等基本操作

iptables 命令的常用管理选项
选项名功能及特点
-A在指定链的末尾添加(--append)一条新的规则
-D删除(--delete)指定链中的某一条规则,可指定规则序号或具体内容
-I在指定链中插入(--insert)一条新的规则,未指定序号时默认作为第一条规则
-R修改、替换(--replace)指定链中的某一条规则,可指定规则序号或具体内容
-L列出(--list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-F清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-P设置指定链的默认策略(--policy)
-n使用数字形式(--numeric)显示输出结果,如显示 IP 地址而不是主机名
-v查看规则列表时显示详细(--verbose)的信息
-h查看命令帮助信息(--help)
--line-numbers查看规则列表时,同时显示规则在链中的顺序号
-t指定要操作的表
-i入站网卡
-o出战网卡
-d目的地址
-p协议名
-s源地址
-X删除指定表中用户自定义的规则链
-N新建一条用户自己定义的规则链
-Z将所有表的所有链的字节和数据包计数器清零
-j指定目标动作或跳转
!条件取反

添加新的规则

  • 添加新的防火墙规则时,使用管理选项“-A”、“-I”,前者用来追加规则,后者用来插入规则。
  • 例如,若要在 filter 表 INPUT 链的末尾添加一条防火墙规则,可以执行以下操作(其中“-p 协议名”作为匹配条件)
[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT
  • 当使用管理选项“-I”时,允许同时指定新添加规则的顺序号,未指定序号时默认作为第一条。
  • 例如,以下操作添加的两条规则将分别位于 filter 表的第一条、第二条(其中省略了“-t filter”选项,默认使用 filter 表)。
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT

查看规则列表

  • 查看已有的防火墙规则时,使用管理选项“-L”,结合“–line-numbers”选项还可显示各条规则在链内的顺序号。
  • 例如,若要查看 filter 表 INPUT 链中的所有规则,并显示规则序号, 可以执行以下操作。
[root@bogon ~]# iptables -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       udp  --  bogon                anywhere            
2    ACCEPT     tcp  --  anywhere             anywhere            
3    ACCEPT     all  --  bogon                anywhere            
4    ACCEPT     all  --  bogon/24             anywhere            
  • 当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。
  • 例如,若要以数字地址形式查看 filter 表INPUT 链中的所有规则,可以执行以下操作。
[root@bogon ~]# iptables -n -L INPUT        # "-n -L"可合写为"-nL" 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       udp  --  192.168.72.1         0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  192.168.72.1         0.0.0.0/0           
ACCEPT     all  --  192.168.72.0/24      0.0.0.0/0  

删除、清空规则

  • 删除一条防火墙规则时,使用管理选项“-D”。
  • 例如,若要删除 filter 表 INPUT 链中的第三条规则,可以执行以下操作。
[root@bogon ~]# iptables -nL --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       udp  --  192.168.72.1         0.0.0.0/0           
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  192.168.72.1         0.0.0.0/0           
4    ACCEPT     all  --  192.168.72.0/24      0.0.0.0/0           [root@bogon ~]# iptables -D INPUT 3
[root@bogon ~]# iptables -nL --line-numbers        # 确认删除效果
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       udp  --  192.168.72.1         0.0.0.0/0           
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           
3    ACCEPT     all  --  192.168.72.0/24      0.0.0.0/0           
  • 清空指定链或表中的所有防火墙规则,使用管理选项“-F”。
  • 例如,若要清空 filter 表INPUT链中的所有规则,可以执行以下操作。
[root@bogon ~]# iptables -F INPUT
[root@bogon ~]# iptables -nL --line-numbers         # 确认删除效果
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
  • 使用管理选项“-F”时,允许省略链名而清空指定表所有链的规则。
  • 例如,执行以下操作分别用来清空 filter 表、nat 表、mangle 表。
[root@bogon ~]# iptables -F 
[root@bogon ~]# iptables -t nat -F 
[root@bogon ~]# iptables -t mangle -F

设置默认策略

  • iptables 的各条链中,默认策略是规则匹配的最后一个环节——当找不到任何一条能够匹配数据包的规则时,则执行默认策略。默认策略的控制类型为 ACCEPT(允许)、DROP(丢弃)两种。
  • 例如,执行以下操作可以将 filter 表中 FORWARD 链的默认策略设为丢弃,OUTPUT 链的默认策略设为允许。
[root@bogon ~]# iptables -t filter -P FORWARD DROP
[root@bogon ~]# iptables -P OUTPUT ACCEPT
  • 需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。
  • 因此若要修改默认策略,必须通过管理选项“-P”重新进行设置。
  • 另外,默认策略并不参与链内规则的顺序编排, 因此在其他规则之前或之后设置并无区别。

规则的匹配条件

常用的隐含匹配条件

  • 端口匹配:–sport源端口、–dport目的端口
  • ICMP类型匹配:–icmp-type ICMP类型

常用的显式匹配条件

  • 多端口匹配:-m multiport --sports 源端口列表
    -m multiport --dports 目的端口列表
  • IP范围匹配:-m iprange --src-range IP范围
  • MAC地址匹配:-m mac --mac-source MAC地址
  • 状态匹配:-m state --state 连接状态
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange -src-range 192.168.4.21-192.168.4.28-ACCEPT
[root@localhost ~]#iptables -A INPUT -m mac -mac-source 00:0c:29:c0:55:3f -j DROP

通用匹配

(1) 协议匹配

  • 编写 iptables 规则时使用“-p 协议名”的形式指定,用来检查数据包所使用的网络协议(–protocol)
# 丢弃通过 icmp 协议访问防火墙本机的数据包,允许转发经过防火墙的除 icmp 协议之外的数据包
[root@localhost ~]# iptables -I INPUT -p icmp -j DROP
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT            #感叹号”!”表示取反

(2) 地址匹配

  • 编写 iptables 规则时使用“-s 源地址”或“-d 目标地址”的形式指定,用来检查数据包的源地址(–source)或目标地址(–destination)
# 拒绝转发源地址为192.168.1.11 的数据,允许转发源地址位于 192.168.7.0/24 网段的数据
[root@localhost ~]# iptables -A FORWARD -s 192.168.1.11 -j REJECT
[root@localhost ~]# iptables -A FORWARD -s 192.168.7.0/24 -j ACCEPT
# 检测到来自某个网段(如 10.20.30.0/24)的频繁扫描、登录穷举等不良企图,可立即添加防火墙规则进行封锁
[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP

(3) 网络接口匹配

  • 编写 iptables 规则时使用“-i 接口名”和“-o 接口名”的形式,用于检查数据包从防火墙的哪一个接口进入或发出,分别对应入站网卡(–in-interface)、出站网卡(–out-interface)
# 丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包
[root@localhost ~]# iptables -A INPUT -i ens33 -s 10.0.0.0/8 -j DROP 
[root@localhost ~]# iptables -A INPUT -i ens33 -s 172.16.0.0/16 -j DROP 
[root@localhost ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP

隐含匹配

(1) 端口匹配

  • 编写 iptables 规则时使用“–sport 源端口”或“–dport 目标端口”的形式,针对的协议为TCP 或 UDP,用来检查数据包的源端口(–source-port)或目标端口(–destination-port)。
  • 单个端口号或者以冒号“:”分隔的端口范围都是可以接受的,但不连续的多个端口不能采用这种方式
# 允许为网段 192.168.4.0/24 转发 DNS 查询数据包
[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -d 192.168.4.0/24 -p udp --sport 53 -j ACCEPT
# 开放 20、21 端口,以及用于被动模式的端口范围为 24500~24600
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

(2) ICMP 类型匹配

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP 
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT 
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP# 可用的 ICMP 协议类型
iptables -p icmp -h

显式匹配

(1) 多端口匹配

# 允许本机开放 25、80、110、143 端口,以便提供电子邮件服务
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

(2) IP 范围匹配

# 禁止转发源 IP 地址位于 192.168.4.21 与 192.168.4.28 之间的 TCP
数据包
[root@localhost    ~]#    iptables    -A    FORWARD    -p    tcp    -m    iprange    --src-range 192.168.4.21-192.168.4.28 -j DROP

(3) MAC 地址匹配

# 根据 MAC 地址封锁主机,禁止其访问本机的任何应用
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j DROP

(4) 状态匹配

# 禁止转发与正常 TCP 连接无关的非--syn 请求数据包(如伪造的网络攻击数据包)
[root@localhost ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP# 只开放本机的 Web 服务(80 端口),但对发给本机的 TCP 应答数据包予以放行,其他入站数据包均丢弃
[root@localhost ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT 
[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT 
[root@localhost ~]# iptables -P INPUT DROP

四、总结

iptables是一个功能强大的防火墙工具,通过合理的配置可以为我们提供强大的网络安全保障。但请注意,iptables的配置相对复杂,需要具备一定的网络基础和Linux系统管理经验。在配置iptables时,请务必谨慎操作,避免误操作导致网络故障。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/37440.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

XRP对接文档

XRP对接文档 技术预研 参考文档 官方文档: https://xrpl.org/list-xrp-in-your-exchange.html 官方文档: https://xrpl.org/list-xrp-as-an-exchange.html#flow-of-funds 交易所对接XRP(内容齐全, 很推荐) https://blog.csdn.net/weixin_40396076/article/details/10020207…

基于51单片机的篮球计时器Proteus仿真

文章目录 一、篮球计时器1.题目要求2.思路3.仿真图3.1 未仿真时3.2 仿真开始3.3 A队进分3.4 B队进分3.5 比赛结束 4.仿真程序4.1 主函数4.2 时间显示4.3 比分显示4.4 按键扫描 二、总结 一、篮球计时器 1.题目要求 以51单片机为核心,设计并制作篮球计时器 基本功…

python实现符文加、解密

在历史悠久的加密技术中,恺撒密码以其简单却有效的原理闻名。通过固定的字母位移,明文可以被转换成密文,而解密则是逆向操作。这种技术不仅适用于英文字母,还可以扩展到其他语言的字符体系,如日语的平假名或汉语的拼音…

医院管理系统带万字文档医院预约挂号管理系统基于spingboot和vue的前后端分离java项目java课程设计java毕业设计

文章目录 仓库管理系统一、项目演示二、项目介绍三、万字项目文档四、部分功能截图五、部分代码展示六、底部获取项目源码带万字文档(9.9¥带走) 仓库管理系统 一、项目演示 医院管理系统 二、项目介绍 基于springbootvue的前后端分离医院管…

跨阻放大器

#创作灵感# 最近涉及到微电流的监测项目,而里面的核心就是跨阻放大器,所以这里做一个简单的介绍,后续等项目完成了,再做一个实例的介绍。 #正文# 跨阻放大器(Transimpedance Amplifier, TIA)是一种将输入电…

NCBI Virus 帮助文档

What is NCBI Virus?(什么是NCBI病毒) 主要功能: Compare your sequence to those in the NCBI Virus database using NCBI BLAST algorithm. 使用NCBI BLAST算法将您的序列与NCBI病毒数据库中的序列进行比较。Search, view and download …

威联通 NAS 磁盘扩容 更换大容量磁盘具体操作以以TS-532X为例

第一步 检查磁盘状态 打开存储与快照总管,选左侧磁盘查看磁盘状态,应该是就绪状态。 三块磁盘都是就绪状态。 上面截图是更换过程中的截图 具体操作 然后点击存储/快照 ,选管理 选逐一更换磁盘,这里raid组需要注意&#xff0…

【LeetCode】 740. 删除并获得点数

这真是一道好题!这道题不仅考察了抽象思维,还考察了分析能力、化繁为简的能力,同时还有对基本功的考察。想顺利地做出这道题还挺不容易!我倒在了第一步与第二步:抽象思维和化繁为简。题目的要求稍微复杂一些&#xff0…

数据恢复篇:如何在电脑上恢复已删除和丢失的音乐文件

尽管流媒体网络非常流行,但许多人仍然选择将音乐下载并保存在 PC 本地。这会使文件面临丢失或意外删除的风险。 幸运的是,您可以使用数据恢复软件恢复已删除的音乐和其他文件类型。这篇文章讨论了这些解决方案以及如何使用奇客数据恢复检索丢失的音乐文…

02.Linux下安装FFmpeg

目录 一、下载FFmpeg的编译源码 二、编译源码 三、ffmpeg工具结构解析 1、bin目录 2、include库 3、lib库 四、注意事项 五、可能出现的一些问题 1、某些工具未安装/版本过久 2、缺少pkg-config工具 3、缺少ffmplay FFmpeg 是一个开源的跨平台音视频处理工具集&…

科普文:八大排序算法(JAVA实现)+ 自制动画 (袁厨的算法小屋)

我将我仓库里的排序算法给大家汇总整理了一下,写的非常非常细,还对每个算法制作了动画,一定能够对大家有所帮助,欢迎大家阅读。另外我也对 leetcode 上面可以用排序算法秒杀的算法题进行了总结,会在后面的文章中进行发…

Python自动化运维 系统基础信息模块

1.系统信息的收集 系统信息的收集,对于服务质量的把控,服务的监控等来说是非常重要的组成部分,甚至是核心的基础支撑部分。我们可以通过大量的核心指标数据,结合对应的检测体系,快速的发现异常现象的苗头,进…

Golang | Leetcode Golang题解之第208题实现Trie前缀树

题目: 题解: type Trie struct {children [26]*TrieisEnd bool }func Constructor() Trie {return Trie{} }func (t *Trie) Insert(word string) {node : tfor _, ch : range word {ch - aif node.children[ch] nil {node.children[ch] &Trie{…

mac|tableau public 仪表盘使用

对华东地区的利润进行仪表盘可视化 选择下面的功能表的新建仪表盘,把上面的表1表2放入其中 通过下图操作将两个表联合起来,即上图使用筛选器时下面的表随之改变 将上图设置为筛选器,可以通过点击地区查看数据

MySQL之MHA高可用集群及故障切换

一、MHA概述 MHA(MasterHigh Availability)是一套优秀的mysql高可用环境下故障切换和主从复制的软件。MHA的出现就是为了解决mysql单点故障。Mysql故障切换过程中,MHA能做到0-30秒内自动完成故障性切换操作。MHA能在故障切换的过程中最大程度…

特征工程的力量

为什么你应该使用逻辑回归来建模非线性决策边界(使用 Python 代码) 作为一名大数据从业者,复杂的机器学习技术非常具有吸引力。使用一些深度神经网络 (DNN) 获得额外的 1% 准确率,并在此过程中启动 GPU 实例,这让人非常…

了解 ZooKeeper:关键概念和架构

ZooKeeper 是一种分布式协调服务,广泛用于分布式系统中,用于维护配置信息、命名、同步和组服务。它最初由雅虎开发,现在是一个 Apache 项目,已成为许多大型分布式应用程序不可或缺的一部分。本文深入探讨 ZooKeeper 的关键概念和架…

Spark Join优化案例:Join Key 远大于 Payload

在一个案例中,大表 100GB、小表 10GB,它们全都远超广播变量阈值(默认 10MB)。因为小表的尺寸已经超过 8GB,在大于 8GB 的数据集上创建广播变量,Spark 会直接抛出异常,中断任务执行,所…

python-基础篇-选择-是什么

文章目录 定义一:Python 条件语句跟其他语言基本一致的,都是通过一条或多条语句的执行结果( True 或者 False )来决定执行的代码块。1、什么是条件语句2、if 语句的基本形式3、if 语句多个判断条件的形式4、if 语句多个条件同时判…

Golang | Leetcode Golang题解之第205题同构字符串

题目: 题解: func isIsomorphic(s, t string) bool {s2t : map[byte]byte{}t2s : map[byte]byte{}for i : range s {x, y : s[i], t[i]if s2t[x] > 0 && s2t[x] ! y || t2s[y] > 0 && t2s[y] ! x {return false}s2t[x] yt2s[y] …