防火墙篇--iptables

其他 2020-08-10 10:23:03 阅读次数: 0

文章目录

前言:

iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全

Liunx包过滤防火墙概述:

Netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”
  • 是干活的,负责是放过还是不放过

iptables

  • 位于/sbin/ipatbles,用来管理防火墙规则的工具
  • 称为Linux防火墙的“用户态”

包过滤的工作层次

  • 主要是网络层,针对IP数据包
  • 体现在对包内的IP地址,端口等信息的处理上
  • 防火墙直接控制着端口–服务,IP,协议
  • 对应着一些协议:TCP和UDP
    在这里插入图片描述

iptables的表,链结构

规则链:

  • 链就是规则的集合,不同的场景会读到不同的链
  • 规则的作用:对数据包进行过滤或处理
  • 链的作用:容纳各种防火墙规则
  • 链的分类依据:处理数据包的不同时机

默认包括5种规则链

  • INPUT:处理入站数据包,进防火墙的时候会读INPUT链
  • OUTPUT:处理出战数据包,出防火墙的时候会读OUTPUT链
  • FORWARD:处理转发数据包,中间的过程是FORWARD链去处理,尽量做在INPUT链上
  • POSTROUTING链:在进行路由选择后处理数据包;从内向外会查路由表;将源地址转换为外网地址出去
  • PREROUTING链:在进行路由选择前处理数据包;PREROUTING先把目标IP转换为私有IP在查询路由表进行数据转发
    规则表:
  • 表当中包含着不同种的链
  • 表的作用:容纳各种规则链
  • 表的划分依据:防火墙规则的作用相似

默认包括4个规则表

  • raw表:确定是否对该数据包进行状态跟踪
  • mangle表:为数据包设置标记;mangle打标签,raw表去识别标签,追踪状态
  • nat表:修改数据包中的源,目标IP地址或端口nat表和fileter是用的最多的表
  • filter表:确定是否放行该数据包(过滤);防火墙的默认表filter,核心的表
    在这里插入图片描述

数据包过滤的匹配流程:

规则表之间的顺序:

  • raw–>mangel–>nat–>filter
    规则链之间的顺序
  • 入站:PREROUTING–>INPUT
  • 出站:OUTPUT–>POSTROUTING
  • 转发:PREROUTING–>FORWARD–>POSTROUTING
    规则链内的匹配顺序
  • 按顺序依次检查,匹配即停止(LOG策略例外)
  • 若找不到相匹配的规则,则按该链的默认策略处理
    在这里插入图片描述
    ●匹配流程示意图:
    在这里插入图片描述

iptables安装:

关闭firewalld防火墙:

[root@promote ~]# systemctl stop firewalld.service
[root@promote ~]# systemctl disable firewalld.service

安装iptables防火墙

[root@promote ~]# yum -y install iptables iptables-services

设置iptables开机启动

[root@promote ~]# systemctl start iptables.service
[root@promote ~]# systemctl enable iptables.service

iptables的基本语法:

  • 语法结构:iptables [-t表名] 选项 [链名] [条件] [-j 控制类型]
  • -I是在条目首部插入;-A是尾部插入
[root@promote ~]# iptables -t filter -I INPUT -p icmp -j REJECT

对ICMP协议拒绝
在这里插入图片描述
注意事项:

  • 不指定表明时,默认指filter表
  • 不指定链名时,默认指表内的所有链
  • 除非设置链的默认策略,否则必须指定匹配条件
  • 选项,链名,控制类型使用大写字母,其余均为小写

数据包的常见控制类型:

  • ACCEPT:允许通过
  • DROP:直接丢弃,不给任何回应
  • REJECT:拒绝通过,必要时会给提示
  • LOG:记录日志信息,然后传给下一条规则继续匹配

iptables的管理选项:

添加新的规则:

  • -A:在链的末尾追加一条规则
  • -I:在链的开头(或指定序号)插入一条规则
    举例:
[root@promote ~]# iptables -I INPUT -p udp -j ACCEPT    ##允许UDP协议通过
[root@promote ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT    ##允许TCP协议通过
[root@promote ~]# iptables -I INPUT 2 -p icmp -j ACCEPT    ##在第二条当中允许TCP协议通过

查看规则列表:

  • -L:列出所有的规则条目
  • -n:以数字形式显示地址,端口等信息
  • -v:以更详细的方式显示规则信息
  • –line-numbers:查看规则时,显示规则序号
    在这里插入图片描述
    删除,清空规则:
  • -D:删除链内指定序号(或内容)的一条规则
  • -F:清空所有的规则
    举例:
    我们想清空TCP53
    在这里插入图片描述
    使用命令:
    [root@promote ~]# iptables -D INPUT 3 删除INPUT第三行的内容
    再次查看发现内容被删除
    在这里插入图片描述

不加-t直接 -F清空的是默认filter表的内容

[root@promote ~]# iptables -F

清空指定列表要加 -t 表名称

[root@promote ~]# iptables -t nat -F    ##清空nat表

设置默认策略
-P:为指定的链设置默认规则清空所有默认策略
要么是ACCEPT要么是DROP表的所有链

[root@promote ~]# iptables -filter -P FORWARD DROP
[root@promote ~]# iptables -P OUTPUT ACCEPT
  • 常用管理选项汇总:
    在这里插入图片描述

规则的匹配条件:

通用匹配:
可直接使用,不依赖于其他条件或扩展
包括网络协议,IP地址,网络接口等条件
隐含匹配:
要求以特定的协议匹配作为前提
包括端口,TCP标记,ICMP类型等条件
显示匹配:

  • 要求以“-m 扩展模块”的形式明确指出类型
  • 包括多端口,MAC地址,IP范围,数据包状态等条件

常见的通用匹配条件:

  • 协议匹配:-p 协议名
  • 地址匹配:-s 源地址,-d目的地址
  • 接口匹配:-i入站网卡,-o出站网卡
[root@promote ~]# iptables -I INPUT -p icmp -j DROP

INPUT链路中icmp协议直接被拒绝

[root@promote ~]# iptables -A FORWARD ! -p icmp -j ACCEPT

除了icmp协议以外其他的所有协议都放通

举例:

[root@promote ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP   ##16.0网段私网地址全部被拒绝
[root@promote ~]# iptables -A INPUT -i ens33 -s 10.0.0.0/8 -j DROP     ##10.0公网地址全部被拒绝
[root@promote ~]# iptables -A INPUT -i ens33 172.16.0.0/12 -j DROP  ##172网段全部被丢弃

端口是跟着数据流向决定的
在这里插入图片描述
常用的隐含匹配条件端口匹配:

  • –sport源端口,–dport目的端口
  • ICMP类型匹配:–icmp-type ICMP类型
[root@promote ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
##在转发链中源地址为4.0端口,协议为UDP协议,53端口允许通过;也就是DNS的服务功能允许通过;DNS端口号为53
[root@promote ~]# iptables -A INPUT -p tcp --dport 20:21 -j ##ACCEPTftp服务允许通过

常用的显示匹配条件

  • 多端口匹配:
    -m multiport --sports 源端口列表
    -m multiport --dports 目的端口列表
  • IP范围匹配:-m iprange --src-range IP范围
  • MAC地址匹配:-m mac --mac-source MAC地址
  • 状态匹配: -m state --state 连接状态
    常用管理选项汇总:
    在这里插入图片描述

SNAT策略概述:

SNAT策略的典型应用环境:
SNAT策略主机共享单个公网IP地址接入Internet
SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包源地址
前提条件:

  • 局域网各主机正确设置IP地址/子网掩码
  • 局域网各主机正确设置默认网关地址
  • Linux网关支持IP路由转发

SNAT策略实验

实验环境:

  • 准备三台虚拟机;三台虚拟机都是绑定VMnet1仅主机模式
  • 192.168.100.10作为内部主机
  • 中间虚拟机配置双网卡作为防火墙
  • 12.0.0.10作为外部主机

推荐步骤:
防火墙主机配置:
1.先将作为防火墙的那台虚拟机配置内网的网关
在这里插入图片描述
2.另一个网卡配置作为外部主机的网关
在这里插入图片描述
3.修改完后,要重启网卡,再用命令查看网卡信息
在这里插入图片描述
4.配置数据转发功能;修改配置文件/etc/sysctl.conf
在这里插入图片描述
让他生效
在这里插入图片描述
5.清空防火墙规则,因为马上要自己配置
在这里插入图片描述
客户端配置:
1.配置内部虚拟机的IP地址为内部地址,配置完后要重启网卡
在这里插入图片描述
2. 这时Ping一下防火墙主机看是否ping通
在这里插入图片描述
外网主机配置:
1.安装httpd服务,并启用服务,这边服务之前已经安装好了,只需启用就可以了
在这里插入图片描述
2.关闭防火墙功能,和临时防护功能
在这里插入图片描述
3.绑定仅主机模式网卡
在这里插入图片描述
4.返回的内网主机在网站上访问来自外网的apache服务
在这里插入图片描述
5.返回外网主机查看日志文件,发现有内网访问服务的记录
在这里插入图片描述
6.防火墙主机配置防火墙规则:配置指定NAT表,在首部插入postrouting链,指向源地址192.168.100.10,指定外网出口ens37,将地址解析为12.0.0.1
在这里插入图片描述
7.在返回的外网主机查看日志文件发现,来访的地址发生变化
在这里插入图片描述

DNAT策略概述:

DNAT策略的典型应用环境:
在Internat中发布位于企业局域网内的服务器
DNAT策略的原理:
目标地址转换修改数据包的目标地址

DNAT策略实验

1.在内部虚拟机中启动阿帕奇服务;在防火墙主机配置将目标地址12.0.0.1地址做转换,指定TCP协议,指向80端口
在这里插入图片描述
2.返回到外网主机发现可以访问来自内网的apache服务
在这里插入图片描述

防火墙规则的备份和还原:

  • 将iptables规则保存到文件中进行备份:
    iptables-save > /路径/名称

  • 重新加载备份文件中的iptables规则:
    iptables-restore < 备份文件的完整路径

猜你喜欢

转载自blog.csdn.net/Cpureman/article/details/107736174
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
Java基础复习_day13_Collection集合
2018.11.16 c语言学习经验
且看Java内置四大核心函数式接口
小程序云开发中数据库的数据分段和显示图片
python的函数
Web-JS进阶
【干货】C++常用代码积累笔记大全
Spring的ioc操作 与 IOC底层原理
构建之法20191121-11 Scrum立会报告+燃尽图 07
Spring boot之Hello World访问404
每日归档
更多
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022