一iptables概念

防火墙分类

分为硬件防火墙和软件防火墙

硬件防火墙一般放在外网的最前面,公司的拓扑的最外面

iptables虽然称为防火墙,但是不能当做整个公司的出口防火墙,和动戈几千万,几百万的硬件防火墙还是不能相比的一般用来在公司的局域网做防护,还可以在服务器上做一些端口,流量,安全防护. 但是真的有人盯上了,当大流量打过来的时候,没有硬件高防设备来保护,还是会瘫痪的

iptables介绍

  • 全称:netfilter/iptables:Ip信息包过滤系统,实际上由netfilter和iptables组成

  • netfilter组件也被称为内核空间,是内核的一部分,由一些信息报过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集

  • iptables组件是一种工具,也称为用户空间,它使插入,修改和除去信息包过滤表中的规则变得容易

  • netfilter/iptables 被简称为iptables,iptables是基于内核的防火墙,功能强大.

    iptables内置了filter,nat,和mangle三张表,规则配置后,立即生效,不需要重启服务

iptables的组成:三表五链

iptables中有三张表,每张表上会有某些链,链上有规则

三表

filter负责过滤数据包
nat则涉及到网络地址转换
mangle主要应用在修改数据包内容上

五链

input,进来的流量,匹配目标IP是本机的数据包
output,出去的流量,出口数据包,一般不在此链上做配置
forward,转发的流量,匹配流经本机的数据包
prerouting,路由前的流量,用来修改目的地址,用来做DNAT,如:把内网的80端口映射到路由器外网端口上
postrouting,路由后的流量,用来修改源地址用来做SNAT,如:内网通过路由NAT转换功能实现内网PC机通过一个公网IP地址上网

三表五链的关系

filter包括的规则链有input,output,forward
nat包括的规则链有prerouting,postrouting,forward
mangle包括的规则链则全部包括

iptables过滤封包流程

有两种路线

1数据包转发,不流经本机

PREROUTING --> FORWARD --> POSTROUTING

2 数据包进入本机

PREROUTING --> INPUT --> OUTPUT -->POSTROUTING

1当一个数据包进入网卡时,首先会进入prerouting链,内核根据数据包目的IP判断是否需要转送出去

2如果数据包就是进入本机的,他会到达input链,数据到达input链后,任何进程都会收到他. 本机上运行的程序可以发送数据包,这些数据包会经过output链,然后到达postrouting链输出

3如果数据包是要转发出去的,且内核允许转发,数据包就会经过forward链,然后到达postrouting链输出

二iptables语法

iptables安装配置信息

关闭firewalld.service

systemctl stop firewalld.service   		停止服务
systemctl disable firewalld.service 开机禁止启动服务

安装iptables

iptables -L	         				 	通过执行命令判断是否已经安装
yum install iptables.services 安装

服务相关命令

systemctl start iptables-services 		启动服务
systemctl status iptables-service 查看服务状态
systemctl enable iptables.service 开机自启动

当执行上面的命令报错时

Failed to execute operation: No such file or directory
可能是因为iptables需要升级了
执行命令
yum install iptables.services

主配置文件

/etc/sysconfig/iptables
用命令行配置的规则最终会存放在上面的配置文件

iptables语法规则

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

对那个表,想做什么,达到什么目的

不指定表名时,默认表示filter表

不指定链名时,默认表示该表内所有链

除非设置规则链的缺省策略,否则需要制定匹配条件

一,管理选项

-A 追加一条规则(放到最后)
-I 插入一条规则,默认是在开头,可以指定位置
-R 替换或者修改规则
-D 删除规则
-F 清空规则(清空之前一定要查看默认规则)
-P 设置默认规则
-Z 清空数据包
-L 列出规则

-A 追加一条规则(放到最后)

iptables -t filter -A INPUT -j DROP  #拒绝所有人访问服务器,谨慎使用
在filter表的INPUT链中追加一条规则(作为最后一条规则),匹配所有访问本机IP数据包,匹配到的丢弃

-I 插入一条规则,默认是在开头,可以指定位置

iptables -I INPUT -j DROP
在filter表的INPUT中插入一条规则(插入成第一条) iptables -I INPUT 4 -j DROP
在filter表的iINPUT中插入一条规则(指定在第四条位置插入)

-R 替换或者修改规则

iptables -t filter -R INPUT 4 .......    修改filter表中INPUT链的第四条规则

-D 删除规则

按照号码匹配
intables -L
iptables -D INPUT 1 按照内容匹配
iptables -D INPUT -s 192.168.0.1 -j DROP

-F 清空规则

iptables -F INPUT 		清空filter表INPUT链上的规则
iptables -F 清空filter表上的所有链规则
iptables -t nat -f 清空nat表上的所有规则链

注意:-F仅仅是清空链中的规则,并不影响设置的默认规则.如果之前设置的默认规则是DROP,然后你清空规则,那么这台机器就会失联了

-P 设置默认规则

iptables -P INPUT DROP       设置默认规则为DROP
iptables -P INPUT ACCEPT 设置默认规则为ACCRPT

-Z 清空数据包

iptables -nvL 查看数据包
iptables -Z INPUT

-L 列出规则

v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x,在v的基础上,禁止自动段位换算
n显示IP地址和端口号码,不显示域名和服务名称
--line-number iptables -nvL
iptables -nvL --line-number

比较安全的方法是,

把需要放行的服务打开,然后在后面将DROP打开

iptables -I INPUT -j DROP

执行这条命令后,这台机器就会失联.需要机房去接显示器了

但是有时候机器遭受攻击可以执行,或者是需要在不拔网线的情况下断网

二, 条件匹配

1流入,流出接口(-i,-0)
2来源,目的地址(-s,-d)
3协议类型 (-p)
4来源,目的端口(--sport,--dport)

1流入,流出接口(-i,-0)

-i <匹配数据进入的网络接口 #此参数主要应用于nat表,例如目标地址装换
-i eth0
匹配是否从网络接口eth进来 -i ppp0
匹配是否从网络接口ppp0进来 -o 匹配数据流出的网络接口
例如
-o eth0
-o ppp0

2来源,目的地址(-s,-d)

-s <匹配来源地址>
可以是IP,网段,域名,也可以空
-s 192.168.0.1 匹配来自192.168.0.1的数据包
-s 192.168.1.0/24 匹配来自192.168.1.0/24网络的数据包
-s 192.168.0.0/16 匹配来自192.168.0.0/16网络的数据包 -d <匹配目的地址>
可以是IP,网段,域名,也可以空
例如
-d 202.106.0.20 匹配去往202.106.0.20的数据包
-d 202.103.0.0/16网络的数据包
-d www.abc.vip 匹配去往域名www.abc.vip的数据包

3 协议类型 (-p)

-p <匹配协议类型>
可以是tcp,udp,icmp
例如
-p tcp
-p udp
-icmp --icmp-type类型

4来源,目的端口(--sport,--dport)

注意:--sport和--dport都必须配合-p参数使用

匹配源端口
--sport 1000 匹配源端口是1000的数据包
--sport 1000-3000 匹配源端口是1000-3000的数据包
--sport :3000 匹配3000以下的数据包
--sport 1000: 匹配源端口是1000以上的数据包 匹配目的端口
例子:同上

匹配应用举例

端口匹配
-p udp --dport 53
匹配网络中目的端口的是53的UDP协议数据包 地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自10.1.0.0/24去往172.17.0.0/16的所有数据包 端口和地址联合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配来自192.168.0.1,去往www.abc.com的80端口的TCP协议数据包 条件写的越多,匹配越精细,匹配范围越小

三, 目标动作或跳转

1,ACCEPT 通过,允许数据包通过本链而不拦截它
2,DROP 丢弃,阻止数据包通过本链而丢弃它
3,SNAT 原地址转换,SNAT支持装换为单IP,也支持转换到IP地址池(一组连续的IP地址)
4,DNAT 目的地址装换,DNAT支持装换为单IP,也支持装换到IP地址池(一组连续的IP地址)
5,MASQUERADE 伪装

1 ACCEPT

-j ACCEPT  通过,允许数据包通过本链而不拦截它
iptables -A INPUT -j ACCERT 允许所有访问本机IP的数据包通过

2 DROP

-j DROP
丢弃,阻止数据包通过本链而丢弃它
iptables -A FOREARD -s 192.168.80.39 -j DROP 阻止来源地址为192.168.80.39的数据包通过本机

3 SNAT

-j SNAT --to IP [-IP] [:端口-端口]
nat表的POSTROUTING链 原地址转换,SNAT支持装换为单IP,也支持转换到IP地址池(一组连续的IP地址)
例子
将内网192.168.0.0/24的原地址修改为1.1.1.1,用于NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1 同上,用于修改成一个地址池里的IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10

4 DNAT

-j DNAT --to IP[-IP] [:端口-端口](nat表的PREROUTING链)
目的地址装换,DNAT支持装换为单IP,也支持装换到IP地址池(一组连续的IP地址) 把从eth0进来的要访问TCP/80的数据包目的地址改为192.168.0.1(端口映射,内网的服务可以映射出去)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -i eth0 -p tco --dport 80 -j DNAT --TO 192.168.0.1:81 把从eth0进来的要访问TCP/80的数据包目的地址改为192.168.0.1-192.169.1.10
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.1.10

-j MOSQUERADE 伪装

动态原地址装换(动态IP的情况使用)
将源地址是192.168.0.0、24的数据包进行地址伪装,装换成eth0的IP地址,eth0为路由器外网出口地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

四,附加模块

按照包状态匹配 state
按照来源MAC匹配 mac
按照包速率匹配 limit
多端口匹配 multiport

state

有4种状态,这些状态可以一起使用,以便匹配数据包,这可以使我们的防火墙非常强壮和有效
把我们当前系统已经建立的服务放行
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j accept

按照来源mac匹配

匹配某个mac地址
-m mac --mac-source MAC 阻断来自该mac地址的数据包通过本机
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx -j DROP
报文经过路由后,数据包中的原有的mac信息会被替换,所以在路由后的iptables中使用mac模块是没有意义的

按照包速率匹配limit

-m limit --limit 匹配速率 [--burst 缓冲数量]

限制机器对外发包速率
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCRPT

多端口匹配

-m multiport <--sports | --posts> 端口1,端口n
一次性匹配多个端口 例如
iptables -A INPUT -p tcp -m multiport --posts 21,22,25,80,110 -j AXXEPR
注意:必须和-p参数同时使用

一定要记得保存

service iptables save

通过命令设置iptables会立即生效,还需要手动执行命令保存,会将设置的策略写入到主配置文件中

iptables之语法的更多相关文章

  1. iptables 指令语法

    iptables 指令 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat. ...

  2. iptables常用语法与案例

    常用命令语法: [root@www ~]# iptables [-t tables] [-L] [-nv] 选项与参数: -t :后面接 table ,例如 nat 或 filter ,若省略此项目, ...

  3. iptables原理详解(一)

    iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火 ...

  4. iptables基本规则配置(二)

    注释:文章中fg:为示例  红色标记的为命令 在上篇博文中详细讲解了iptables的原理及一些常用命令,这里在简要的说明一下: Linux防火墙包含了2个部分,分别是存在于内核空间的(netfilt ...

  5. iptables Data filtering详解

    内容简介防火墙的概述iptables简介iptables基础iptables语法iptables实例案例详解(一)防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内 ...

  6. iptables基础命令详解

    TCP/IP基本概念: TCP/IP将网络分为四层:应用层,传输层,网络层,链路层. 传输层:定义了两种通信协议,分别为TCP协议和UDP协议. TCP协议:TCP协议在传输 数据过程中会检查数据的完 ...

  7. LInux iptables学习

    作者原文 : http://blog.chinaunix.net/uid-9950859-id-98277.html       要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多 ...

  8. [转] Linux下防火墙iptables用法规则详及其防火墙配置

    from: http://www.cnblogs.com/yi-meng/p/3213925.html 备注: 排版还不错,建议看以上的链接. iptables规则 规则--顾名思义就是规矩和原则,和 ...

  9. 《iptables详解 》RHEL6

          iptables详解    Iptables原理 现在防火墙主要分以下三种类型:包过滤.应用代理.状态检测 包过滤防火墙:现在静态包过滤防火墙市面上已经看不到了,取而代之的是动态包过滤技术 ...

随机推荐

  1. 【机器学习】--Adaboost从初始到应用

    一.前述 AdaBoost算法和GBDT(Gradient Boost Decision Tree,梯度提升决策树)算法是基于Boosting思想的机器学习算法.在Boosting思想中是通过对样本进 ...

  2. SpinnerViewPop【PopWindow样式(单选)、Dialog样式(单选+多选)的下拉菜单】

    版权声明:本文为HaiyuKing原创文章,转载请注明出处! 前言 对下拉菜单的文本区域和列表区域进行了封装.包括两种展现方式:popwindow(单选).dialog(单选+多选) 因为该封装需要在 ...

  3. Android序列化

    1.序列化的目的 (1)永久的保存对象数据(将对象数据保存在文件当中,或者是磁盘中 (2)通过序列化对象在网络中传递对象 (3)通过序列化对象在进程间传递 (4)在Intent之间,基本的数据类型直接 ...

  4. c# 获取当前时间的微秒

    获取毫秒大家都经常用到. 大家应该都知道怎么用. 但是,毫秒下面还有微秒. 其实这个方法也已经在c#中. 只不过很少有人用到,所以查找资料也很少有人说. 下面代码就是获取微秒的方式: DateTime ...

  5. SpringBoot是怎么在实例化时候将bean加载进入容器中

    之前写过的很多spring文章,都是基于应用方面的,这次的话,就带大家来一次对spring的源码追踪,看一看spring到底是怎么进行的初始化,如何创建的bean,相信很多刚刚接触spring的朋友, ...

  6. Ocelot-基于.NET Core的开源网关实现

    写在前面 API网关是系统内部服务暴露在外部的一个访问入口,类似于代理服务器,就像一个公司的门卫承担着寻址.限制进入.安全检查.位置引导等工作,我们可以形象的用下图来表示: 外部设备需要访问内部系统服 ...

  7. Netty源码—一、server启动(1)

    Netty作为一个Java生态中的网络组件有着举足轻重的位置,各种开源中间件都使用Netty进行网络通信,比如Dubbo.RocketMQ.可以说Netty是对Java NIO的封装,比如ByteBu ...

  8. (二)surging 微服务框架使用系列之surging 的准备工作consul安装

    suging 的注册中心支持consul跟zookeeper.因为consul跟zookeeper的配置都差不多,所以只是consul的配置 consul下载地址:https://www.consul ...

  9. QLineEdit拾遗:数据的过滤、验证和补全

    QLineEdit是使用频率最高的控件之一,当我们想获取用户输入时自然而然得会用到它. 通常我们会将QLineEdit的信号或其他控件的信号绑定至槽函数,然后获取并处理编辑器内的数据.你会觉得我们拿到 ...

  10. [.NET] 使用 Senparc.Weixin 接入微信公众号开发:简单实现自动回复

    使用 Senparc.Weixin 接入微信公众号开发:简单实现自动回复 目录 一.前提 二.基本配置信息简析 三.配置服务器地址(URL) 四.请求处理 一.前提 先申请微信公众号的授权,找到或配置 ...