小阿轩yx-iptables 防火墙

小阿轩yx-iptables 防火墙

Linux 防火墙基础

体系主要工作在

  • 网络层
  • 针对TCP/IP 数据包实施过滤和限制

属于典型的包过滤防火墙(或者称为网络层防火墙)

体系基于内核编码实现

好处

  • 具有非常稳定的性能
  • 高效率

防火墙两个表示

  • netfilter
  • iptables

区别

  • netfilter:指的是 Linux 内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于内核态Kernel Space,又称为内核空间)的防火墙功能体系
  • iptables:指的是用来管理 Linux 防火墙的命令程序,通常位于/sbin/iptables 目录下,属于用户态User Space,又称为用户空间)的防火墙管理体系

iptables 的表、链结构

  • 每个规则相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表
  • 在每个“容器内包括不同的规则,根据处理数据包的不同时机划分为五种链
  • 而决定是否过滤或处理数据包的各种规则,则是按先后顺序存放在各规则链中
作用
  • 为包过滤机制的实现提供规则(或称为策略)
  • 通过不同的规则告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理
规则表

四个不同规则表的名称、包含的链以及用途

  • filter 表:filter 表用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据包。
  • filter 表对应的内核模块为 iptable_filter,表内包含三个链,即 INPUTFORWARDOUTPUT
  • nat 表:natNetwork Address Translation,网络地址转换)表主要用来修改数据包的 IP 地址、端口号等信息。nat 表对应的内核模块为 iptable_nat,表内包含三个链,即 PREROUTINGPOSTROUTINGOUTPUT
  • mangle 表:mangle 表用来修改数据包的 TOSType Of Service,服务类型)、TTLTime To Live,生存周期),或者为数据包设置 Mark 标记,以实现流量整形、策略路由等高级应用 。mangle 表 对 应 的 内 核 模 块 为 iptable_mangle , 表 内 包 含 五 个 链 , 即 PREROUTINGPOSTROUTINGINPUTOUTPUTFORWARD
  • raw 表:raw 表是自 1.2.9 以后版本的 iptables 新增的表,主要用来决定是否对数据包进行状态跟踪。raw 表对应的内核模块为 iptable_raw,表内包含两个链,即 OUTPUTPREROUTING

(注:mangle表和raw表应用较少)

规则链

五种不同的规则链名称、各自的介入时机

  • INPUT 链:当收到访问防火墙本机地址的数据包(入站)时,应用此链中的规则
  • OUTPUT 链:当防火墙本机向外发送数据包(出站)时,应用此链中的规则
  • FORWARD 链:当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时,应用此链中的规则
  • PREROUTING 链:在对数据包做路由选择之前,应用此链中的规则
  • POSTROUTING 链:在对数据包做路由选择之后,应用此链中的规则

(注:“主机型防火墙”要用的链

  • INPUT
  • FORWARD

针对服务器本机进行保护

“网络型防火墙”要用的链

  • FORWARD
  • PREROUTING
  • POSTROUTING

如使用 Linux 防火墙作为网关服务器,在公司内网与 Internet 之间进行安全控制)

数据包过滤的匹配流程

iptables 管理着四个默认表和五种链,各种防火墙规则依次存放在链中

规则表之间的顺序

raw表→mangle表→nat表→filter表

规则链之间的顺序

  • 入站数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理(是否修改数据包地址等),然后进行路由选择(判断该数据包应发往何处);如果数据包的目标地址是防火墙本机(如 Internet 用户访问网关的 Web 服务端口),那么内核将其传递给 INPUT 链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序(如 httpd 服务器)进行响应。
  • 转发数据流向:来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理,然后再进行路由选择;如果数据包的目标地址是其他外部地址(如局域网用户通过网关访QQ 服务器),则内核将其传递给 FORWARD 链进行处理(允许转发或拦截、丢弃),最后交给 POSTROUTING 链(是否修改数据包的地址等)进行处理。
  • 出站数据流向:防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网 DNS 服务时),首先进行路由选择,确定了输出路径后,再经由 OUTPUT 链处理,最后再交给 POSTROUTING 链(是否修改数据包的地址等)进行处理
规则链内部各条防火墙规则之间的顺序

数据包经过每条规则链时依次按以下顺序进行匹配和处理

  • 第一条规则
  • 第二条规则
  • ……

过滤遵循的原则

  • 匹配即停止

编写防火墙规则

iptables 的安装

CentOS 7.3 默认使用 firewalld 防火墙,使用 iptables 防火墙,必须先关闭firewalld 防火墙

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld

yum 安装 iptables 

[root@localhost ~]# yum -y install iptables

启动 iptables 防火墙并设置开机启动 

[root@localhost ~]# systemctl start iptables
[root@localhost ~]# systemctl enable iptables

在filter表的input链中插入一条规则,拒绝发给本机的使用ICMP协议的数据包 

(注:-I:插入一条规则,要指定在哪一行插入,不指定默认第一行REJECT:拒绝) 

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT

 删除此规则

# -D:删除
iptables -t filter -D INPUT -p icmp -j REJECT

添加、查看、删除规则等基本操作

添加新的规则

在filter表INPUT链的末尾添加一条防火墙规则

\\允许tcp的数据包通过
[root@localhost ~]# iptables -t filter -I INPUT -p tcp -j ACCEPT

(注:

  • -A:在末尾追加
  • -I:在开头添加
  • ACCEPT:允许

在filter表INPUT链的添加两条规则,分别位于第一条和第二条(指定位置:-I,大写i)

\\允许udp数据包通过,放到第一条
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT
\\允许icmp数据包通过,放到第二条
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT
 查看规则列表

查看filter表INPUT链中的所有规则,并显示规则序号(列出所有规则:-L)

[root@localhost ~]# iptables -L INPUT --line-numbers
或
[root@localhost ~]# iptables -L INPUT --line    # --line:显示行号

以数字形式查看filter表INPUT链中的所有规则(数字形式显示:-n))

[root@localhost ~]# iptables -n -L INPUT
或
[root@localhost ~]# iptables -nL INPUT
[root@localhost ~]# iptables -nL INPUT -t filter --line
删除、清空规则

删除filter表INPUT链中的第三条规则

[root@localhost ~]# iptables -D INPUT 3
[root@localhost ~]# iptables -nL INPUT --line

清空指定链或表中的所有防火墙规则,使用管理选项“-F”

清空filter表INPUT链中所有的规则

[root@localhost ~]# iptables -F INPUT
[root@localhost ~]# iptables -nL INPUT --line

分别清空filter表,nat表,mangle表中所有链的规则

\\等同iptables -t filter -F
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F
[root@localhost ~]# iptables -t mangle -F 
设置默认策略

(找不到匹配项时,就是用该默认规则)

\\找不到转发规则,丢弃
[root@localhost ~]# iptables -t filter -P FORWARD DROP
\\出站数据包找不到规则,允许通过
[root@localhost ~]# iptables -t filter -P OUTPUT ACCEPT

规则的匹配条件

通用匹配

常规匹配(包括协议、地址、网络接口)可独立使用

协议匹配

\\丢弃icmp包
[root@localhost ~]# iptables -I INPUT -p icmp -j DROP
\\允许转发除icmp之外的其他包
[root@localhost ~]# iptables -A FORWARD ! -p icmp -j ACCEPT

地址匹配

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.202 -j REJECT
[root@localhost ~]# iptables -A FORWARD -s 192.168.10.0 -j ACCEPT

 当遇到小规模的网络攻击或扫描时,应封锁IP地址

[root@localhost ~]# iptables -I INPUT -s 10.20.30.0/24 -j DROP
[root@localhost ~]# iptables -I FORWARD -s 10.20.30.0/24 -j DROP

网络接口匹配 

要丢弃从外网卡接口(eth1)访问防火墙本机且源地址为私有地址的数据包

[root@localhost ~]# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
[root@localhost ~]# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
[root@localhost ~]# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

隐含匹配

要以协议匹配作为前提条件,不可独立使用(带有子条件)

端口匹配

允许为网段192.168.4.0/24转发DNS查询数据包

[root@localhost ~]# iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -d 192.168.4.0/24 -p udp --dport 53 -j ACCEPT

(注:隐含匹配需要有一个匹配的前提条件,这个前提条件就是隐含要匹配的内容。上面案例中“ -p udp --dport”就是隐含的子条件,意思是,只匹配一个端口号还不行,还要指定这个端口号是UDP的端口号,并且是目标端口号)

搭建vsftpd服务时需要开放20、21端口,以及用于被动模式的端口范围为24500-24600

[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 24500:24600 -j ACCEPT

ICMP 类型匹配

若要禁止从其他主机ping本机,但是允许本机ping其他主机 iptables -F

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP

查看icmp协议类型的帮助信息

[root@localhost ~]# iptables -p icmp -h

 显式匹配

多端口匹配(multiport用于多端口)

# 允许本机开放25、80、110、143端口,以提供电子邮件服务
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT

IP范围匹配(iprange用于ip范围)

# 禁止转发源IP地址位于192.168.4.21-192.168.4.28之间的TCP数据包
[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT

MAC地址匹配

# 根据MAC地址封锁主机,禁止其访问本机的任何应用
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0C:29:C9:3D:F7 -j DROP

状态匹配

# 要禁止转发与正常TCP连接无关的非"--syn"请求的数据包,如伪造的网络攻击数据包
[root@localhost ~]# iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP

 只开放本机的WEB服务(80端口),但对发给本机的TCP应答数据包予以放行,其他入站数据包均丢弃,对应的入站规则为(ESTABLISHED:已建立的)

[root@localhost ~]# iptables -I INPUT -p tcp -m multiport --dport 80 -j ACCEPT
[root@localhost ~]# iptables -I INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP

基本语法、数据包控制类型 

使用 iptables 命令管理、编写防火墙规则时,基本的命令格式

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

 (注:表名、链名用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表;管理选项表示 iptables 规则的操作方式)

iptables 防火墙体系中常用的几种控制类型
  • ACCEPT:允许数据包通过
  • DROP:直接丢弃数据包,不给出任何回应信息
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
  • LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则

(注:防火墙规则的“匹配即停止”对于 LOG 操作来说是一个特例,因为 LOG 只是一种辅助动作,并没有真正处理数据包)

规则的匹配条件设置

(注:有决定性作用,避免防火墙误杀)

  • 清晰
  • 准确

同一条防火墙规则

  • 可指定多个匹配条件
  • 条件必须都满足规则才会生效

匹配条件设置包括三大类

  • 通用匹配
  • 隐含匹配
  • 显式匹配

通用匹配

也称为常规匹配

好处

  • 可以独立使用
  • 不依赖于其它条件或扩展模块

常见的通用匹配包括

  • 协议匹配
  • 地址匹配
  • 网络接口

协议匹配

  • 使用 -p 协议名形式指定,用来检查数据包所使用的网路协议(--protocol)

地址匹配

使用 -s 源地址或 -d 目标地址形式指定,用来检查数据包的源地址(--source)或目标地址(--destination)

可以接受的有

(注:不建议使用主机名、域名地址(解析过程会硬性效率))

  • IP地址
  • 网段地址

网路接口匹配

使用 -i 接口和 -o 接口的形式,用来检查数据包从防火墙的哪一个接口进入或发出

分别对应

  • 入站网卡(--in-interface)
  • 出站网卡(--out-interface)

隐含匹配

  • 要以指定的协议匹配作为前提条件,相当于子条件,因此无法独立使用
  • 其对应的功能由 iptables 在需要时自动(隐含)载入内核

常见的隐含匹配包括

  • 端口匹配
  • TCP 标记匹配
  • ICMP 类型匹配

端口匹配

使用

  • --sport 源端口
  • --dport 目标端口形式

协议

  • TCP或UDP,用来检查数据包的源端口(--source-port)或目标端口(--destination-port)
  • 单个端口号或者以冒号“:”分隔的端口范围都是可以接受的

(注:不连续的多个端口不能采用这种方式)

ICMP类型匹配

  • 0 响应应答(ECHO-REPLY)应答报文
  • 3 不可到达 (目标主机不可达)
  • 4 源抑制
  • 5 重定向
  • 8 响应请求(ECHO-REQUEST)请求报文
  • 11 超时
  • 12 参数失灵
  • 13 时间戳请求
  • 14 时间戳应答
  • 15 信息请求(*已作废)
  • 16 信息应答(*已作废)
  • 17 地址掩码请求
  • 18 地址掩码应答

使用 --icmp-type ICMP 类型的形式

针对协议为

  • ICMP用来检查 ICMP 数据包的类型(--icmp-type

ICMP 类型表示使用

  • 字符串
  • 数字代码

显式匹配

  • 要求有额外的内核模块提供支持
  • 必须手动以“-m 模块名称的形式调用相应的模块方可设置匹配条件

添加带显式匹配条件的规则以后查看相关的内核扩展模块

lsmod | grep xt_
常见的显式匹配包括
  • 多端口匹配
  • IP 范围匹配
  • MAC 地址匹配
  • 状态匹配

多端口匹配

(注:多个端口之间以逗号进行分隔)

使用形式
  • “-m multiport --dports 端口列表
  • “-m multiport --sports 端口列表”
用来检查数据包的
  • 源端口
  • 目标端口

IP 范围匹配

(注:其中 IP 范围采用“起始地址-结束地址” 的形式表示)

使用表示
  • “-m iprange --src-range IP 范围
  • “-m iprange --dst-range IP 范围”
用来检查数据包的
  • 源地址
  • 目标地址

MAC 地址匹配

(注:由于 MAC 地址本身的局限性,此类匹配条件一般只适用于内部网络)

使用形式
  • “-m mac --mac-source MAC 地址”
用来检查数据包的
  • MAC 地址

状态匹配

使用形式
  • “-m state --state 连接状态

基于 iptables 的状态跟踪机制用来检查数据包的连接状态(State

常见的连接状态包括

  • NEW(与任何连接无关的)
  • ESTABLISHED(响应请求或者已建立连接的)
  • RELATED(与已有连接有相关性的
小阿轩yx-iptables 防火墙

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/691408.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

C语言 数组——数组的其他应用之筛法求素数

目录 数组的其他应用 求100以内的所有素数 筛法求100以内的所有素数 自顶向下、逐步求精设计算法 数组的其他应用 求100以内的所有素数 筛法求100以内的所有素数 自顶向下、逐步求精设计算法 step 1:设计总体算法  初始化数组a,使a[2]2, a[3]3,..…

10-指针进阶——char型,多级指针,void指针,const指针

10-指针进阶——char型,多级指针,void指针,const指针 文章目录 10-指针进阶——char型,多级指针,void指针,const指针一、char 型指针1.1 示例 二、多级指针2.1 示例 三、 指针的万能拆解方法3.1 示例 四、v…

CMakeLists如何多行注释

在使用Visual Studio编写CMakeLists的时候你可能会遇到需要多行注释的情况,可又不知道快捷键是什么。。。 其实你只需要敲个 #[[ 就行了,另外一般方括号VS会自动帮你补全,之后将需要注释的内容放在第二个方括号与第三个方括号之间就完成注释…

Nvidia Jetson/Orin/算能 +FPGA+AI大算力边缘计算盒子:潍柴雷沃智慧农业无人驾驶

潍柴雷沃智慧农业科技股份有限公司,是潍柴集团重要的战略业务单元,旗下收获机械、拖拉机等业务连续多年保持行业领先,是国内少数可以为现代农业提供全程机械化整体解决方案的品牌之一。潍柴集团完成对潍柴雷沃智慧农业战略重组后,…

翻译《The Old New Thing》- Why isn’t there a SendThreadMessage function?

Why isnt there a SendThreadMessage function? - The Old New Thing (microsoft.com)https://devblogs.microsoft.com/oldnewthing/20081223-00/?p19743 Raymond Chen 2008年12月23日 为什么没有 SendThreadMessage 函数? 简要 文章讨论了 Windows 中不存在 Sen…

全链路性能测试:Nginx 负载均衡的性能分析和调优

为什么性能测试很多同学觉得是一个比较难以自学上岸的测试领域,是因为真正做全链路的性能测试是比较难的。所谓的全链路就是在项目的整个链路上任何一环节都有可能存在性能测试瓶颈,我们都需要能够通过分析性能的监控指标找到对应的问题。 我们今天要讲的Nginx负载均衡就是…

Shell脚本学习_字符串变量

目录 1.Shell字符串变量:格式介绍 2.Shell字符串变量:拼接 3.Shell字符串变量:字符串截取 4.Shell索引数组变量:定义-获取-拼接-删除 1.Shell字符串变量:格式介绍 1、目标: 能够使用字符串的三种方式 …

【NI国产替代】500 MSPS 采样率,14 bit 分辨率数据采集盒子

• 双高速高精度数据采集通道 • 支持内外精准触发采样模式 • 丰富的总线控制接口 • 抗干扰能力强 高速采集盒子是一款双通道,具有 500 MSPS 采样率,14 bit 分辨率的高速高精度数据采集设备,其模拟输入带宽为 200 MHz,…

深入了解反射

newInstance 可访问性限制: newInstance()方法只能调用无参的公共构造函数。如果类没有无参公共构造函数,那么newInstance()方法将无法使用。 异常处理: newInstance()方法在创建对象时会抛出受检异常InstantiationException和IllegalAcces…

各品牌电视安装第三方软件失败的解决方法

在安装电视第三方软件时,您可能会遇到安装失败、解析错误或无法识别文件类型等问题。以下是一些常见问题的解决方案,小武给您整理了详细的步骤来帮助解决这些问题。 手机投屏或安装方法参考如下文章: 移动端投屏到大屏幕的操作详解 通过U盘…

SpringBoot图书管理系统【附:资料➕文档】

前言:我是源码分享交流Coding,专注JavaVue领域,专业提供程序设计开发、源码分享、 技术指导讲解、各类项目免费分享,定制和毕业设计服务! 免费获取方式--->>文章末尾处! 项目介绍048: 图…

2024年6月8日 每周新增游戏

中医百科中药: 中医百科中药是一款非常强大的中药知识科普软件,该应用提供500多味中草药的文献资料,强大的搜索功能可根据功效、特点和关键词来快速查找中药,而且每味中药的图片、功效、主治、炮制方法等百科知识,可以很好的帮助你…

计算机专业本科论文起稿咋写

举例基于SpringBoot的Java基础的旅游管理系统 摘要 随着旅游业的快速发展,传统的旅游管理方式已经难以满足现代企业的需求。为了提高旅游企业的管理水平和服务质量,本文设计并实现了一个基于SpringBoot框架的旅游管理系统。本文首先介绍了旅游管理系统的…

E: 仓库 “http://download...graphics:/darktable/xUbuntu_22.04 InRelease” 没有数字签名

问题 Ubuntu22.04装了darktable软件没装好,已经卸载了但是没卸载干净,终端使用 sudo apt update 出现的问题: 解决: sudo nano /etc/apt/sources.list.d/*darktable*.list找到了该软件的相关仓库条目:直接给他注释掉就行了。

springcloud第4季 springcloud-gateway网关filter案例场景

一 filter作用 1.1 filter搭建流程 1.1.1 网关配置 1.1.2 服务提供者 1.1.3 测试验证 1.启动consul 2.启动zipkin 3.启动应用微服务 4.进行访问: http://localhost:6666/pay/wg/filter 1.2 其他常见API RemoveRequestHeadersec-fetch-site # 删除请求…

重构大学数学基础_week04_从点积理解傅里叶变换

这周我们来看一下傅里叶变换。傅里叶变换是一种在数学和许多科学领域中广泛应用的分析方法,它允许我们将信号或函数从其原始域(通常是时间域或空间域)转换到频域表示。在频域中,信号被表示为其组成频率的幅度和相位,这…

电脑下载速度很慢怎么解决 电脑下载加速工具测评推荐

电脑下载速度慢,不仅耗时冗长,还会影响工作和学习效率。漫长的等待让人心情焦虑,每一秒都是对耐心的极大考验。有关电脑下载速度很慢怎么解决,电脑下载加速工具评测推荐的问题,本文将进行详细介绍。 一、电脑下载速度…

一个简单的消息队列

目录 原理 实现代码 示例 原理 消息队列是一个先进先出栈,每次都处理第一项,处理完了过后会删除这个消息,这是一个简单的消息队列图: 实现代码 首先消息队列需要一个队列,我们用Python里的列表: self.…

信息学奥赛初赛天天练-23-CSP-J2023基础题-指针、链表、哈夫曼树与哈夫曼编码的实战应用与技巧大揭秘

PDF文档公众号回复关键字:20240608 单项选择题(共15题,每题2分,共计30分:每题有且仅有一个正确选项) 4 假设有一个链表的节点定义如下: struct Node {int data; Node* next; };现在有一个指向链表头部…

今年618,京东和爱奇艺为大屏品质“把关”

今年618电视大战,还是打响了。 根据京东618数据显示,618开门红阶段热卖TOP10电视均为75英寸以上的大屏,拥有超高画质的MiniLED电视成交量同比增长5倍。可以看到,大屏电视逐步成为消费主流,尤其是拥有出色视听体验的高…