当前位置:   article > 正文

Linux 防火墙之 iptables 的基本使用_target prot opt source destination

target prot opt source destination

本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 chaodev 即可关注。

防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。

在比较新的系统中,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。

iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。换句话说,当前的 linux 系统其实存在多个防火墙管理工具。


一、策略与规则链

防火墙会从上至下的读取配置的策略规则,如果在读取完所有的策略规则后没有匹配的,则执行默认的策略规则。防火墙策略规则的设置一般有两种:一种是“通”(放行),一种是“堵”(阻止)。

默认为拒绝时,就要设置允许规则,否则谁都进不来;默认为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。

iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

+ PREROUTING:在进行路由选择前处理数据包
+ POSTROUTING:在进行路由选择后处理数据包
+ INPUT:处理流入的数据包
+ OUTPUT:处理流出的数据包
+ FORWARD:处理转发的数据包
  • 1
  • 2
  • 3
  • 4
  • 5

但是仅有规则策略还不能保证安全,还应有相应动作来处理相应流量,在 iptables 服务中分别是:ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。其中 DROP 和 REJECT 的区别是,DROP 直接将流量进行丢弃而且不响应,REJECT 则会丢弃流量后进行响应,使得流量发送方可看到数据被拒绝的响应信息。


二、iptables基本命令

iptables 是一款基于命令行的防火墙策略管理工具,iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会策略规则所预设的动作来处理这些流量。

iptables 常用命令参数如下:

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号“!”表示除这个ip外
-d匹配目标地址
-I 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议。如TCP、UDP、ICMP
–dport num匹配目标端口号
–sport num匹配来源端口号

注:防火墙的策略规则的匹配顺序是从上至下的,因此优先级较高的策略规则应放到前面,以免发生错误。


三、具体示例

1、查看已有的防火墙规则链

iptables -L
  • 1

iptables-L.png


2、把INPUT规则链的默认策略设置为拒绝(DROP)

iptables -P INPUT DROP
  • 1

然后查看防火墙规则链,已经设置为DROP

iptables-L-DROP.png

现在流量发送方会看到响应超时的提醒,但是无法判断流量是被拒绝,还是接收方主机不在线。

被DROP.png

注:默认拒绝动作只能是DROP,而不能是REJECT。


3、把INPUT规则链的默认策略设置为允许(ACCEPT)

iptables -P INPUT ACCEPT
  • 1

4、清空已有的防火墙规则链

iptables -F
  • 1

iptables-F.png

当把INPUT链设置为默认拒绝后,所有流量都将被拒绝,所以需要在防火墙策略中写入允许策略。


5、向INPUT链中添加允许ICMP流量进入的策略规则

平时我们会使用 ping 命令来检测目标主机是否在线,而向防火墙的INPUT链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。

iptables -I INPUT -p icmp -j ACCEPT
  • 1

然后即可使用ping命令检测,如下

ping.png


6、删除INPUT链中刚才加入那条策略(允许ICMP流量),并把默认策略设置为允许

[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@localhost ~]# iptables -D INPUT 1
[root@localhost ~]# iptables -P INPUT ACCEPT
  • 1
  • 2
  • 3
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
Chain FORWARD (policy ACCEPT)
target prot opt source destination        
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

7、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。

iptables -I INPUT -s 192.168.157.0/30 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
  • 1
  • 2
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
ACCEPT tcp -- 192.168.157.0/30 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

这里我们把允许的动作放到了拒绝的动作前面,因为防火墙策略是从上至下的顺序匹配的,否则拒绝在前,所有流量都被拒绝掉,任何主机都无法访问。

我们可以使用 ssh 服务来验证一下,因为ssh服务使用的就是22端口,首先使用IP地址为 192.168.157.132 的主机来访问,如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused
  • 1
  • 2

可以看到提示连接被拒绝了,接下来将这个ip加入iptables的允许策略中,允许这个ip访问22端口。

iptables -I INPUT -s 192.168.157.132 -p tcp --dport 22 -j ACCEPT
  • 1

继续使用IP地址为192.168.157.132的主机来访问,如下

[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused

[root@localhost ~]# ssh 192.168.157.133     
The authenticity of host '192.168.157.133 (192.168.157.133)' can't be established.
ECDSA key fingerprint is 5e:a5:c3:aa:f8:b2:e9:6c:55:37:bd:aa:d8:77:68:2b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.157.133' (ECDSA) to the list of known hosts.
root@192.168.157.133's password:
Last login: Thu Mar 19 15:27:46 2020 from 192.168.157.1
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

可以看到已经成功连接。


8、向INPUT规则链中添加拒绝所有人访问本机8888端口的策略规则

[root@localhost ~]# iptables -I INPUT -p tcp --dport 8888 -j REJECT
[root@localhost ~]# iptables -I INPUT -p udp --dport 8888 -j REJECT

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination        
REJECT udp -- anywhere anywhere udp dpt:ddi-udp-1 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:ddi-tcp-1 reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.157.132 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.157.0/30 anywhere           
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target prot opt source destination        

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17

9、向INPUT规则链中添加拒绝192.168.157.128访问本机80端口的策略规则

iptables -I INPUT -s 192.168.157.128 -p tcp --dport 80 -j REJECT
  • 1

reject80.png


10、向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
  • 1
  • 2

reject1000_1024.png


四、策略永久生效

由于使用 iptables 命令配置的防火墙策略默认会在系统下一次重启时失效,所以需要让配置的防火墙策略永久生效,执行如下命令:

[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[确定]
  • 1
  • 2

保存之后也可在 /etc/sysconfig/iptables 中查看到配置的策略,如下

catsysconfIptbs.png



微信扫一扫下方二维码即可关注我的公众号

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/631870
推荐阅读
相关标签
  

闽ICP备14008679号