- 1IDEA运行第一个Java简单程序(新建项目到运行类)_idea java
- 2洞态IAST的部署及使用(以Tomcat为例)_洞态iast本地部署
- 3国风AI绘画平台Trik;「一个女孩的一生」走红;音视频转文字的精准处理指南;神经网络原理动画 | ShowMeAI日报
- 4自然语言处理--NLTK 停用词表_nltk导入中文停用词
- 5低不成高不就的现状?小伙用Python爬取百万招聘,找到满意工作_找工作低不成高不就
- 6爬虫项目实战:利用爬虫模板爬取豆瓣图书Top250_爬虫从模块查找书籍
- 7Caused by: org.springframework.amqp.AmqpException: No method found for class [B
- 8ORA-00257: 归档程序错误
- 9PowerDesigner16.5快速生成数据库详细设计文档_powerdesigner 生成数据库设计文档
- 10vue判断滚动条是否触底(触底增加数据)_vue-seamless-scroll 通过高度判断
iptables 防火墙(filter表)_防火墙规则表fi
赞
踩
目录
一、ptables概述
1、netfileter 和 iptablesIP 介绍
IP信息包括过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。
2、netfilter和iptables关系
netfilter: 属于“内核态”,又称内核空间(kernel space)的防火墙功能体系。
iptables: 属于“用户态”,又称用户空间(user space)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables 目录下。
netfilter和iptables后期简称为iptables: iptables是基于内核的防火墙,其中内置了ram、mangle、nat和filter,四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
二、iptables 的表、链结构
1、iptables的四表五链结构介绍
iptables的作用: 是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。
为了更加方便的组织和管理防火墙规则,iptables采用了 表和链的分层结构 。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。
其中。每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括的规则链,根据处理数据包的不同时机划分为五种链。
总结:表里有链,链里有规则
1.1 四表
规则表的作用: 容纳各种规则链; 表的划分依据: 防火墙规则的作用相似
1.2 五链
规则链的作用: 容纳各种防火墙规则;
链的分类依据: 处理数据包的不同时机
规则的作用: 对数据包进行过滤或处理
2、数据包过滤的匹配顺序
2.1 规则表应用顺序
raw->mangle->nat->filter表
2.2 规则链之间的匹配顺序
- 入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING —> INPUT----> 本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序—>OUTPUT —> PREROUTING
- 转发数据(需要经过防火墙的数据包):PREROUTING —>FORWARD---->POSTROUTING
2.3 规则链内的匹配规则
- 自上而下按顺序依次进行检查,找到向匹配的规则即停止(LOG策略例外,表示记录相关日志)
- 要么放行,要么丢弃
- 若在该链内找不到向匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
入站数据流向
- 来自外界的数据包到达防火墙后,首先被PREROUTING链处理(是否修改数据包地址等)。然后进行路由选择(判断数据包应发往何处);
- 如果数据包的目标地址是防火墙(如:internet用户访问网关的web服务端口),那么内核将其传递给INPUT链进行处理(决定是否通过);
- 通过以后再交给系统上层的应用程序(如httpd服务器)进行相应。
转发数据流向
- 来自外界的数据包到达防火墙后,首先被PREROUTING链处理,
- 然后再进行路由选择,如果数据包的目的地址是其它外部地址(如局域网通过网关访问qq服务器),则内核将其传递给FORWARD链进行处理(允许转发或拦截、丢弃);
- 最后交给POSTROUTING链(是否修改数据包的地址等)进行处理。
出站数据流向
- 防火墙本机向外部地址发送的数据包(如在防火墙主机测试公网DNS服务时),首先进行路由选择,确定输出路径后,再经由OUTPUT链处理,最后再交给POSTROUTING链(是否修改数据包的地址等)进行处理
总结:入站---->prerouting----> input-----> 应用程序------>output------>postrouting
三、编写防火墙规则
1、iptables安装
centos7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙,必须先关闭firewalld防火墙,再安装iptables
- 关闭firewalld
- systemctl stop firewalld
- systemctl disable firewalld
-
- 安装iptables
- yum -y install iptables iptables-service
-
- 设置开机启动
- systemctl start iptables.service
- systemctl enable iptables.service
2、iptables基本语法、选项、控制类型
语法:iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
- 表名、链名: 用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表。
- 管理选项: 表示iptables规则的操作方式,如插入、增加、删除、查看等。
- 匹配条件: 用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理
- 控制类型: 指的是数据包的处理方式,如允许、拒绝、丢弃等
- 不指定表名时,默认指filter表
-
- 不指定链名时,默认指定表内的所有链
-
- 除非设置链的默认策略,否则必须指定匹配标记
-
- 选项、链名、控制类型使用大写字母,其余均为小写
2.1 常用的管理选项
2.2 数据包控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行,封堵及做相应的日志记录等,在iptables防火墙体系中,最常用的几种控制类型如下:
| 控制类型 | 功能 |
|---|---|
| ACCEPT | 允许数据包通过 |
| DROP | 直接丢弃数据包,不给出任何回应信息 |
| REJECT | 拒绝数据包通过,必要时会给数据发送端一个响应信息 |
| LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则 |
| SNAT | 修改数据包的源地址 |
| DNAT | 修改数据包的目的地址 |
| MASQUERADE | 伪装成一个非固定公网IP地址 |
防火墙规则的“匹配及停止”,对于LOG操作是一个特例,因为LOG只是一种辅助动作,并没有真正处理数据包。
3、查看、添加、删除清空规则
3.1 查看规则列表
查看已有的防火墙规则时,使用管理选项 “ -L ” ,结合 “ --line-numbers”选项还可以显示各条规则在链内的顺序号。
例如:查看fileter表 INPUT链中的所有规则,并显示规则序号,可以执行以下操作。
防火墙未关闭时 
当防火墙规则的数量较多时,若能够以数字形式显示地址和端口信息,可以减少地址解析的环节,在一定程度上加快命令执行的速度。
例如:以数字地址形式查看filter表INPUT链中的所有规则,可以执行以下操作
通常查看链时,会以数字形式显示(-n),并显示详细信息(-v),并且加上序号(–lina-numbers),再加上查看选项(-L)。
3.2 添加新的规则
添加防火墙规则时,使用管理选项 “ -A ” 、“ -I ” ,前者用来住家规则,后者用来插入规则,
例如:不允许任何主机ping本主机
例如:允许主机ssh端口经过
例如:允许任何主机tcp或udp
3.3 删除、清空规则
删除一条防火墙规则时,使用管理选项 “ -D ” ,
例如:删除filter表INPUT链中的第五条规则。
例如:还可以使用以下方式进行删除
注意
- 若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条
- 按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
- 按内容匹配删数时,确保规则存在,否则报错
清空指定链或表中的所有防火墙规则,使用管理选项 “ -F ”。
例如:要清空filter表INPUT链中的所有规则。
使用管理选项" -F "时,允许省略链名而清空指定表所有链的规则,例如,执行一下操作,分别用来清空 filter表、nat表、mangle表。
- [root@localhost ~]# iptables -F
- [root@localhost ~]# iptables -t nat -F
- [root@localhost ~]# iptables -t mangle -F
注意
- -F仅仅是清空链中的规则,并不影响-P设置的默认规则,默认规则需要手动进行修改
- -p设置了DROP后,使用-F 一定要小心!防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决
- 如果不写表名和链名,默认清空filter表中所有链里的所有规则
四、协议匹配
编写iptables规则时,使用 “ -p 协议名”形式指定,用来检查数据包所使用的网络协议(–protocol),ru tcp,udp,icmp,和all(针对所有IP数据包)等,可用的协议类型存放于linux系统的/etc/procotols协议之外的数据,可以执行一下操作。
1、通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、ip地址、网络接口等条件。
- 协议匹配: -p 协议名
- 地址匹配: -s 源地址、 -d 目标地址 (可以是ip、网段、域名、空【任何地址】)
- 接口匹配: -i 入站网卡、-o 出站网卡
案例1:设置转发数据包除了icmp以外其它允许通过
案例2:将ip地址为192.168.100.3发来的数据包全部丢弃
2、隐含匹配
要求以特定的协议匹配作为前提,包括端口,TCP协议,ICMP类型等条件。
端口匹配: --sport 源端口 , --dport 目的端口(可以是个别端口或端口范围)
| 端口 | 范围 |
|---|---|
| –sport 1000 | 匹配源端口是1000的数据包 |
| –sport 1000:3000 | 匹配源端口是1000-3000的数据包 |
| –sport :3000 | 匹配源端口是3000及以下的数据包 |
| –sport 1000: | 匹配源端口是1000及以上的数据包 |
注意:–sport和–dport 必须配合-p 【协议类型】使用
- iptables -A INPUT -p tcp --sport 1000:3000 -j REJECT
- iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
- iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP
- iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
- iptables -A FORWARD -d 192.168.4.0/24 -p udp --sport 53 -j ACCEPT
- iptables -A INPUT -s 192.168.4.0/24 -p tcp --dport 53 -j ACCEPT
