技术:iptables浅谈使用(三)

本文涉及的产品
云防火墙,500元 1000GB
简介: 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验

引言

1 概述

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。


上两个章节熟悉并了解了什么是防火墙,防火墙的工具iptables以及iptables原理和应用。这一篇是具体的详细实验操作。


2 安装与使用

2.1 安装iptables环境

在Linux操作系统中,可以使用yum管理来安装,也可以从官网下载后上传到服务器手动安装。

「yum安装」

$ yum-y install iptables-services

「下载安装」

image.png


2.2 启动iptables

按照我们平时启动软件方式即可。

$ systemctlstop firewalld && systemctl disable firewalld
$ systemctlstart iptables && systemctl enable iptables


3 基本命令

这个有点像firewalld防火墙,都是有基本的操作命令。


3.1 查看iptables已设置的规则

查看已设置规则列表:iptables -L

[root@otn2 ~]# iptables -LChain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

查看已设置规则详细列表:iptables -L -vn

[root@otn2 ~]# iptables -L -vnChain INPUT (policy ACCEPT 268M packets, 83G bytes)
 pkts bytes target     prot opt in     out     source               destination
00 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
00 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
00 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
00 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
00 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.11.0/24     ctstate RELATED,ESTABLISHED
00 ACCEPT     all  --  virbr0 *       192.168.11.0/24     0.0.0.0/0
00 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0
00 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
00 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT 249M packets, 74G bytes)
 pkts bytes target     prot opt in     out     source               destination
00 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68


3.2 清除iptables已设置规则

清除所有规则:iptables -F

删除用户自定义的链:iptables -X

链的计数器清零:iptables -Z


「命令」

$ iptables-F# 清除所有规则,不会处理默认的规则$ iptables-X# 删除用户自定义的链$ iptables-Z# 链的计数器清零(数据包计数器与数据包字节计数器)


3.3 添加iptables规则

指定表:iptables -t

把规则添加到指定的链上(默认添加到最后一行):iptables -A

插入规则(默认插入到第一行,封IP):iptables -I

删除链上的规则:iptables -D


「命令」

$ iptables-t# 指定表(default: `filter')$ iptables-A# 把规则添加到指定的链上,默认添加到最后一行$ iptables-I# 插入规则,默认插入到第一行(封IP)$ iptables-D# 删除链上的规则


3.4 清除iptables指定规则

查看规则号码:iptables -nL --line-numbers

删除指定链上的指定序号:iptables -D INPUT 1

$ iptables-nL--line-numbers# 查看规则号码$ iptables-D INPUT 1# 删除指定链上的指定序号


4 实战

4.1 配置允许ssh端口连接

配置ssh连接:iptables -A INPUT

$ iptables-A INPUT -s192.168.1.0/24 -p tcp --dport22-j ACCEPT

22:是ssh默认端口,

-s 192.168.1.0/24:表示允许这个网段的机器来连接,其它网段的ip地址是登陆不了你的机器的。

-j ACCEPT:表示接受这样的请求


4.2 允许本地圆环地址使用

$ iptables-A INPUT -i lo -j ACCEPT
$ iptables-A OUTPUT -o lo -j ACCEPT

本地圆环地址就是那个127.0.0.1,是本机上使用的,它进与出都设置为允许。


4.3 设置默认规则

默认情况,配置不允许进入:iptables -P INPUT DROP

默认情况,配置不允许转发:iptables -P FORWARD DROP

默认情况,配制可以转发出去:iptables -P OUTPUT ACCEPT

$ iptables-P INPUT DROP # 配置默认的不让进$ iptables-P FORWARD DROP # 默认的不允许转发$ iptables-P OUTPUT ACCEPT # 默认的可以出去

4.4 配置白名单

允许机房内网机器可以访问:iptables -A INPUT -p all

$ iptables-A INPUT -p all -s192.168.1.0/24 -j ACCEPT  # 允许机房内网机器可以访问$ iptables-A INPUT -p all -s192.168.140.0/24 -j ACCEPT  # 允许机房内网机器可以访问$ iptables-A INPUT -p tcp -s183.121.3.7 --dport3380-j ACCEPT # 允许183.121.3.7访问本机的3380端口


4.5 开启相应的服务端口

$ iptables-A INPUT -p tcp --dport80-j ACCEPT # 开启80端口,因为web对外都是这个端口$ iptables-A INPUT -p icmp --icmp-type8-j ACCEPT # 允许被ping$ iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来


4.6 保存iptables规则

方法一

$ iptables-save > 1.txt 
# 将防火墙规则保存到文件中$ iptables-save# 将防火墙规则保存到配置文件中,防止重启后失效$ iptables-restore < 1.txt
# 从配置文件里载入防火墙配置

「方法二」

$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份,请保持这一优秀的习惯$ iptables-save > /etc/sysconfig/iptables
$ cat /etc/sysconfig/iptables

4.7 禁止某个IP访问

$ iptables-I INPUT -p tcp -s192.168.1.253 -i ens33 -j DROP
$ iptables-A INPUT -p tcp ! -s192.168.1.1 -i ens33 -j DROP
$ iptables-A INPUT -p tcp ! -s192.168.1.0/24 -i ens33 -j DROP


4.8 禁止初跳板机以外的IP访问

$ iptables-I INPUT -p tcp ! -s192.168.1.1 -j DROP


4.9 匹配端口范围

$ iptables-I INPUT -p tcp -m multiport --dport21,22,23,24 -j DROP
$ iptables-I INPUT -p tcp --dport3306:8809 -j ACCEPT
$ iptables-I INPUT -p tcp --dport18:80 -j DROP
$ iptables-A INPUT -s127.0.0.1 -d127.0.0.1 -j ACCEPT               
# 允许本地回环接口(即运行本机访问本机)$ iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许已建立的或相关连的通行$ iptables-A OUTPUT -j ACCEPT         
# 允许所有本机向外的访问$ iptables-A INPUT -p tcp --dport22-j ACCEPT    
# 允许访问22端口$ iptables-A INPUT -p tcp --dport80-j ACCEPT    
# 允许访问80端口$ iptables-A INPUT -p tcp --dport21-j ACCEPT    
# 允许ftp服务的21端口$ iptables-A INPUT -p tcp --dport20-j ACCEPT    
# 允许FTP服务的20端口$ iptables-A INPUT -j reject      
# 禁止其他未允许的规则访问$ iptables-A FORWARD -j REJECT     
# 禁止其他未允许的规则访问


4.10 匹配ICMP类型

$ iptables-A INPUT -p icmp --icmp-type8# 例:iptables -A INPUT -p icmp --icmp-type 8 -j DROP$ iptables-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
$ iptables-A FORWARD -s192.168.1.0/24 -p icmp -m icmp --icmp-type any -j ACCEPT


「实验」

$ iptables-I INPUT -s192.168.1.200 -j DROP
# 封掉190.168.1.200$ iptables-I INPUT -p icmp --icmp-type8-s192.168.1.10 -j ACCEPT
$ iptables-I INPUT 2-p icmp ! -s192.168.1.1 --icmp-type8-j DROP
# 只允许192.168.1.1 192.168.1.10可以ping$ iptables-I INPUT -p tcp --dport3306-j DROP
# 将3306端口封掉$ iptables-A INPUT -p tcp -m tcp -s192.168.0.8 -j DROP 
# 屏蔽恶意主机(比如,192.168.0.8$ iptables-I INPUT -s123.45.6.7 -j DROP       
# 屏蔽单个IP的命令$ iptables-I INPUT -s123.0.0.0/8 -j DROP     
# 封整个段即从123.0.0.1到123.255.255.254的命令$ iptables-I INPUT -s124.45.0.0/16 -j DROP   
# 封IP段即从123.45.0.1到123.45.255.254的命令$ iptables-I INPUT -s123.45.6.0/24 -j DROP    
# 封IP段即从123.45.6.1到123.45.6.254


4.11 端口映射

$ iptables-t nat -A PREROUTING -d10.0.1.61 -p tcp --dport9000-j DNAT --to-destination172.16.1.7:22
命令拆解:
表:nat
链:PREROUTING
源IP:10.0.1.61
源端口:9000
协议:tcp
动作:DNAT
目标IP:172.16.1.7
目标端口:22
$ iptables-t nat -A PREROUTING -d210.14.67.127 -p tcp --dport2222-j DNAT --to-dest192.168.188.115:22
# 本机的 2222 端口映射到内网 虚拟机的22 端口


4.12 IP映射

$ iptables-t nat -A PREROUTING -d10.0.1.62 -j DNAT --to-destination172.16.1.7
# 将10.0.1.62的访问请求转发到172.16.1.7


4.13 启动网络转发规则

$ iptables-A FORWARD -o eth0
# 只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用


4.14 字符串匹配

$ iptables-A INPUT -p tcp --syn-m limit --limit5/second -j ACCEPT
iptables -A INPUT -p tcp -m string --algo kmp --string"test"-j REJECT --reject-with tcp-reset
iptables -L# Chain INPUT (policy ACCEPT)# target     prot opt source               destination# REJECT     tcp  --  anywhere             anywhere            STRING match "test" ALGO name kmp TO 65535 reject-with tcp-reset## Chain FORWARD (policy ACCEPT)# target     prot opt source               destination## Chain OUTPUT (policy ACCEPT)# target     prot opt source               destination


4.15阻止Windows蠕虫

$ iptables-I INPUT -j DROP -p tcp -s0.0.0.0/0 -m string --algo kmp --string"cmd.exe"


4.16 防止SYN洪水

$ iptables-A INPUT -p tcp --syn-m limit --limit5/second -j ACCEPT


4.17 列出已设置的规则

这个在基础规则已经列出来。

「格式」

iptables -L [-t 表名] [链名]


「描述」

• 四个表名 raw,nat,filter,mangle

• 五个规则链名 INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING

• filter表包含INPUT、OUTPUT、FORWARD三个规则链

$ iptables-L-t nat                  # 列出 nat 上面的所有规则#            ^ -t 参数指定,必须是 raw, nat,filter,mangle 中的一个$ iptables-L-t nat  --line-numbers# 规则带编号$ iptables-L INPUT
$ iptables-L-nv# 查看,这个列表看起来更详细
相关文章
|
弹性计算 数据可视化 Ubuntu
基于阿里云ECS搭建FISCO-BCOS区块链
用ubuntu操作系统下的ECS搭建FISCO-BCOS节点,开发区块链网络
基于阿里云ECS搭建FISCO-BCOS区块链
|
Java Linux 网络安全
Docker 如何上传本地文件到容器目录?
Docker 如何上传本地文件到容器目录?
692 0
|
Kubernetes Cloud Native Docker
云原生|kubernetes|网络插件flannel二进制部署和calico的yaml清单部署总结版
云原生|kubernetes|网络插件flannel二进制部署和calico的yaml清单部署总结版
1288 0
|
11月前
|
自然语言处理 IDE 测试技术
通义灵码史上最全使用教程:秀一秀AI编程新肌肉
通义灵码是阿里云推出的一款智能编码辅助工具,基于通义大模型,提供行级/函数级实时续写、自然语言生成代码、单元测试生成、代码优化、注释生成、代码解释、研发智能问答、异常报错排查等功能。它支持 Visual Studio Code 和 JetBrains IDEs,适配多 IDE 原生设计,帮助开发者高效、流畅地编码。官方提供了详细的下载和安装指南,以及丰富的功能介绍和使用指南。
2860 4
|
关系型数据库 MySQL 容器
docker-compose安装mysql并指定忽略表名大小写以及挂载配置文件
docker-compose安装mysql并指定忽略表名大小写以及挂载配置文件
957 0
docker-compose安装mysql并指定忽略表名大小写以及挂载配置文件
|
数据采集 监控 算法
阿里云百炼模型训练评测
【7月更文挑战第1天】阿里云百炼提供一站式的模型开发服务,包括大模型训练、调用与部署。用户可查看剩余调用次数,点击开通服务以使用模型。计费基于调用量,涵盖推理、训练和部署。开通服务需同意协议,成功后将收到短信通知。评测显示,平台功能丰富,易用性强,能显著提升模型效果,且模型部署简便。建议优化数据预处理工具并增加实例教程。
|
存储 数据挖掘 Linux
在Linux中,LVM(逻辑卷管理)的主要优势是什么?如何扩展LVM卷?
在Linux中,LVM(逻辑卷管理)的主要优势是什么?如何扩展LVM卷?
|
存储 监控 安全
智能家居安全:风险评估与防护策略
【6月更文挑战第27天】随着物联网技术的飞速发展,智能家居系统逐渐成为现代生活的一部分。然而,随之而来的安全问题也日益凸显,成为制约其发展的关键因素之一。本文从智能家居的安全隐患出发,深入分析当前面临的主要安全挑战,并提出相应的防护措施。通过综合运用技术手段和管理策略,旨在为智能家居系统的安全防护提供一套实用的解决方案。
|
开发工具 Android开发
技术经验分享:Android编译命令m、mm、mmm区别及工程搭建示例
技术经验分享:Android编译命令m、mm、mmm区别及工程搭建示例
1072 0
|
Android开发
Android12 ethernet和wifi共存
Android12 ethernet和wifi共存
749 0

热门文章

最新文章