iptables防火墙服务

本文涉及的产品
云防火墙,500元 1000GB
简介: iptables防火墙服务详细介绍

iptables防火墙

防火墙管理工具

首先防火墙是作为公网和内网之间的屏障,主要功能是依据策略对穿越防火墙自身的流量进行过滤。

防火墙的策略可以基于流量的源目地址,端口号,协议,应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略相匹配,则执行相应的处理,反之则丢弃。这样就可以保证仅有合法的流量在企业内网和外部公网之间流动了。

其实,iptables和firewalld都不是真正的防火墙,他们都是用来定义防火墙策略的防火墙管理工具而已,或者说他们是一种服务,iptables服务会把配置好的防火墙策略交由内核层面netfilter网络过滤器来处理。而Firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。

iptables

策略与规则链

防火墙会从上到下的顺序来读取配置的策略规则,在找到匹配项之后就立即结束匹配工作并去执行匹配项中定义的行为(放行或者阻止)。如果在读取完所有的策略规则之后没有匹配项就会执行默认的策略。一般而言,防火墙的默认策略规则设置有两种,一种是通,一种是堵。当防火墙的默认策略为拒绝时,就要设置允许规则,否则谁都进不来。如果防火墙的默认策略为允许,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。

iptables服务把用于处理或者过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同机型分类,具体如下:

  • 在进行路由选择前处理数据包(PREROUTING)
  • 处理流入的数据包(INPUT)
  • 处理流出的数据包(OUTPUT)
  • 处理转发的数据包(FORWARD)
  • 在进行路由选择后处理数据包(POSTROUTING)

一般来说,从内网想外网发送的流量一般是可控的良性的,因此我们使用最多的就是INPUT规则链,该规则链可以增大黑客入侵的难度。

仅有策略还是不能保证安全的,我们还要对这些流量采取相应的动作来处理。

  • ACCEPT:允许流量通过
  • REJECT: 拒绝流量通过 (拒绝流量通过后,会给发送者回复一个我收到了,但是我丢掉了的信息)
  • LOG: 记录日志信息
  • DROP:拒绝流量通过(直接就丢了,不响应)

iptables中的基本命令参数

参数 作用
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址,加!表示除了这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口
--sport num 匹配来源端口
-j 代表要跳转到的规则
iptables -L   #查看已有的防火墙规则链

policy后面写的那个就是对应操作的默认策略

xn_2022-08-25_15-55-54

iptables -F   #清空已有的防火墙规则链
iptables -P INPUT DROP  #把INPUT的规则链默认设置为拒绝,
#ps别随随便便执行这个呀,我傻乎乎的一执行,得,xshell直接连不上虚拟机,就很完蛋了。

需要注意一点,规则链的默认拒绝动作只能是DROP,而不能是reject。

:one:向规则链中添加允许ICMP流量进入的策略规则。

iptables -I INPUT -p ICMP -j ACCEPT

xn_2022-08-25_16-08-39

:two:删除INPUT规则链中刚刚加入的那条策略,并把默认策略设置为ACCEPT

iptables -D INPUT 1
iptables -P INPUT ACCEPT

:three:将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量:

iptables -I INPUT -s 133.64.51.101/26 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

xn_2022-08-25_16-42-07

:four:向INPUT规则链中添加拒绝所有人访问本机12345端口的策略

iptables -I INPUT -p tcp --dport 12345 -j REJECT
iptables -I INPUT -p udp --dport 12345 -j REJECT

:five:向INPUT规则链添加拒绝192.168.10.5主机访问80端口(web服务)的策略规则:

iptables -I INPUT -s 192.168.10.5 -p tcp --dport 80 -j REJECT

:six:向INPUT规则链中添加拒绝所有主句访问本机1000-1024端口的策略规则

iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT 

:heavy_exclamation_mark:要特别注意一点,iptables命令配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令。

service iptables save
目录
相关文章
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
223 73
|
1月前
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
25 0
|
3月前
|
存储 安全 API
【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account
【Azure API Management】实现在API Management服务中使用MI(管理标识 Managed Identity)访问启用防火墙的Storage Account
|
3月前
|
存储 网络协议 Ubuntu
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
如何在 Ubuntu 14.04 上使用 Iptables 实现基本防火墙模板
45 0
|
3月前
|
网络协议 Ubuntu Linux
Iptables 防火墙的工作原理
Iptables 防火墙的工作原理
42 0
|
6月前
|
网络协议 Linux 网络安全
iptables 与 firewalld 防火墙
iptables 与 firewalld 防火墙
|
6月前
|
弹性计算 运维 Shell
|
6月前
|
存储 网络协议 Linux
Linux加强篇008-使用Iptables与Firewalld防火墙
山重水复疑无路,柳暗花明又一村
924 0
Linux加强篇008-使用Iptables与Firewalld防火墙
|
6月前
|
Linux 网络安全
CentOS7下操作iptables防火墙和firewalld防火墙
CentOS7下操作iptables防火墙和firewalld防火墙
399 3
|
11月前
|
Linux 网络安全 Nacos
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
865 1