Linux Commnad iptables 防火墙

本文涉及的产品
云防火墙,500元 1000GB
简介: Linux Commnad iptables 防火墙

Linux Commnad iptables 防火墙

文章目录

Linux Commnad iptables 防火墙

1. 默认的四张表

2. 默认的五条规则链

3. 选项

4. 规则

4.1 编写规则:

4.2 添加规则:

4.3 查看规则:

4.4 删除规则:

5. iptables实例

5.1 规则的基本匹配条件

5.2 打开LINUX路由功能(转发功能)

5.3 使用FORWARD链

5.4 扩展匹配

5.5 按数据包速率和状态匹配

5.6 还可以限制链接数

5.7 模拟随机丢包率

6. raw

[!NOTE|style:flat|lable:Mylable|iconVisibility:hidden]

iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在

/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML

1. 默认的四张表

1、filter:用于防火墙,默认有INPUT/OUTPUT/FORWARD三条链
2、nat:网络地址转换,PREROUTING/POSTROUTING/OUTPUT三条链
3、mangle:流量整形,五条链
4、raw:用于状态跟踪

2. 默认的五条规则链

1、INPUT: 如果一个数据包的目的地址是LINUX本身,则进入INPUT链
2、OUTPUT: 源地址是LINUX本身
3、FORWARD: 数据包从一块网卡接收,从另一块网卡发出,经过LINUX的包,进入这条链
4、PREROUTING: 路由前
5、POSTROUTING: 路由后

3. 选项

-t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。
# 通用匹配:源地址目标地址的匹配
-p:指定要匹配的数据包协议类型;
-s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0。
-d, --destination [!] address[/mask] :地址格式同上,但这里是指定地址为目的地址,按此进行过滤。
-i, --in-interface [!] <网络接口name> :指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反。
-o, --out-interface [!] <网络接口name> :指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
# 查看管理命令
-L, --list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则。
# 规则管理命令
-A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定。
-I, --insert chain [rulenum] rule-specification 在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号。
-D, --delete chain rule-specification -D, --delete chain rulenum 在指定的链 chain 中删除一个或多个指定规则。
-R num:Replays替换/修改第几条规则
# 链管理命令(这都是立即生效的)
-P, --policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。
-F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
-N, --new-chain chain 用指定的名字创建一个新的链。
-X, --delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。
-E, --rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响。
-Z, --zero [chain] :把指定链,或者表中的所有链上的所有计数器清零。
-j, --jump target <指定目标> :即满足某条件时该执行什么样的动作。target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链。
-h:显示帮助信息;
--state 匹配一组连接状态
--string 匹配应用层数据字节序列
--comment 注释数据
--probability 0.50000000000  -j KUBE-SEP-ID6YWIT3F6WNZ47P  使连接有50%的概率进入到KUBE-SEP-ID6YWIT3F6WNZ47P链

4. 规则

4.1 编写规则:

4.2 添加规则:

  • -A 在链的末尾追加一条规则
  • -I 在链的开头插入一条规则
  • -L 列出所有的规则条目

4.3 查看规则:

  • -n 以数字形式显示地址,端口等信息
  • -line-numbers 查看规则时,显示规则的序号

4.4 删除规则:

  • -D 删除链内指定序号的一条规则
  • -F 清空所有的规则
  • -P 为指定的链设置默认规则

5. iptables实例

1、拒绝PING防火墙本身

$ iptables  -F
$ iptables  -A  INPUT  -p  icmp  -j  DROP

2、ping linux的IP地址

3、把防火墙规则再清空,把拒绝ICMP的目标规则改为REJECT,再次ping测试,看结果。

4、查看防火墙规则

$  iptables  -nvL

5、允许指定IP地址的主机PING防火墙

$  iptables  -I  INPUT  1  -s  192.168.194.1  -p  icmp  -j  ACCEPT

6、查看防火墙规则,每个规则注明序号

$  iptables  -nL  --line-numbers

7、删除防火墙的INPUT链中第二条规则

$ iptables  –D  INPUT  2

8、把OUTPUT的默认规则改为DROP

$  iptables  -P  OUTPUT  DROP
# 限制syn并发数为每秒1次
$ iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
# 限制单个IP在60秒新建立的连接数为10
$ iptables -I INPUT -p tcp --dport 80 --syn -m recent --name SYN_FLOOD --update --seconds 60 --hitcount 10 -j REJECT

5.1 规则的基本匹配条件

1、允许特定IP地址访问LINUX的telnet服务

$  yum  install  -y  telnet-server
$ service  xinetd  start
$ chkconfig  telnet  on
$ iptables  -P  INPUT  DROP
$ iptables  -A  INPUT  -s  192.168.194.1  -p  tcp  --dport  23  -j  ACCEPT

2、继续第1步。向INPUT链插入规则,作为第一条。从eth0网卡收到的、访问telnet服务的数据包,拒绝。

$ iptables  -I  INPUT  -i  eth0  -p  tcp  --dport  23  -j  REJECT

5.2 打开LINUX路由功能(转发功能)

IS: 中间系统,路由器。

ES: 终端系统,主机系统。

1、临时打开路由功能

$ echo  1  > /proc/sys/net/ipv4/ip_forward
$ cat  /proc/sys/net/ipv4/ip_forward
1

2、永久打开转发功能

$  echo  ‘echo  1  > /proc/sys/net/ipv4/ip_forward’  >>  /etc/rc.local
$  vim  /etc/sysctl.conf
net.ipv4.ip_forward = 1
$ sysctl  -p

5.3 使用FORWARD链

1、拓扑

2、拒绝192.168.195.0/24网段访问192.168.194.0/24网段的telnet服务

$ iptables -A FORWARD -s 192.168.195.0/24 -d 192.168.194.0/24 -p tcp --dport 23  -i  eth1  -o  eth0  -j  REJECT

3、从拒绝SSH协议通过防火墙

$ iptables  -A  FORWARD  -p  tcp  --dport  22  -j  REJECT

4、不是192.168.195.0/24网段的主机访问SSH服务,可通过

$ iptables  -I  FORWARD  !  -s  192.168.195.0/24  -p  tcp  --dport 22  -j  ACCEPT

5、防火墙拒绝icmp的请求

$ iptables  -A  INPUT  -p  icmp  --icmp-type  echo-request  -j  REJECT

6、允许192.168.195.0/24网段进行PING

$ iptables  -I  INPUT  -s  192.168.195.0/24  -p  icmp  --icmp-type  echo-request  -j ACCEPT

7、防火墙拒绝发送echo-reply

$ iptables  -A  OUTPUT  -p  icmp  --icmp-type  echo-reply  -j  REJECT

8、允许防火墙回应192.168.195.0/24网段的ping

$ iptables  -I  OUTPUT  -s  192.168.195.0/24  -p  icmp  --icmp-type  echo-reply  -j ACCEPT

9、防火墙拒绝192.168.195.0/24对其进行TCP连接。

检查SYN/ACK/RST/FIN四个位置,其中SYN被置位

$ iptables  -I  INPUT  -s  192.168.195.0/24  -p  tcp  --tcp-flags  SYN,ACK,RST,FIN  SYN  -j  REJECT

5.4 扩展匹配

5.5 按数据包速率和状态匹配

-m state --state <状态> ,网络连接的五种状态

  • NEW,请求建立连接的包、完全陌生的包
  • ESTABLISHED,将要或已经建立连接的包
  • RELATED,与已知某个连接相关联的包
  • INVALID,无对应连接,以及连接无效的包
  • UNTRACKED,未跟踪状态的包
-m limit --limit 匹配速率 如: -m limit --limit 50/s -j ACCEPT
-m state --state 状态 如: -m state --state INVALID,RELATED -j ACCEPT

2、192.168.194.0/24作为内网,192.168.195.0/24作为外网。从内到外的访问不受限制,从外到内的主动连接全部拒绝。

$ iptables  -A  FORWARD  -s  192.168.194.0/24  -j  ACCEPT
$ iptables  -A  FORWARD  -d  192.168.194.0/24  -j  REJECT
$ iptables  -I  FORWARD  2  -d  192.168.194.0/24  \
 -m  state  --state  ESTABLISHED,RELATED  -j  ACCEPT

3、减轻DOS(拒绝服务)攻击

4、免状态跟踪

5.6 还可以限制链接数

-m connlimit --connlimit-above n 限制为多少个

  //表示限制链接数最大为9个   
 iptables -I FORWARD -p tcp -m connlimit --connlimit-above 9 -j DROP      
//表示访问80端口服务最大为10个链接  
iptable -A INPUT -p tcp -- dport 80 -m connlimit --connlimit-above 10 -j REJECT

5.7 模拟随机丢包率

iptables -A FORWARD -p icmp -m statistic --mode random --probability 0.31  -j REJECT   //表示31%的丢包率
-m random --average 5 -j DROP 表示模拟丢掉5%比例的包

6. raw

追踪数据包

# 在宿主机上执行
$ iptables -t raw -A OUTPUT -p icmp -j TRACE
$ iptables -t raw -A PREROUTING -p icmp -j TRACE

更多阅读:

相关文章
|
3月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
223 73
|
3天前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
8 0
|
1月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
41 1
|
3月前
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
77 2
|
4月前
|
网络协议 Linux 网络安全
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
|
3月前
|
Linux 网络安全
在Linux中,如何设置防火墙规则?
在Linux中,如何设置防火墙规则?
|
3月前
|
Linux 网络安全
在Linux中,iptables和firewalld两种防火墙如何使用?
在Linux中,iptables和firewalld两种防火墙如何使用?
|
3月前
|
安全 Linux 测试技术
在Linux中,如何配置防火墙和安全规则?
在Linux中,如何配置防火墙和安全规则?
|
3月前
|
监控 安全 Linux
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?