-
iptables总结存档
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。
一、iptables的结构:
iptables的结构由表Tables,链Chains,规则Rules三部分组成。
首先是iptables的表(tables)与链(chains)
iptables有Filter, NAT, Mangle, Raw四种内建表:
(1). Filter表
Filter是iptables的默认表,它有如下三种内建的链(chains):
OUTPUT链 : 就是处理内部向外部发送的数据
INPUT链 : 就是处理外部访问内部的数据
FORWARD链 :转发,也即将数据转发到本机的其他网卡设备上(现在的机器大多采用双网卡,特别是生产机器,以保证机器网络稳定)。(2). NAT表
NAT表也有三种内建链:
POSTROUTING链 : 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
PREROUTING链 : 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
OUTPUT链 : 处理本机产生的数据包。(3). Mangle表
Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链(chains):PREROUTING、OUTPUT、FORWARD、INPUT、POSTROUTING
(4). Raw表
Raw表用于处理异常,它具有2个内建链:PREROUTING chain、OUTPUT chain
二、iptables的规则(Rules)
Rules包括一个条件和一个目标(target):
即如果满足条件,就执行目标(target)中的规则或者特定值;如果不满足条件,就继续判断下一条Rules规则,以此类推。目标值(Target Values)在target里指定的特殊值如下:
ACCEPT : 允许防火墙接收数据包
DROP : 防火墙丢弃包
QUEUE : 防火墙将数据包移交到用户空间
RETURN : 防火墙停止执行当前链中的后续Rules,并返回到调用链(the calling chain)中。
常用的命令:查看各表中的规则命令 # iptables -t filter --list 查看mangle表: # iptables -t mangle --list 查看NAT表: # iptables -t nat --list 查看RAW表: # iptables -t raw --list- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
刚安装的centos7.9机器执行的结果:
# iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere INPUT_direct all -- anywhere anywhere INPUT_ZONES_SOURCE all -- anywhere anywhere INPUT_ZONES all -- anywhere anywhere DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere FORWARD_direct all -- anywhere anywhere FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere FORWARD_IN_ZONES all -- anywhere anywhere FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere FORWARD_OUT_ZONES all -- anywhere anywhere DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere OUTPUT_direct all -- anywhere anywhere Chain FORWARD_IN_ZONES (1 references) target prot opt source destination FWDI_public all -- anywhere anywhere [goto] FWDI_public all -- anywhere anywhere [goto] Chain FORWARD_IN_ZONES_SOURCE (1 references) target prot opt source destination Chain FORWARD_OUT_ZONES (1 references) target prot opt source destination FWDO_public all -- anywhere anywhere [goto] FWDO_public all -- anywhere anywhere [goto] Chain FORWARD_OUT_ZONES_SOURCE (1 references) target prot opt source destination Chain FORWARD_direct (1 references) target prot opt source destination Chain FWDI_public (2 references) target prot opt source destination FWDI_public_log all -- anywhere anywhere FWDI_public_deny all -- anywhere anywhere FWDI_public_allow all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere Chain FWDI_public_allow (1 references) target prot opt source destination Chain FWDI_public_deny (1 references) target prot opt source destination Chain FWDI_public_log (1 references) target prot opt source destination Chain FWDO_public (2 references) target prot opt source destination FWDO_public_log all -- anywhere anywhere FWDO_public_deny all -- anywhere anywhere FWDO_public_allow all -- anywhere anywhere Chain FWDO_public_allow (1 references) target prot opt source destination Chain FWDO_public_deny (1 references) target prot opt source destination Chain FWDO_public_log (1 references) target prot opt source destination Chain INPUT_ZONES (1 references) target prot opt source destination IN_public all -- anywhere anywhere [goto] IN_public all -- anywhere anywhere [goto] Chain INPUT_ZONES_SOURCE (1 references) target prot opt source destination Chain INPUT_direct (1 references) target prot opt source destination Chain IN_public (2 references) target prot opt source destination IN_public_log all -- anywhere anywhere IN_public_deny all -- anywhere anywhere IN_public_allow all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere Chain IN_public_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW,UNTRACKED Chain IN_public_deny (1 references) target prot opt source destination Chain IN_public_log (1 references) target prot opt source destination Chain OUTPUT_direct (1 references) target prot opt source destination- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
三、清空所有iptables规则
iptables --flush 或者 iptables -F 下面命令是清除iptables nat表规则。 iptables -t nat -F- 1
- 2
- 3
- 4
- 5
- 6
四、使用命令使用规则永久生效
# 保存iptables规则 service iptables save # 重启iptables服务 service iptables stop service iptables start 查看当前规则: cat /etc/sysconfig/iptables- 1
- 2
- 3
- 4
- 5
- 6
- 7
五、追加iptables规则
可以使用iptables -A命令追加新规则,其中-A表示Append。因此,新的规则将追加到链尾。
但要注意:一般最后一条规则是用于丢弃(DROP)所有数据包,所以追加的新规则要在这条规则之前。
1.语法iptables -A chain firewall-rule -A chain – 指定要追加规则的链 firewall-rule – 具体的规则参数- 1
- 2
- 3
2.描述规则的基本参数
以下这些规则参数用于描述数据包的协议、源地址、目的地址、允许经过的网络接口,以及如何处理这些数据包。这些描述是对规则的基本描述。-p 协议(protocol) 指定规则的协议,如tcp, udp, icmp等,可以使用all来指定所有协议。 如果不指定-p参数,则默认是all值。这并不明智,请总是明确指定协议名称。 可以使用协议名(如tcp),或者是协议值(比如6代表tcp)来指定协议。映射关系请查看/etc/protocols 还可以使用–protocol参数代替-p参数- 1
- 2
- 3
- 4
- 5
-s 源地址(source) 指定数据包的源地址 参数可以使IP地址、网络地址、主机名 例如:-s 192.168.1.101指定IP地址 例如:-s 192.168.1.10/24指定网络地址 如果不指定-s参数,就代表所有地址 还可以使用–src或者–source- 1
- 2
- 3
- 4
- 5
- 6
- 7
-d 目的地址(destination) 指定目的地址 参数和-s相同 还可以使用–dst或者–destination- 1
- 2
- 3
- 4
-j 执行目标(jump to target) -j代表”jump to target” -j指定了当与规则(Rule)匹配时如何处理数据包 可能的值是ACCEPT, DROP, QUEUE, RETURN 还可以指定其他链(Chain)作为目标- 1
- 2
- 3
- 4
- 5
-i 输入接口(input interface) -i代表输入接口(input interface) -i指定了要处理来自哪个接口的数据包 这些数据包即将进入INPUT, FORWARD, PREROUTE链 例如:-i eth0指定了要处理经由eth0进入的数据包 如果不指定-i参数,那么将处理进入所有接口的数据包 如果出现! -i eth0,那么将处理所有经由eth0以外的接口进入的数据包 如果出现-i eth+,那么将处理所有经由eth开头的接口进入的数据包 还可以使用–in-interface参数- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
-o 输出(out interface) -o代表”output interface” -o指定了数据包由哪个接口输出 这些数据包即将进入FORWARD, OUTPUT, POSTROUTING链 如果不指定-o选项,那么系统上的所有接口都可以作为输出接口 如果出现! -o eth0,那么将从eth0以外的接口输出 如果出现-i eth+,那么将仅从eth开头的接口输出 还可以使用–out-interface参数- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
六、更改默认策略
1.SSH
# 1.允许接收远程主机的SSH请求 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # 2.允许发送本地主机的SSH响应 iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT -m state: 启用状态匹配模块(state matching module) –-state: 状态匹配模块的参数。当SSH客户端第一个数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED –sport 22: sshd监听22端口,同时也通过该端口和客户端建立连接、传送数据。因此对于SSH服务器而言,源端口就是22 –dport 22: ssh客户端程序可以从本机的随机端口与SSH服务器的22端口建立连接。因此对于SSH客户端而言,目的端口就是22- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
2.HTTP等
# 1.送出的数据包目的端口为22 iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # 2.接收的数据包源端口为22 iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 3.允许接收远程主机的SSH请求 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT # 4.允许发送本地主机的SSH响应 iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 5.允许接收远程主机的HTTP请求 iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT # 6.允许发送本地主机的HTTP响应 iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT # 7.允许远程主机进行SSH连接 iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 8.允许本地主机进行SSH连接 iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT # 9.允许HTTP请求 iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT # 10.配置默认链策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # 11.配置转发端口示例 iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 38.X25.X.X02 iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE # 12.转发规则 echo 1 >/proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.conf.eth0.route_localnet=1 sysctl -w net.ipv4.conf.default.route_localnet=1 nat规则 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306 iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1 注:这是允许所有外来的IP访问,慎用。 # 13.限制单个来源IP iptables -t nat -R PREROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j DNAT --to-destination 127.0.0.1:3306 iptables -t nat -R POSTROUTING 4 -s 192.168.40.154 -p tcp -m tcp --dport 63306 -j SNAT --to-source 127.0.0.1 注:这是只给外网的192.168.40.154连接, 其他的都连不上,修改规则(4代表编号, --line-number可查看对应编号, -s 指定来源IP)。 # 14. 查看nat规则 iptables -L -t nat --line-number 删除nat规则 iptables -t nat -D POSTROUTING 1 -A 追加规则-->iptables -A INPUT -D 删除规则-->iptables -D INPUT 1(编号) -R 修改规则-->iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则,顺序不变(1是位置) -I 插入规则-->iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则,原本位置上的规则将会往后移动一个顺位 -L 查看规则-->iptables -L INPUT 列出规则链中的所有规则 -N 新的规则-->iptables -N allowed 定义新的规则 ```bash # 接收目标端口为22的数据包 iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # 拒绝所有其他数据包 iptables -A INPUT -j DROP- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
-
相关阅读:
闭包的详细认识与实例
代码随想录训练营第42天|01背包问题、LeetCode 416. 分割等和子集
多态语法,析构多态
[HDLBits] Exams/ece241 2014 q5b
python的paramiko实现ssh登录
【python接口测试】requests库安装和导入
实现数组去重的七种方法
CUDA编程基础:如何实现c++事实绘制曲线,采用的绘图工具箱是:gnuplot
java,mqtt-client开发创建客户端
程序环境和预处理
- 原文地址:https://blog.csdn.net/u011635437/article/details/125510957
