-
服务器防火墙软件 --iptables
目录
一、linux包过滤防火墙概述
1、netfileter 和 iptablesIP
IP信息包括过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。
netiflter
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”iptables
位于/sbin/iptables,用于管理防火墙规则的工具
称为Linux防火墙的“用户态”netfilter和iptables后期简称为iptables: iptables是基于内核的防火墙,其中内置了raw、mangle、nat和filter,四个规则表,表中所有规则配置后,立即生效,不需要重启服务。
2. FirewallD 介绍
FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具
3.动态防火墙
iptables service管理防火墙规则的模式,用户使用命令添加防火墙的规则
如规则需永久保存,需执行命令service iptables reload 使变更的规则保存到配置文件中
iptables servic会对防火墙的规则列表全部重读一次加载到内核。
修改一条规则进行所有规则的重新载入的模式称为静态防火墙
firewalld所提供的模式称为动态防火墙
二、iptables 的表、链结构
iptables的作用: 是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。
为了更加方便的组织和管理防火墙规则,iptables采用了 表和链的分层结构 。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。
其中。每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括的规则链,根据处理数据包的不同时机划分为五种链。
1.规则链
规则的作用: 对数据包进行过滤或处理
链的作用 : 容纳各种防火墙规则
链的分类依据: 处理数据包的不同时机
类型 功能 INPUT 处理入站数据包,匹配目标IP为本机的数据包 OUTPUT 处理出站数据包,一般不在此链上做配置 FORWARD 处理转发数据包。匹配流经过本机的数据包 PREROUTING 在进行路由选择前处理数据包,用来修改目的地址,(DNAT) POSTOUTING 在进行路由选择后处理数据包,用来修改源地址,(SNAT) 2.规则表
表的作用: 容纳各种规则链
表的划分依据: 防火墙规则的作用相似
类型 功能 raw 表 确定是否对该数据包进行状态跟踪 mangle 表 为数据包设置标记 nat 表 修改数据包中的源、目标IP地址或端口 filter 表 确定是否放行该数据包(过滤) 三种报文流向
流入本机:PREROUTING-->INPUT-->用户空间进程(访问我的服务)
流出本机:用户空间进程-->OUTPUT-->POSROUTING(穿过我)
转发:PREROUTING-->FORWORD-->POSROUTING(分摊流量)
3、数据包过滤的匹配顺序
规则表应用顺序
raw-->mangle-->nat-->filter
规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理
数据包在规则表、链间的匹配流程
入站数据流向:**来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理(是否修改数据包地址等),然后进行路由选择;如果数据包的 目标地址是防火墙本机(,那么内核将其传递给 INPUT 链进行处理(决定是否允许通过等),然后根据目的地址进行发送。
出站数据流向:**防火墙本机向外部地址发送的数据包,首先进行路由选择,确定了输出路径后,再经由 OUTPUT 链处理,最后再交 POSTROUTING 链进行处理。
转发数据流向:**来自外界的数据包到达防火墙后,首先被 PREROUTING 链处理,然 后再进行路由选择;如果数据包的目标地址是其他外部地址,则内核将其传递给 FORWARD 链进行处理,最后交给 POSTROUTING 链进行处理。
三、编写防火墙(iptables)规则
1、iptables安装
centos7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙,必须先关闭firewalld防火墙,再安装iptables
关闭firewalld
systemctl stop firewalld
systemctl enable firewalld安装iptables
yum -y install iptables iptables-service设置开机启动
systemctl start iptables.service
systemctl enable iptables.service
2、iptables基本语法、选项、控制类型
语法:iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
表名、链名: 用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表。
管理选项: 表示iptables规则的操作方式,如插入、增加、删除、查看等。
匹配条件: 用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理
控制类型: 指的是数据包的处理方式,如允许、拒绝、丢弃等不指定表名时,默认指filter表
不指定链名时,默认指定表内的所有链
除非设置链的默认策略,否则必须指定匹配标记
选项、链名、控制类型使用大写字母,其余均为小写
管理选项 功能 用法 -A 在指定链末尾追加一条 iptables -A INPUT -I 在指定链中插入一条新,未指定序号默认作为第一条 iptables -I INPUT -P 指定默认规则 iptables -P OUTPUT ACCEPT -D 删除 iptables -t nat -D INPUT -R 替换某一条规则 iptables -t nat -R INPUT -p 服务名称 -L 查看 iptables -t nat -L -n 所有字段以数字形式显示
(比如任意ip地址是0.0.0.0而不是anywhere,比如显示协议端口号而不是服务名iptables -L -N
iptables -nL
iptables -vbL-v 查看时显示更详细的信息,常跟-L一起使用 –line-number 规则带编号 iptables -t nat -L -n --line-number
iptables -t nat -L-F 清除链中所有规则 iptables -F -X 清空自定义链的规则,不影响其他链 iptables -X -Z 清空链的计数器 iptables -Z -S 查看链的所有规则或者某个链的规则/某个具体规则后跟编号 iptables -t nat -S
iptables -t nat -S POSTROUTING 12、常用数据包控制类型
对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行,封堵及做相应的日志记录等,在iptables防火墙体系中,最常用的几种控制类型如下:
控制类型 功能 ACCEPT 允许数据包通过 DROP 直接丢弃数据包,不给出任何回应信息 REJECT 拒绝数据包通过,必要时会给数据发送端一个响应信息 LOG 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则 SNAT 修改数据包的源地址 DNAT 修改数据包的目的地址 MASQUERADE 伪装成一个非固定公网IP地址 防火墙规则的“匹配及停止”,对于LOG操作是一个特例,因为LOG只是一种辅助动作,并没有真正处理数据包
-
相关阅读:
Unix Network Programming Episode 79
客快物流大数据项目(九十):ClickHouse的引擎介绍和深入日志引擎讲解
进军东南亚市场,腾讯云数据库 TDSQL 助力印尼 BNC 银行数字化转型
【数据结构】手撕单链表
做接口测试如何上次文件
PON网络应用场景
golang常用库之-操作redis go-redis/redis库、 go-redsync/redsync库(redis分布式锁)
Docker 容器连接:构建安全高效的容器化网络生态
基于STM32F1-C8T6无人机(二)——舵机/电调/空心杯电机/飞控/机架/subs接收机/充电器和电池(给出链接和思考)
【Unity】Unity开发进阶(八)Windows解析Excel报错问题、跨平台解析Excel文件
- 原文地址:https://blog.csdn.net/weixin_71438279/article/details/126466384