• linux 学习笔记--iptables


    linux 学习笔记--iptables

    本来想整理整理iptables的重要知识点,但发现一位大佬的博客写的过于详细,这里贴上链接即可。(主要是大佬的博客不能转载--哈哈_

    iptables详解

    下面仅罗列一些重点的概念和一些常见的命令

    iptables与firewalld

    在RHEL 7系统中,firewalld防火墙取代了iptables防火墙。

    其实,iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。

    iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。

    什么是iptables?

    mark

    策略与规则链

    防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。

    iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

    在进行路由选择前处理数据包(PREROUTING);

    处理流入的数据包(INPUT);

    处理流出的数据包(OUTPUT);

    处理转发的数据包(FORWARD);

    在进行路由选择后处理数据包(POSTROUTING)。

    mark

    mark

    规则链的概念

    mark

    每条链上有多个规则,数据传输时需要一次遍历链上的每一条规则,方可放行。

    表的概念

    mark

    表是对各个规则的一种抽象,是把视线相同功能的规则组合在一起称之为一类表。

    表链的概念

    mark

    所谓表链就是对某一个链里的规则按功能分成不同的表,并且不同的表有不同的优先级。

    数据经过防火墙流程

    mark

    基本的命令参数

    iptables命令可以根据流量的源地址目的地址传输协议服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。

    iptables中常用的参数以及作用:

    参数 作用
    -P 设置默认策略
    -F 清空规则链
    -L 查看规则链
    -A 在规则链的末尾加入新规则
    -I num 在规则链的头部加入新规则
    -D num 删除某一条规则
    -s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
    -d 匹配目标地址
    -i 网卡名称 匹配从这块网卡流入的数据
    -o 网卡名称 匹配从这块网卡流出的数据
    -p 匹配协议,如TCP、UDP、ICMP
    --dport num 匹配目标端口号
    --sport num 匹配来源端口号
    • iptables -L 在iptables命令后添加-L参数查看已有的防火墙规则链:

      Chain INPUT (policy ACCEPT)
      target prot opt source destination 
      ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
      ACCEPT all -- anywhere anywhere 
      INPUT_direct all -- anywhere anywhere 
      INPUT_ZONES_SOURCE all -- anywhere anywhere 
      INPUT_ZONES all -- anywhere anywhere 
      ACCEPT icmp -- anywhere anywhere 
      REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
      ………………省略部分输出信息………………
      
    • iptables -F :清空已有的防火墙规则链

    [root@linuxprobe ~]# iptables -F
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination 
    ………………省略部分输出信息………………
    
    • iptables -p: 把INPUT规则链的默认策略设置为拒绝
    [root@linuxprobe ~]# iptables -P INPUT DROP
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy DROP)
    target prot opt source destination 
    …………省略部分输出信息………………
    

    如前面所提到的防火墙策略设置无非有两种方式,一种是“通”,一种是“堵”,当把INPUT链设置为默认拒绝后,就要往里面写入允许策略了,否则所有流入的数据包都会被默认拒绝掉,需要留意规则链的默认策略拒绝动作只能是DROP,而不能是REJECT。

    • 向INPUT链中添加允许ICMP流量进入的策略规则:

    在日常运维工作中,经常会使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。

    [root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
    [root@linuxprobe ~]# ping -c 4 192.168.10.10
    PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
    64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.156 ms
    64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.117 ms
    64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.099 ms
    64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.090 ms
    --- 192.168.10.10 ping statistics ---
    4 packets transmitted, 4 received, 0% packet loss, time 2999ms
    rtt min/avg/max/mdev = 0.090/0.115/0.156/0.027 ms
    
    • 将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量
    [root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
    [root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination 
    ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
    REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
    ………………省略部分输出信息………………
    

    注:防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。

    在设置完上述INPUT规则链之后,我们使用IP地址在192.168.10.0/24网段内的主机访问服务器(即前面提到的设置了INPUT规则链的主机)的22端口,效果如下:

    [root@Client A ~]# ssh 192.168.10.10
    The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
    ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
    root@192.168.10.10's password: 
    Last login: Sun Feb 12 01:50:25 2017
    [root@Client A ~]#
    

    然后,我们再使用IP地址在192.168.20.0/24网段内的主机访问服务器的22端口(虽网段不同,但已确认可以相互通信),效果如下,就会提示连接请求被拒绝了(Connection failed):

    [root@Client B ~]# ssh 192.168.10.10
    Connecting to 192.168.10.10:22...
    Could not connect to '192.168.10.10' (port 22): Connection failed.
    
    • 向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
    [root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
    [root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination 
    REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
    REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
    ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
    REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
    ………………省略部分输出信息………………
    
    • 向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口(Web服务)的策略规则
    [root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination 
    REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
    REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
    REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
    ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
    REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
    ………………省略部分输出信息………………
    
    • 向INPUT规则链中添加拒绝所有主机访问本机10001024****端口的策略规则
    [root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
    [root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
    [root@linuxprobe ~]# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination 
    REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
    REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
    REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
    ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
    REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
    REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
    REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable
    ………………省略部分输出信息………………
    

    特别注意,使用iptables命令配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令:

    [root@linuxprobe ~]# service iptables save
    iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
    

    FAQ

    1.在RHEL 7系统中,iptables是否已经被firewalld服务彻底取代?

    答:没有,iptables和firewalld服务均可用于RHEL 7系统。

    2.请简述防火墙策略规则中DROP和REJECT的不同之处。

    答:DROP的动作是丢包,不响应;REJECT是拒绝请求,同时向发送方回送拒绝信息。

    3.如何把iptables服务的INPUT规则链默认策略设置为DROP?

    答:执行命令iptables -P INPUT DROP即可。

    4.怎样编写一条防火墙策略规则,使得iptables服务可以禁止源自192.168.10.0/24网段的流量访问本机的sshd服务(22端口)?

    答:执行命令iptables -I INPUT -s 192.168.10.0/24 -j REJECT 即可。

    参考文章:

    https://www.linuxprobe.com/chapter-08.html

    生活是一首长长的歌!
  • 相关阅读:
    hdu-6435
    Wannafly挑战赛22-A/B/C
    POJ-3041-建图/二分图匹配/网络流
    nyoj-1015-二分图判定
    hdu-6406-dp+ST表
    2017.3.27 集成modeler后的一些主要路径(持续更新)
    2016.3.23 集成新版activiti-modeler(5.17+)到项目中
    2017.3.14 activiti实战--第二十章--REST服务
    2017.2.28 activiti实战--第七章--Spring容器集成应用实例(五)普通表单
    2017.2.28 activiti实战--第六章--任务表单(二)外置表单
  • 原文地址:https://www.cnblogs.com/wind-zhou/p/12831024.html
Copyright © 2020-2023  润新知