1.IPtables介紹
Iptables(以下簡稱Iptables)是unix/linux自帶的一款優秀且開放源代碼的完全自由的基于包過濾(對OSI模型的四層或者是四層以下進行過濾)的防火墻工具,它的功能十分強大,使用非常靈活,可以對流入和流出服務器的資料包進行很精細的控制,
iptables其實并不是真正的防火墻,我們可以把他理解為一個客戶端的代理,用戶是通過iptables這個代理,將用戶的安全設定執行到對應的“安全框架”中,這個“安全框架”才是真正的防火墻,這個框架叫做“netfilter”,
netfilter:內核空間,是真正實作防火墻的功能,
iptables:用戶空間,在/sbin/iptables存在的防火墻,通過iptables提供管理,修改,洗掉或者插入規則,
用戶和內核互動的一個工具就是iptables,
iptables作業流程
1、防火墻是一層層過濾的,實際是按照配置規則的順序從上到下,從前到后進行過濾的,
2、如果匹配上了規則,即明確表明是阻止還是通過,此時資料包就不在向下匹配新規則了,
3、如果所有規則中沒有明確表明是阻止還是通過這個資料包,也就是沒有匹配上規則,向下進行匹配,直到匹配默認規則得到明確的阻止還是通過,
4、防火墻的默認規則是對應鏈的所有的規則執行完以后才會執行的(最后執行的規則),
2.四表五鏈
默認情況下,iptables根據功能和表的定義劃分包含三個表,filter,nat,mangle,其每個表又包含不同的操作鏈(chains ), 實際iptables包含4張表和五個鏈,主要記住filter即可,
四個表
必須是小寫
raw ------------追蹤資料包, ----此表用處較少,可以忽略不計
mangle -------- 給資料包打標記,做標記
nat ---------網路地址轉換即來源與目的的IP地址和port的轉換,
filter --------做過濾的,防火墻里面用的最多的表,
#表的應用順序:raw-》mangle-》nat-》filter
五個鏈
五鏈:(必須是大寫)鏈里面寫的是規則,
PREROUTING ---------------------進路由之前資料包
INPUT -----------------就是過濾進來的資料包(輸入)
FORWARD -----------------轉發
OUTPUT ---------------發出去的資料包
POSTROUTING --------------路由之后資料包
#所有的訪問都是按順序:
入站:比如訪問自身的web服務流量,先PREROUTING(是否改地址,只能改目標地址),經路由再INPUT(是否允許)到達程式,
轉發:經過linux網關的流量.先PREROUTING(是否改地址),然后路由,轉發給FORWARD(轉發或者丟棄),最后經過POSTROUTING(看看改不改地址,原地址和目標地址,)
出站:源自linux自身的流量.先OUTPUT,再給POSTROUTING(是否改IP),
#規則順序:逐條匹配,匹配即停止,
四表五鏈
raw表里面:
PREROUTING
OUTPUT
總結:資料包跟蹤 內核模塊iptables_raw
===============================================
mangel表里面有5個鏈:
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
路由標記用的表,內核模塊iptables_mangle
=====================================================
nat表里面的鏈:
PREROUTING
INPUT
OUTPUT
POSTROUTING
轉換地址的表(改IP,改埠,當網關使用的linux,保護內外網流量,內核模塊叫iptable_nat)
==========================================
filter表有三個鏈:重點
INPUT #負責過濾所有目標是本機地址的資料包通俗來說:就是過濾進入主機的資料包
FORWARD #負責轉發經過主機的資料包,起到轉發的作用
OUTPUT #處理所有源地址是本機地址的資料包通俗的講:就是處理從主機發出的資料包
總結:根據規則來處理資料包,如轉或者丟,就是實作主機型防火墻的主要表,
內核模塊 iptable_filter
3.iptables引數詳解
1.安裝iptanles
centos7
[root@iptables-server ~]# yum install -y iptables iptables-services #安裝iptables
[root@iptables-server ~]# systemctl stop firewalld #關閉防火墻
[root@iptables-server ~]# systemctl disable firewalld #永久關閉
[root@iptables-server ~]# systemctl start iptables #啟動iptables
查看版本:
[root@iptables-server ~]# iptables -V
iptables v1.4.21
如果你是centos(5/6) ,iptanles的啟動方式用這個命令
#/etc/init.d/iptables start
2.常用引數
-L:列出一個鏈或所有鏈中的規則資訊
-n:以數字形式顯示地址、埠等資訊
-v:以更詳細的方式顯示規則資訊
--line-numbers:查看規則時,顯示規則的序號(方便之處,通過需要洗掉規則-D INPUT 1
-F:清空所有的規則(-X是清理自定義的鏈,用的少;-Z清零規則序號)
-D:洗掉鏈內指定序號(或內容)的一條規則
-R:修改規則
-P:為指定的鏈設定默認規則
-A:在鏈的末尾追加一條規則
-I:在鏈的開頭(或指定序號)插入一條規則
-t: 指定表名
.... 更多引數可通過--help查看
3.具體使用的例子
-L:列出一個鏈或所有鏈中的規則資訊
[root@iptables-server ~]# iptables -L 默認查看所有鏈規則
-t: 指定表名 但是如果不加-t引數,默認使用的是filter表
[root@iptables-server ~]# iptables -t nat -L #列出nat表中的規則
[root@iptables-server ~]# iptables -nL #以數字的形式顯示ip和埠與協議
[root@iptables-server ~]# iptables -nL --line #顯示規則行號
清空規則:
#iptables -F
清空單獨的某一個鏈里面的規則
#iptables -F 鏈名
清空單獨的某一個表里的,某一個鏈里面的規則
# iptables -t nat -F 鏈名
保存規則:
[root@iptables-server ~]# service iptables save
或者
[root@iptables-server ~]# iptables-save > /etc/sysconfig/iptables
不保存的話只是臨時起作用,重啟會失效
iptables的一般語法規則
iptables -t 表名 動作 [鏈名] [-p 匹配條件] [-j 控制型別]
-j:控制型別, 通過前面匹配到之后是丟棄還是保留資料包的處理方式:
ACCEPT允許,
REJECT拒絕,
DROP丟棄, 不會給用戶回傳任何的拒絕訊息,不推薦使用,
LOG寫日志(log不適用匹配,只是記錄一下)
======================================================
動作:添規則還是洗掉規則
-p:匹配條件:資料包特征ip,埠等
如果不寫-t 默認使用filter表
=======================================================
動作
修改默認規則: -P (大p)
洗掉規則:-D
修改規則:-R
追加規則: -A 默認追加到鏈的末尾
插入規則:-I (大i),在鏈的開頭(或指定序號)插入一條規則
舉例
iptables -t filter -A INPUT -p tcp -j ACCEPT #在filter表INPUT鏈的最后一行插入允許tcp的規則
iptables -I INPUT -p udp -j ACCEPT #在filter表INPUT鏈的第一行插入允許udp的規則
iptables -I INPUT 4 -p icmp -j ACCEPT #在filter表INPUT鏈的第四行插入允許icmp的規則
iptables -D INPUT 3 #洗掉filter表INPUT鏈的第三行規則
案例
協議:-p (小p)
tcp ---用的最多
udp
icmp ---ping的時候用的協議
使用協議的時候可以不指定埠,使用埠的時候必須指定協議,
1.禁止自己被別人ping
[root@iptables-server ~]# iptables -A INPUT -p icmp -j REJECT
我們去另一臺上面測驗
[root@iptables-test ~]# ping 192.168.13.139
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
From 192.168.13.139 icmp_seq=1 Destination Port Unreachable
2.拒絕test(192.168.13.140)這臺機器通過ssh連接到本服務器
埠:
--sport ---源埠
--dport --目標埠
-s : 指定ip地址
[root@iptables-server ~]# iptables -I INPUT -s 192.168.13.140 -p tcp --dport 22 -j REJECT
驗證:
[root@iptables-test ~]# ssh [email protected]
ssh: connect to host 192.168.13.139 port 22: Connection refused
[root@iptables-server ~]# iptables -I INPUT -s 192.168.13.140 -p tcp --dport 22:80 -j REJECT
#埠的范圍: 拒絕192.168.13.140這臺機器通過22埠到80埠的訪問,包括22和80埠在內
驗證:
[root@iptables-test ~]# curl -I http://192.168.13.139
curl: (7) Failed connect to 192.168.13.139:80; Connection refused
-s后面可以跟多個ip地址,比如-s 192.168.13.140,192.168.13.141 中間用逗號隔開
如果不指定-s ip地址 ,那就是對所有的機器都生效
3.禁止ping策略原則
iptables服務器是ping命令發起者或是接受者
-i --in-interface:在INPUT鏈配置規則中,指定從哪一個網卡介面進入的流量(只能配置在INPUT鏈上)
-o --out-interface:在OUTPUT鏈配置規則中,指定從哪一個網卡介面出去的流量(只能配置在OUTPUT鏈上)
====================================================
icmp的型別:
0: Echo Reply——回顯應答(Ping應答)ping的結果回傳,
8: Echo request——回顯請求(Ping請求),發出去的請求,
=====================================================
iptables服務器-----發起者:ping 別的機器
1.自己不能ping別人,但是別人可以ping自己:
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 8 -j REJECT #ping發出的請求禁止掉了
驗證:
[root@iptables-server ~]# ping 192.168.13.140 #將ping請求給禁止掉了,
PING 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
[root@jenkins-server ~]# ping 192.168.13.139 #可以ping通
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
64 bytes from 192.168.13.139: icmp_seq=1 ttl=64 time=0.280 ms
=========================================================================================
iptables服務器作為接受者,也就是別人ping自己:
本機可以ping其他機器,其他機器不能ping通本機:
第一種方法:
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 8 -j ACCEPT #允許自己ping別人
[root@iptables-server ~]# iptables -A INPUT -i ens33 -p icmp --icmp-type 8 -j REJECT #將進來的ping請求給丟棄了,
換一種方法:
[root@iptables-server ~]# iptables -I OUTPUT -o ens33 -p icmp --icmp-type 0 -j REJECT #不給回應icmp包
驗證:
[root@iptables-server ~]# ping 192.168.13.140 #ping其他機器通
PING 192.168.13.140 (192.168.13.140) 56(84) bytes of data.
64 bytes from 192.168.13.140: icmp_seq=1 ttl=64 time=0.491 ms
[root@iptables-test ~]# ping 192.168.13.139 #其他機器ping不同
PING 192.168.13.139 (192.168.13.139) 56(84) bytes of data.
=========================================================================================
拒絕任何ping的協議:
[root@iptables-server ~]# iptables -A INPUT -p icmp -j DROP
4.擴展匹配
顯示匹配:如埠匹配,IP范圍,MAC地址,等特殊匹配
#iptables -m iprange --help
1.指定ip范圍:
語法: -m iprange --src-range
# iptables -I INPUT -p tcp --dport 80 -m iprange --src-range 192.168.13.120-192.168.13.150 -j REJECT
2.指定多埠范圍:一次拒絕多個指定埠
語法:
-m multiport --sports #源埠
-m multiport --dports #目的埠
# iptables -A INPUT -p tcp -m multiport --dports 22,80 -s 192.168.13.140 -j REJECT
驗證:在13.140機器上
# ssh [email protected] #不通
ssh: connect to host 192.168.13.139 port 22: Connection refused
3.MAC地址匹配
拒絕MAC地址的匹配:只能匹配源MAC地址
語法: -m mac --mac-source
# iptables -I INPUT -p icmp -m mac --mac-source 0:0c:29:cd:26:77 -j REJECT #拒絕指定的MAC地址服務通過icmp協議請求到本地
# iptables -I INPUT -m mac --mac-source 00:0C:29:64:E3:8D -j REJECT #將指定的MAC地址服務請求全部禁止了
# iptables -I INPUT -i ens33 -j DROP #通過網卡介面,誰也連不上了.
你們的評論和點贊是我寫文章的最大動力,蟹蟹,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/114356.html
標籤:Linux