学习cnetos 第十五天---防火墙(IP tables)

学习cnetos 第十五天---防火墙(IP tables)_第1张图片

 

一、IPtables 入门简介:+

iptables 是linux 内核集成的IP 信息包过滤系统,如果linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利在linux系统上更好的控制IP信息包过滤和防火墙配置。

防火墙在做信息包过滤时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包是一款功能强大的工具,可用于编辑、添加和移除规则。

 

 

二、linux防火墙工具的分类

 

(1)netifilter(内核空间,kernelspace):是内核的一部分,有一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

(1)位于linux内核中的包过滤功能体系。

(2)称为linux 防火墙的“内核态”。

(2)iptables

(1)位于/sbin/iptables,用来管理防火墙规则的工具

(2)称为linux 防火墙的“用户态”

 

 

 

三、包过滤的工作层次(网络层,针对ip数据包),如下图

 

学习cnetos 第十五天---防火墙(IP tables)_第2张图片

 

 

 

 

 

 

 

 

 

 

 

四、IPtables 表与链功能详解

 

 

学习cnetos 第十五天---防火墙(IP tables)_第3张图片

注意:当配置iptables 规则时,许多协议都是双向通信。所以需要同时配置输入链和输出链。

 

学习cnetos 第十五天---防火墙(IP tables)_第4张图片

 

学习cnetos 第十五天---防火墙(IP tables)_第5张图片

 

 

学习cnetos 第十五天---防火墙(IP tables)_第6张图片

 

 

 

 

 

学习cnetos 第十五天---防火墙(IP tables)_第7张图片

 

 

 

 

 

 

 

 

 

五、Iptables 的基本语法:

(1)语法构成

iptables  [-t 表名]  选项 [链名]   [条件]  [-j 控制类型]

如下图所示,禁止ping 包输入到这台主机

 

(2)数据包的常见控制类型:

ACCEPT:允许通过

DROP:直接丢弃,不给出任何回应

REJECT:拒接通过,必要时会给出提示

LOG:记录日志信息,然后传给下一条规则继续匹配

 

学习cnetos 第十五天---防火墙(IP tables)_第8张图片

 

(3)添加新的规则:

-A  :在链的末尾追加一条规则

-I  :在链的开头(或指定序号)插入一条规则

实例如下

学习cnetos 第十五天---防火墙(IP tables)_第9张图片

(4)查看规则列表:

  -L:列出所有的规则条目

  -n:以数字形式显示地址、端口等信息

  -v:以更详细的方式显示规则信息

  --line-numbers:查看规则时,显示规则的序号

 学习cnetos 第十五天---防火墙(IP tables)_第10张图片

 

(5)删除、清空、清除规则

     -D     //删除链内的指定序列号的一条规则

-F          //清空所有规则

-Z     //清除链中使用的规则

 

学习cnetos 第十五天---防火墙(IP tables)_第11张图片

 -

 

(6)设置默认策略,大写字母P

学习cnetos 第十五天---防火墙(IP tables)_第12张图片

 

六、规则的匹配条件:

 

学习cnetos 第十五天---防火墙(IP tables)_第13张图片

 

 

 

 

 

(1)常见的通用匹配条件:

学习cnetos 第十五天---防火墙(IP tables)_第14张图片

例子:

iptables   -I  INPUT  !  —p  icmp   -j   ACCEPT   // ! 号表示取反

禁止除了ICMP以外的协议可以通信

 

(2)隐含匹配的条件:

-P                   // tcp、udp、icmp

--sport       //指定源端口

--dport       //指定目的端口

-s                          // 源地址

-d                          // 目的地址

-i                           // 数据包进入的网卡

-o                          // 数据包出口的网卡

例子:

 

 

 

(3)常用的显示匹配条件:

  1.多端口匹配: -m    multiport  --sports      源端口列表

                            -m       multiport   --dports    目的端口列表

  2.ip范围分配:  -m   iprange     --src-range   IP范围

  3.mac地址匹配: -m   mac           --mac-source      mac地址

  4.匹配状态: -m   state --state       连接状态

  5. -m  limit   --limit 3/minutes         每三分钟一次

  6. -m  limit   --limit-burst  5       只匹配五个数据包

 7. -mtime--timestart 8:00  --timestop 12:00   表示从哪个时间到那个时间

 

例子:

 

 

保存防火墙规则:

service  iptables    save

 

 

 

 

学习cnetos 第十五天---防火墙(IP tables)_第15张图片

 

 

注意:配置INPUT时,要清空filter 表,清空filter表,表示防火墙不起任何作用(相当于关闭),可以设置自己的策略,

七、iptables (企业) 案例分析:

(1)INPUT   ACCEPT [0:0]   #该规则表示INPUT表的默认策略是ACCEPT;

(2)FORWARD  ACCEPT [0:0]   #该规则表示FORWARD表的默认策略是ACCEPT;

(3)OUTPUT  ACCEPT  [0:0]  #该规则表示OUTPUT表的默认策略是ACCEPT;

(4)-A  INPUT -m state --state ESTABLSHED,RELATED  -j  ACCEPT  #意思是允许进入的数据包只能是刚刚我发出去的数据包回应,ESTABLISHED:已建立的连接状态。RELATED:该数据包与本机发出的数据包有关。

(5)-A   INPUT  -p  icmp   -j  ACCEPT #允许icmp包进来
-A  INPUT  -i lo  -j  ACCEPT  #意思是允许本地回环接口在INPUT表的所有数据通信,-i 参数是指定接口,接口就是lo,lo是loopback(本地回环接口)

(6)-A  INPUT -j  REJECT  -reject-with  icmp-host-prohibited

     -A  FORWARD  -j REJECT  -reject-with  icmp-host-prohibited

#这两条意思是表示在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包,并且发送一条 host prohibited的消息给被拒绝的主机。

 

-m  state  --state  //模糊匹配一个状态

NEW  //用户发起一个新连接

ESTABLISHED  //对一个新的请求进行回应

RELATED   // 两个完整连接之间的相互关系,一个完整连接,需要依赖于另一个完整的连接

INVALID   //无法识别的状态

(7)web服务器,开启80端口:

iptables  -A  INPUT  -p  tcp   --dport  80  -j  ACCEPT

(8)邮件服务器,开启25,110端口

iptables  -A  INPUT  -p  tcp   --dport  25  -j  ACCEPT

iptables  -A  INPUT  -p  tcp   --dport  110  -j  ACCEPT

(9)ftp服务器,开启21 端口:

iptables  -A  INPUT  -p  tcp   --dport  21  -j  ACCEPT

iptables  -A  INPUT  -p  tcp   --dport  20  -j  ACCEPT

 

(10)DNS服务器,开启53端口

iptables  -A  INPUT  -p  tcp   --dport  53  -j  ACCEPT

(11)允许icmp包通过,也就是允许ping

iptables  -A  INPUT  -p  icmp   --j  ACCEPT

iptables  -A  OUTPUT  -p  icmp   --j  ACCEPT

(12)将本机的8080端口转发至其他主机,主机ip:192.168.1.12,目标主机ip和端口:192.168.1.13:8080,

iptables  -t nat  -A   PREROUTING  -p tcp   -m  tcp  --dport  8080  -j  DNAT  --to-destination  192.168.1.13:8080

iptables  -t nat  -A  POSTROUTING  -p  tcp   -m  tcp  --dport  8080  -j  SNAT  --to-source  192.168.1.12

echo  1 >  /proc/sys/net/ipv4/ip_forward

同时开启端口转发

 

 

 

 

 

 

你可能感兴趣的:(centos)