iptables学习笔记之---搭建一套强大的安全防护盾

1.首先说到iptables的话先说一说Netfilter

通俗来说Netfilter就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是 用户自定义的功能)。------by 百度百科

这跟windows的hook是类似的,我先把你钩住然后根据我的规则对你进行处理

IP层有五个HOOK点
[1]:NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点(刚刚进行完版本号,校验
和等检测), 目的地址转换在此点进行;
[2]:NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点,INPUT包过滤在此点进行;
[3]:NF_IP_FORWARD:要转发的包通过此检测点,FORWARD包过滤在此点进行;
[4]:NF_IP_POST_ROUTING:所有马上便要通过 网络设备 出去的包通过此检测点,内置的 源地址转换 功能(包括地址伪装)在此点进行;
[5]:NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点,OUTPUT包过滤在此点进行。
介绍完netfilter,那么netfilter与iptables的具体的关系是什么呢?请看下图
iptables学习笔记之---搭建一套强大的安全防护盾_第1张图片
所以,iptables实际上是调用了Netfilter,从iptables到内核到ip_talbes内核模块再到Netfilter,最后用hook模块进行处理
2.iptables规则组成

组成部分:四张表+五条链(HOOK point)+规则

四张表:filter表,nat表,mangle表,raw表

filter表:访问控制,规则匹配

net表:地址转发

mangle表:修改数据包,改变包头内容(TTL,TOS,MARK)

raw表:免除 连接跟踪与NOTRACK目标相结合( for configuring exemptions from connection tracking in combination with the NOTRACK  target.

五条链:INPUT OUTPUT FORWARD PREROUTING POSTROUTING

iptables学习笔记之---搭建一套强大的安全防护盾_第2张图片

规则组成:

数据包访问控制:ACCEPT,DROP,REJECTDROP:丢弃,不会返回客户端REJECT:会返回客户端

数据包改写:SNAT,DNAT//s:source(源地址 ) d:destination(目的地址)

信息记录:LOG



先看看一些简单命令

iptables -v //查看iptables版本

iptables -L //列出之前设置的规则(List the rules in a chain or all chains)

iptables -F //--flush清除之前设置的规则(Delete all rules in  chain or all chains)

一些使用

Usage: iptables -[ACD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options] // -I:插入
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)


场景一:

规则1:对所有的地址开放本机的tcp(80,22,10-21)端口的访问

iptables -I INPUT -p tcp --dport 80 -j ACCEPT 
iptables -I INPUT -p tcp --dport 22 -j ACCEPT 
iptables -I INPUT -p tcp --dport 10:21 -j ACCEPT
-I INPUT:插入INPUT链

-p tcp:--protocol tcp协议

 --dport:目标端口

-j ACCEPT:即--jump target,满足条件就按什么目标操作(what to do if the packet matches it.)

iptables学习笔记之---搭建一套强大的安全防护盾_第3张图片

规则2:对所有的地址开放本机的基于ICMP协议的数据包的访问    

iptables -I INPUT -p icmp -j ACCEPT
iptables学习笔记之---搭建一套强大的安全防护盾_第4张图片

规则3:其他未允许的端口则禁止访问

iptables -A INPUT -j REJECT
-A:--append  添加到链中,这里是从后面添加哦(Append to chain)

A是添加在规则的最后,这I和A参数跟vi的有点像,另外防火墙是从第一条规则检测,一旦满足,后面的规则就不检测了

iptables学习笔记之---搭建一套强大的安全防护盾_第5张图片

先看一下本机开放的端口

iptables学习笔记之---搭建一套强大的安全防护盾_第6张图片

下面用nmap扫描本机测试一下

iptables学习笔记之---搭建一套强大的安全防护盾_第7张图片

可以看到5000+和9000+的端口都没扫出来


但是上面的设置是存在问题的:

1.本机无法访问本机

2.本机无法访问其他主机(因前面设置的都是本机端口的规则,所以访问外网的话最终会匹配到最后一条规则)

iptables学习笔记之---搭建一套强大的安全防护盾_第8张图片

对于第一点:

iptables -I INPUT -i lo -j ACCEPT

-i, --in-interface name,从这个接口收到的都ACCEPT(Name  of  an  interface via which a packet was received)

设置完就可以telnet本机22了


对于第二点:

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-m:匹配,这里是匹配状态(match)

--state:指定是什么状态

iptables学习笔记之---搭建一套强大的安全防护盾_第9张图片

补充:如果设置80端口只允许某ip访问

iptables -I INPUT -p tcp -s 10.10.10.1 --dport 80 -j ACCEPT
-s:source 源地址

设置前记得清除前面设置的iptables学习笔记之---搭建一套强大的安全防护盾_第10张图片

更新中...



你可能感兴趣的:(iptables学习笔记之---搭建一套强大的安全防护盾)