- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
一.iptables的安装:yum -y install iptables
iptables开机自启动:chkconfig iptables on
iptables启动:/etc/init.d/iptables start
iptables关闭:/etc/init.d/iptables stop
iptables的状况查看:chkconfgi --list | grep iptables
iptables的配置文件:/etc/sysconfig/iptables
二.防火墙基础:
1.防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。
2.iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
3.表(tables)提供特定的功能,iptables内置了4个表,即filter表、nat表、mangle表和raw表,每个表的功能如下:
1.)filter:定义允许或者不允许的
2.)nat :定义地址转换的
3.)mangle:修改报文原数据
4.)raw:数据跟踪处理上
我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。
4.链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。
5.小扩展:
对于filter表来讲一般只能做在3个链(chain)上:INPUT ,FORWARD ,OUTPUT
对于nat表来讲一般也只能做在3个链(chain)上:PREROUTING ,OUTPUT ,POSTROUTING
对于mangle表则是5个链(chain)都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
6.当一个数据包进入时:
① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的,它就会沿着向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
三.iptables命令格式
iptables的命令格式较为复杂,一般的格式如下:
iptables [-t table] 命令 [chain] [rules] [-j target]
table——指定表明
命令——对链的操作命令
chain——链名
rules——规则
target——动作如何进行
1.表选项
表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。
2.命令选项iptables命令格式(command)
命令 说明
-P或–policy <链名> 定义默认策略
-L或–list <链名> 查看iptables规则列表
-A或—append <链名> 在规则列表的最后增加1条规则
-I或–insert <链名> 在指定的位置插入1条规则
-D或–delete <链名> 从规则列表中删除1条规则
-R或–replace <链名> 替换规则列表中的某条规则
-F或–flush <链名> 删除表中所有规则
-Z或–zero <链名> 将表中数据包计数器和流量计数器归零
3.匹配选项(paraameters参数选项)
匹配 说明
-i或–in-interface <网络接口名> 指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
-o或–out-interface <网络接口名> 指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
-p或—proto协议类型 < 协议类型> 指定数据包匹配的协议,如TCP、UDP和ICMP等
-s或–source <源地址或子网> 指定数据包匹配的源地址
–sport <源端口号> 指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
-d或–destination <目标地址或子网> 指定数据包匹配的目标地址
–dport目标端口号 指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
4.动作选项
动作 说明
ACCEPT 接受数据包
DROP 丢弃数据包
REDIRECT 与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
SNAT 源地址转换,即改变数据包的源地址
DNAT 目标地址转换,即改变数据包的目的地址
MASQUERADE IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNAT
LOG 日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错
Iptables命令格式
Iptables过滤条件
四.iptables的语法
iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理
五.实战演练——指定对端口的开放
1. Iptables查看现在都有那些规则,或者直接访问:vi /etc/sysconfig/iptables
通过上图,我们发现linux主机对所有的链INPUT/FORWARD/OUTPUT是允许访问的。
2.关闭所有的INPUT/FORWARD/OUTPUT只对某些端口开放.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
3.关闭之后发现我的SecureCRT不能登陆到字符界面了,那么现在来开通22端口。
Iptables -A INPUT -p TCP --dport 22 -j ACCEPT
Iptables -A OUTPUT -p TCP --Sport 22 -j ACCEPT
4打开80端口,否则其他人无法访问网站
Iptables -A INPUT -p TCP --dport 80 -j ACCEPT
Iptables -A OUTPUT -p TCP --Sport 80 -j ACCEPT
5.我想ping 一下蓝队网络的域名发现不同,这是因为DNS对应的端口是53以及使用的协议是UDP的。
iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT 开放出源端口53
iptables -A INPUT -p UDP --dport 53 -j ACCEPT 开放进目标端口53
iptables -A INPUT -p UDP --sport 53 -j ACCEPT
6.设置好后记得保存一下。
service iptables save
售前咨询
售后咨询
备案咨询
二维码
TOP