Linux系统安全之iptables防火墙
目录
一.iptables防火墙基本介绍
二.iptables的四表五链
三.iptables的配置
1.iptables的安装
2.iptables防火墙的配置方法
四.添加、查看、删除规则
1.查看(fliter)表中的所有链 iptables -L
2.使用数字形式(fliter)表所有链 查看输出结果 iptables -nL
3.清空表中所有链 iptables -F
4.添加第一条规则可以用i可以用A来添加
4.1 不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmp
4.2 不允许其他主机ping本机,不给响应信息 DROP, ping所使用的协议为icmp
5.插入规则
6.删除规则
6.1 按照行号删除
6.2 按照内容删除
7.设置默认规则
8.修改规则
五. 规则匹配
1.通用匹配
2.隐含匹配
2.1 端口匹配
2.2 ICMP类型匹配
3.显式匹配
3.1 多端口匹配
3.2 IP范围匹配
3.3 MAC地址匹配
3.4 状态匹配
一.iptables防火墙基本介绍
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter和 iptables 组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
1.netfilter/iptables关系
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”(内核空间)
- 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables
- 位于/sbin/iptables
- 用来管理防火墙规则的工具称为Linux防火墙的“用户态”
- 它使插入、修改和删除数据包过滤表中的规则变得容易
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。
表中所有规则配置后,立即生效,不需要重启服务。
2.iptables防火墙默认规则表、链结构
iptables由五个表table和五个链chain以及一些规则组成:
数据包到达防火墙时,规则表之间的优先顺序: raw > mangle > nat > filter
二.iptables的四表五链
1.四表
raw表∶ 确定是否对该数据包进行状态跟踪
mangle表∶为数据包设置标记
nat表∶ 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口
filter表;负责过滤数据包, 确定是否放行该数据包(过滤)
2.五链
INPUT∶ 处理入站数据包,匹配目标IP为本机的数据包。
OUTPUT∶处理出站数据包,一般不在此锌上,做配置。
FORWARD∶ 处理转发数据包,匹配流经本机的数据包。
PREROUTING链∶ 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的工P和端口映射到路由器的外网IP和端口上。
POSTROUTING链∶ 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网工P地址上网。
3.四表五链总结
规则表的作用∶容纳各种规则链
规则链的作用∶容纳各种防火墙规则
表里有链,链里有规则
3.1 规则链之间的匹配顺序
- 入站数据(来自外界的数据包,且目标地址是防火墙本机)∶ PREROUTING --> INPUT --> 本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包)∶ 本机的应用程序 --> OUTPUT --> POSTROUTING网络型防火墙∶
- 转发数据(需要经过防火墙转发的数据包)∶ PREROUTING --> FORWARD --> POSTROUTING
3.2 规则链内的匹配顺序
- 自上向下按顺序依次进行检查,找到相匹配的规则即停 止 (LoG策略例外, 表示记录相关日志)
- 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
三.iptables的配置
1.iptables的安装
Centos 7默认使用firewalld防火墙,没有安装iptables, 若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables。
systemctl stop firewalld. service 关闭firewalld防火墙
systemctl disable firewalld. service 取消firewalld防火墙开机自启动
yum -y install iptables iptables-services 安装iptables和iptables-services
systemctl start iptables.service 启动iptables-services
2.iptables防火墙的配置方法
2.1 使用图形化来管理system-config-firewall(centos 6)
2.2 使用iptables命令行管理
命令格式:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
注意事项:
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
常用控制类型:
控制类型 | 作用 |
ACCEPT | 允许数据包通过(默认) |
DROP | 直接丢弃数据包,不给出任何回应信息 |
REJECT | 拒绝数据包通过,会给数据发送端一个响应信息 |
SNAT | 修改数据包的源地址 |
DNAT | 修改数据包的目的地址 |
MASQUERADE | 伪装成一个非固定公网IP地址 |
LOG | 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包 |
常用管理选项:
管理选项 | 作用 |
-A | 在指定链的末尾追加(--append)一条新的规则 |
-I | 在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则 |
-R | 修改、替换(--replace) 指定链中的某一条规则,可指定规则序号或具体内容 |
-P | 设置指定链的默认策略(--policy) |
-D | 删除(--delete) 指定链中的某一条规则,可指定规则序号或具体内容 |
-F | 清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链 |
-L | 列出(--list) 指定链中所有的规则,若未指定链名,则列出表中的所有链 |
-n | 使用数字形式(--numeric) 显示输出结果,如显示IP地址而不是主机名 |
-v | 显示详细信息,包括每条规则的匹配包数量和匹配字节数 |
--line-numbers | 查看规则时,显示规则的序号 |
四.添加、查看、删除规则
1.查看(fliter)表中的所有链 iptables -L
iptables -L
#不指定表名默认查看filter表
2.使用数字形式(fliter)表所有链 查看输出结果 iptables -nL
iptables -L -n
#分开写 L与n不分前后顺序
或
iptables -nL
#合起来 n必须在L前
3.清空表中所有链 iptables -t filter -F
iptables -F
#没有指定表名 默认删除filter表;没有指定链 默认清空所有链
4.添加第一条规则可以用i可以用A来添加
4.1 不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmp
iptables -t filter -A INPUT -p icmp -j REJECT
#不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmpiptables -nL
#使用数字形式(fliter)表所有链
换另一台虚拟机ping本机验证:
4.2 不允许其他主机ping本机,不给响应信息 DROP, ping所使用的协议为icmp
iptables -F
#清空所有链iptables -nL
#验证查看iptables -t filter -A INPUT -p icmp -j DROP
#不允许其他主机ping本机,不给响应信息DROP,ping所使用的协议为icmp
5.插入规则
在指定链的末尾追加一条新的规则 -A;在指定链的开头插入一条新的规则,未指定序号时默认作为第一条规则 -I
iptables -t filter -A INPUT -p icmp -j DROP
#不允许其他主机ping本机,不给响应信息DROP,ping所使用的协议为icmpiptables -nL --line-numbers
#查看规则序号iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT
#在filter表中添加一条放通tcp22号端口的规则 并在第二个规则前添加此新规则
6.删除规则
6.1 按照行号删除
iptables -D INPUT 2
#删除第二行规则
6.2 按照内容删除
按照内容删除规则时,相同内容会删除最小行号
iptables -D INPUT -p icmp -j DROP
#将含有icmp协议使用DROP类型的规则删除
7.设置默认规则
iptables -P INPUT DROP
#默认规则设置为DROP
设置了-P DROP后,使用-F仅仅是清空链中的规则 并不会影响设置的默认规则
如果使用-F,那么所有的规则清除后,则使用默认策略DROP,将会使远程连接断连。
使用重启服务器解决 systemctl restart iptables 或者重启服务器。
8.修改规则
iptables -R INPUT 1 -p icmp -j DROP
#将第一条规则改为DROP规则
五. 规则匹配
规则的匹配包括 通用匹配 和 隐含匹配
1.通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
- 协议匹配:-p 协议名
- 地址匹配:-s 源地址、-d 目的地址 可以是IP、网段、域名、空(任何地址)
- 接口匹配:-i 入站网卡、-o出站网卡
iptables -A INPUT -s 192.168.79.220 -j DROP
#不允许192.168.79.220 ping通本机
2.隐含匹配
要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类 型等条件。
端口匹配∶ --sport 源端口、--dport 目的端口
2.1 端口匹配: --sport 源端口、--dport 目的端口,可以是个别端口、端口范围
- --sport 1000 匹配源端口是1000的数据包
- --sport 1000:3000 匹配源端口是1000-3000的数据包
- --sport :3000 匹配源端口是3000及以下的数据包
- --sport 1000: 匹配源端口是1000及以上的数据包
- --sport和--dport 必须配合 -p <协议类型> 使用
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
#指定tcp协议目标端口20:21同意访问iptables-I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP
#不转发 目标网段是 192.168.80段 tcp协议的24500到24600iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -jACCEPT
#丢弃SYN请求包,放行其他包
2.2 ICMP类型匹配
格式:--icmp-type ICMP类型,可以是字符串、数字代码
- "Echo-Request”(代码为8)表示请求
- "Echo- -Reply”(代码为0)表示回显
- "Dest ination-Unreachable" (代码为3)表示目标不可达
- 关于其它可用的ICMP 协议类型,可以执行“iptables -P icmp -h”命令,查看帮助信息
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
#禁止其它主机ping本机iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
#允许本机ping其它主机iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
#当本机ping不通其它主机时 提示目标不可达
3.显式匹配
要求以“-m扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件
3.1 多端口匹配
- -m multiport --sport 源端口列表
- -m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -i ACCEPT
#允许访问tcp的80,22,21,20,53端口iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
#允许访问udp的53端口
3.2 IP范围匹配
iptables -A FORWARD -p udp -m iprange --src-range 192.168.52.100-192.168.52.200 -j DROP
# 禁止转发源地址位于192.168.52.100——192.168.52.200的udp数据包
3.3 MAC地址匹配
格式:-m mac --mac -source MAC地址
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
禁止来自某MAC地址的数据包通过本机转发
3.4 状态匹配
格式:-m state --state 连接状态
常见连接状态:
- NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包
- ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
- RELATED:主机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED 配合使用
- INVALID ∶ 无效的封包,例如数据破损的封包状态
iptables -I INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -P udp -m multiport --dport 53 -j ACCEPT
iptables -A INPUT -P tcp -m state --state ESTABLISHED, RELATED -j ACCEPT
#对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过简j单来说就是只允许所有自己发出去的包进来
相关文章:
Linux系统安全之iptables防火墙
目录 一.iptables防火墙基本介绍 二.iptables的四表五链 三.iptables的配置 1.iptables的安装 2.iptables防火墙的配置方法 四.添加、查看、删除规则 1.查看(fliter)表中的所有链 iptables -L 2.使用数字形式(fliter)表所有链 查看输出结果 iptables -nL 3.清空表中所…...
【C#基础】C# 变量与常量的使用
序号系列文章1【C#基础】C# 程序通用结构2【C#基础】C# 基础语法解析3【C#基础】C# 数据类型总结文章目录前言一. 变量(variable)1,变量定义及初始化2,变量的类别3,接收输出变量二. 常量(constantÿ…...
[ 常用工具篇 ] CobaltStrike(CS神器)基础(一) -- 安装及设置监听器详解
🍬 博主介绍 👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 养成习…...
Redis集群
Redis集群 本章是基于CentOS7下的Redis集群教程,包括: 单机安装RedisRedis主从Redis分片集群 1.单机安装Redis 首先需要安装Redis所需要的依赖: yum install -y gcc tcl然后将课前资料提供的Redis安装包上传到虚拟机的任意目录ÿ…...
00---C++入门
1. C关键字(C98) C总计63个关键字,C语言32个关键字 2. 命名空间 在C/C中,变量、函数和后面要学到的类都是大量存在的,这些变量、函数和类的名称将都存在于全局作用域中,可能会导致很多冲突。使用命名空间的目的是对标识符的名称进…...
Spring-事务2
文章目录前言一、事务的特性(ACID)二、事务的隔离级别三、spring中的事务平台事务管理器.事务定义ISOLation_XXX:**事务隔离级别.**PROPAGATION_XXX:**事务的传播行为**.事务状态关系:四、使用XML文件配置事务1、 搭建…...
Windows Git Bash 配置
Windows Git Bash 配置 本文参考的文章: 在 Windows 的 Git Bash 中使用包管理器 - iris (ginshio.org)Git bash 安装 pacman & Windows 解压 zst 文件 | 伪斜杠青年 (lckiss.com) 一、Git的安装 Git 的安装应该是都会的,但还是应该说以下&#…...
java代码整合kettle9.3实现读取表中的数据,生成excel文件
java代码整合kettle9.3实现读取表中的数据,生成excel文件 1.简介 本次使用java代码整合kettle9.3版本,数据库使用mysql。 2.jar包导入 项目需要依赖部分kettle中的jar包,请将这部分jar包自行导入maven仓库。 <dependency><groupId…...
分享微信点餐小程序搭建步骤_微信点餐功能怎么做
线下餐饮实体店都开始摸索发展网上订餐服务。最多人选择的是入驻外卖平台,但抽成高,推广还要另买流量等问题,也让不少商家入不敷出。在这种情况下,建立自己的微信订餐小程序,做自己的私域流量是另一种捷径。那么&#…...
4、数组、切片、map、channel
目录一、数组二、切片三、map四、channel五、引用类型一、数组 数组: 数组是块连续的内存空间,在声明的时候必须指定长度,且长度不能改变所以数组在声明的时候就可以把内存空间分配好,并赋上默认值,即完成了初始化数组…...
270 uuid
270 uuid 用途 For the creation of RFC4122 UUIDs 可靠性 10000 星星 适应于浏览器或者服务器 官网链接 https://www.npmjs.com/package/uuid https://github.com/uuidjs/uuid 基本使用 import { v4 as uuidv4 } from uuid; uuidv4(); // ⇨ 9b1deb4d-3b7d-4bad-9bdd-2b0d7b3d…...
2023最新简历模板免费下载
下面分享5个简历模板网站,免费下载,建议收藏! 2023用最漂亮的简历模板,让面试官眼前一亮。 1、菜鸟图库 个人简历模板|WORD文档模板免费下载 - 菜鸟图库 菜鸟图库除了有超多设计类素材之外,还有很多办公类素材&#…...
【CSS】元素居中总结-水平居中、垂直居中、水平垂直居中
【CSS】元素居中一、 水平居中1.行内元素水平居中(1)text-align2.块级元素水平居中2.1 margin(1)margin2.2布局(1)flex justify-content(推荐)(2) flexmargin…...
spring实现AOP
文章目录前言一、AOP的底层实现原理二、AOP的两种开发模式1.使用xml配置文件1.1 添加AOP依赖1.2 创建UserService1.3创建UserServiceImpl1.4创建通知类1.5 创建applicationContext.xml(添加aop约束)1.6 测试2.使用注解开发2.1 创建bean.xml文件配置注解方…...
neovim搭建cpp环境
文章目录Windowns下NeoVim搭建cpp环境NeoVim安装插件vim-plugindentLinevim-airlinectagstagbarcoc.vimWindowns下NeoVim搭建cpp环境 在开发过程中习惯在DIE环境中使用vim作为编辑器,在单独的编辑器也常使用gvim图形化编辑器。最近看到NeoVim的特性及兼容性方面不输…...
SpringBoot AES加密 PKCS7Padding 模式
AES 简介:DES 全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的块算法,1977年被美国联邦政府的国家标准局确定为联邦资料处理标准(FIPS) AES 密码学中的高级加密标准(Advan…...
按键输入驱动
目录 一、硬件原理 二、添加设备树 1、创建pinctrl 2、创建节点 3、检查 编译复制 三、修改工程模板编辑 四、驱动编写 1、添加keyio函数 2、添加调用 3、驱动出口函数添加释放 4、添加原子操作 5、添加两个宏定义 6、初始化原始变量 7、打开操作 8、读操作 总体代…...
2023年第七周总周结 | 开学倒数第三周
为什么要做周总结? 1.避免跳相似的坑 2.客观了解上周学习进度并反思,制定可完成的下周规划 一、上周问题解决情况 晚上熬夜导致第二天学习状态不好 这周熬夜一天,晚上帮亲戚修手机到22:30,可能是晚上自己的事什么都没做ÿ…...
Springboot扫描注解类
Springboot扫描注解类的入口在AbstractApplicationContext的refresh中,对启动步骤不太了解的,可参考https://blog.csdn.net/leadseczgw01/article/details/128930925BeanDefinitionRegistryPostProcessor接口有多个实现类,扫描Controller、Se…...
Apache日志分析器
您的Apache HTTP服务器生成的日志数据是信息的宝库。使用这些信息,您可以判断您服务器的使用情况、找出漏洞所在,并设法改进服务器结构和整体性能。审核您的Apache日志可在以下情况派上用场,其中包括:识别和纠正频繁出现的错误以增…...
啪,还敢抛出异常
🙉 作者简介: 全栈领域新星创作者 ;天天被业务折腾得死去活来的同时依然保有对各项技术热忱的追求,把分享变成一种习惯,再小的帆也能远航。 🏡 个人主页:xiezhr的个人主页 前言 去年又重新刷了…...
Apache JMeter 5.5 下载安装以及设置中文教程
Apache JMeter 5.5 下载安装以及设置中文教程JMeter下载Apache JMeter 5.5配置环境变量查看配置JDK配置JMeter环境变量运行JMeter配置中文版一次性永久设置正文JMeter 下载Apache JMeter 5.5 官方网站:Apache JMeter 官网 版本介绍: 版本中一个是Bina…...
string类模拟实现
了解过string常用接口后,接下来的任务就是模拟实现string类。 目录 VS下的string结构 默认成员函数和简单接口 string结构 c_str()、size()、capacity()、clear()、swap() 构造函数 拷贝构造函数 赋值重载 析构函数 访问及遍历 容量操作 reserve resize …...
cadence SPB17.4 S032 - allegro - 保存/载入光绘层定义
文章目录cadence SPB17.4 S032 - allegro - 保存/载入光绘层定义概述保存光绘层在新板子中载入已经保存的相同类型老板子定义好的光绘层定义文件碎碎念ENDcadence SPB17.4 S032 - allegro - 保存/载入光绘层定义 概述 以前布线完成, 准备出板厂文件时, 总是要手工重新建立光绘…...
微服务实战--高级篇:分布式缓存 Redis
分布式缓存 – 基于Redis集群解决单机Redis存在的问题 单机的Redis存在四大问题: 1.Redis持久化 Redis有两种持久化方案: RDB持久化AOF持久化 1.1.RDB持久化 RDB全称Redis Database Backup file(Redis数据备份文件)…...
【C语言】可变参数列表
本篇博客让我们来认识一下C语言学习过程中往往被忽略的可变参数列表 所谓可变参数,就是一个不限定参数数量的函数,我们可以往里面传入任意个数的参数,以达成某些目的。 关联:C11可变模板参数;本文首发于 慕雪的寒舍 …...
目标检测的旋框框文献学习
这是最近打算看完的文献,一天一篇 接下来将记录一下文献阅读笔记,避免过两天就忘了 RRPN 论文题目:Arbitrary-Oriented Scene Text Detection via Rotation Proposals 论文题目:通过旋转方案进行任意方向的场景文本检测&#x…...
Hive 在工作中的调优总结
总结了一下在以往工作中,对于Hive SQL调优的一些实际应用,是日常积累的一些优化技巧,如有出入,欢迎在评论区留言探讨~ EXPLAIN 查看执行计划 建表优化 分区 分区表基本操作,partitioned二级分区动态分区 分桶 分…...
每天一道大厂SQL题【Day09】充值日志SQL实战
每天一道大厂SQL题【Day09】充值日志SQL实战 大家好,我是Maynor。相信大家和我一样,都有一个大厂梦,作为一名资深大数据选手,深知SQL重要性,接下来我准备用100天时间,基于大数据岗面试中的经典SQL题&#…...
MATLAB 遗传算法
✅作者简介:人工智能专业本科在读,喜欢计算机与编程,写博客记录自己的学习历程。 🍎个人主页:小嗷犬的个人主页 🍊个人网站:小嗷犬的技术小站 🥭个人信条:为天地立心&…...
西宁微信网站建设需要多少钱/张家界百度seo
现在装系统都用U盘,光盘时代已经结束,而且现在都是用U盘启动盘制作工具来装系统,但我们在网上下载启动工具的时候会发现它又分为装机版和uefi版两种版本,它们有什么区别呢?其实就是电脑主板的更新,启动模式…...
聚化网网站/厦门百度关键词优化
DLL动态链接库编程【4】MFC 规则DLL创建,使用 1、MFC Dll创建生成,打开vs2017-----》文件----》新建----》项目: 2、在MFCDll中资源文件中添加一个对话框,如下图,3、MFCDll.cpp中编写函数。 void ShowDllDialog() {A…...
怎么买网站域名/网络营销渠道有哪几种
算法描述 K-means算法是一种被广泛使用的基于划分的聚类算法,目的是将n个对象会分成k个簇。算法的具体描述如下: 随机选取k个对象作为簇中心;Do计算所有对象到这k个簇中心的距离,将距离最近的归入相应的簇;重新计算每个…...
青岛网站建设公司哪家好/郑州网站关键词推广
打开图形窗口:dev_open_window 彩色数量:dev_set_colored 画:dev_set_draw 线宽:dev_set_line_width 默认为1 形状:dev_set_shape...
怎么做动态网站asp/网络运营推广合作
uniform 表示一次渲染过程中保存不变的,GPU的工作模式是多管道的,相当于一个像素点对应着一个管道, 当然并不是说有这么多管道,只是表示他是一一对应并且一起处理;那么把整个屏幕处理时uniform 是持不变的att…...
平面设计师灵感网站/泰安网站建设
以windows平台为例。用pyinstaller打包你的策略成exe程序文件不需要在运行机器中重复安装各种依赖包,同时也避免策略的源码管理问题安装pyinstaller包在开发环境中,首先要安装pyinstaller包, gmsdkpip install pyinstaller# win32API,需要pip…...