做电影网站犯法,网站开发颜色代码,赣州网上房地产信息网,重庆公司注册流程1 iptables安装
1.1 iptables和iptables-service的关系
iptables 是基于内核的#xff0c;和 iptables-services 没有关系#xff0c;不用安装任何工具包就可以使用 iptable 命令添加的防火墙规则#xff0c;
但是iptables添加的规则是临时的#xff0c;基于内存的… 1 iptables安装
1.1 iptables和iptables-service的关系
iptables 是基于内核的和 iptables-services 没有关系不用安装任何工具包就可以使用 iptable 命令添加的防火墙规则
但是iptables添加的规则是临时的基于内存的在系统重启后会消失所以需要 iptables.service 服务来对添加的规则进行保存
这样在系统重启后重载对应的防火墙规则。
1.2 安装iptables和iptables-service
第一步1、关闭防火墙
[rootlocalhost ~]# systemctl status firewalld
[rootlocalhost ~]# systemctl stop firewalld
[rootlocalhost ~]# systemctl disable firewalld第二步查看 iptables 是否安装安装iptables-services
[rootlocalhost ~]# rpm -qa iptables
iptables-1.4.21-34.el7.x86_64 # 系统默认装有 iptables
[rootlocalhost ~]# yum install iptables # 有新版本会安装最新版本
[rootlocalhost ~]# rpm -qa iptables
iptables-1.4.21-35.el7.x86_64
[rootlocalhost ~]# yum install iptables-services # 安装 iptables-services
[rootlocalhost ~]# rpm -qa iptables-services
iptables-services-1.4.21-35.el7.x86_64第三步启动iptables
[rootlocalhost ~]# systemctl enable iptables.service # 设置 iptables 开机启动
[rootlocalhost ~]# systemctl start iptables # 开启 iptables
[rootlocalhost ~]# systemctl status iptables # 查看 iptables 状态
● iptables.service - IPv4 firewall with iptablesLoaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)Active: active (exited) since Fri 2023-10-06 13:05:53 CST; 2s ago第四步#防火墙相关模块 加载到内核中,写入到开机自启动.
cat /etc/rc.local EOF
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
EOF
sysctl -p
2 什么是iptables
iptables是Linux的防火墙管理工具而已真正实现防火墙功能的是Netfilter我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作
Netfilter模块
它是主要的工作模块位于内核中在网络层的五个位置也就是防火墙四表五链中的五链注册了一些钩子函数用来抓取数据包把数据包的信息拿出来匹配各个各个链位置在对应表中的规则匹配之后进行相应的处理ACCEPT、DROP等等。
2.1 iptables的工作流程
防火墙是层层过滤的实际是按照配置规则的顺序从上到下从前到后进行过滤的。如果匹配成功规则即明确表示是拒绝(DROP)还是接收(ACCEPT)数据包就不再向下匹配新的规则。如果规则中没有明确表明是阻止还是通过的也就是没有匹配规则向下进行匹配直到匹配默认规则得到明确的阻止还是通过。防火墙的默认规则是所有规则都匹配完才会匹配的。
3 具体的四表五链
3.1 四表五链定义
四表filter、nat、managle、raw默认是filter表。表的处理优先级rawmanaglenatfilter 四表 filter 过滤数据包 nat 网络地址转换端口映射、地址映射等。 mangle 用于对特定数据报的修改。 raw 优先级最高设置raw时一般是为了不再让iptables做数据报的链接跟踪处理提高性能。 五链 PREROUTING 数据包进入路由表之前对数据包做路由选择前应用此链路中的规则所有的数据包进来的时候都先由这个链处理 INPUT 通过路由表后目的为本机进来的数据报应用此规则链上的策略 FORWARD 通过路由表后目标地址不为本机做转发数据报时应用此规则链上的策略 OUTPUT 由本机产生的外出的数据包向外转发时应用此规则链中的策略 POSTROUTING 数据报做路由选择后发送后到网卡接口之前应用此链中的规则所有的数据包出来的时候都先由这个链处理
3.2 表与链之间的包含关系 filter INPUT、FORWARD、OUTPUT nat PREROUTING(DNAT)、OUTPUT、POSTROUTING(SNAT) mangle PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING raw PREROUTING、OUTPUT
3.3 数据包在4张表和5条链的流向 4. iptables规则介绍
iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理办法 -t说明不指定的时候默认就是filter表
添加删除替换规则
-A附加一条规则添加在链的尾部
-I CHAIN [num]插入一条规则插入为对应CHAIN上的第num条不指定默认为第一条
-D CHAIN [num]删除指定链中的第num条规则
-R CHAIN [num]替换指定的规则例: iptables -A INPUT -p tcp --dport 22 -j ACCEPT #放行访问本机22端口(ssh)
------------------------------------------------------------------------------------------------------------------------
管理规则链
-F [CHAIN]flush情况指定规则链,如果省略CHAIN则可以实现删除对应表中的所有链
-P CHAIN设定指定链的默认策略
-N自定义一个新的空链
-X删除一个自定义的空链
-Z置零指定链中所有规则的计数器
-E重命名自定义的链例: iptables -t nat -F #清空NAT表中所有链上的规则例: iptables -t nat -F PREROUTING #清空NAT表中PREROUTING链上的规则例: iptables -P INPUT ACCEPT #指定filter表INPUT链默认策略是放行例: iptables -t nat -X #删除NAT表中所有链上的规则-N案例一个抵御洪水攻击的方案1.在filter表中建一个名为tcp_packets的链iptables -N syn-flood2.然后可以在自定义链中添加规则iptables -A syn-flood -m limit --limit 100/s --limit-burst 150 -j RETURNiptables -A syn-flood -j DROP3.然后再把它作为jump的目标这样我们就会从INPUT链跳入syn-flood链#iptables -I INPUT -j syn-flood
------------------------------------------------------------------------------------------------------------------------
查看规则
-L显示指定表中的规则
-n以数字格式显示主机地址和端口号
-v显示链及规则的详细信息
-x显示计数器的精确值
--line-numbers显示规则号码例: iptables -t nat -nL --line-numbers #查看NAT表中所有链上的规则并显示规则序号
------------------------------------------------------------------------------------------------------------------------
通用匹配
-s,--src :指定源地址
-d,--dst :指定目标地址
-p{tcp|udp|icmp} :指定协议
-i interface :指定数据报文流入的接口eth0
可用于定义标准的链PREROUTING,INPUT,FORWARD
-o interface :指定数据报文流出的接口
可用于标准定义的链OUTPUT,POSTROUTING,FORWARD例: iptables -t filter -A INPUT -s 192.168.1.1 -d 192.168.1.2 -p icmp -j DROP #禁止源地址为192.168.1.1 ping 目的地址192.168.1.2
------------------------------------------------------------------------------------------------------------------------
隐含扩展匹配不用特别指明由哪个模块进行的扩展因为此时使用{tcp|udp|icmp}
-p tcp--sport PORT[-PORT]: 源端口--dport PORT[-PORT]: 目标端口--tcp-flags mask comp: 只检查mask指定的标志位是逗号分隔的标志位列表comp此列表中出现的标记位必须为1comp中没出现而mask中出现的必须为0--tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN 第一部分表示我们需要匹配报文tcp头中的哪些标志位这6个标志位分别为为”SYN、ACK、FIN、RST、URG、PSH”。第二部分表示第二部分为SYN则表示第一部分需要匹配的标志位列表中SYN标志位的值必须为1其他标志位必须为0 --syn例: iptables -t filter -A INPUT -s 192.168.1.1 -d 192.168.1.2 -p tcp --dport 22 -j DROP #禁止源地址为192.168.1.1 ping 目的地址192.168.1.2例: iptables -A INPUT -p tcp --dport 18:80 -j DROP #拒绝访问本机端口18到80之间的所有端口
-p icmp ping--icmp-type 0: echo-reply ping应答8: echo-request ping请求 例: iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.239.0/24 -j DROP 例: iptables -A INPUT -p icmp --icmp-type any -s 192.168.239.0/24 -j DROP
-p udp--sport--dport例: iptables -A INPUT -p udp --dport 45 -j DROP #不允许访问本机udp45端口------------------------------------------------------------------------------------------------------------------------ 显示扩展匹配使用额外的匹配机制必须指明由哪个模块进行的扩展在iptables 中使用-m选型可完成此功能-m state状态扩展结合ip_conntrack追踪会话状态NEW新连接请求ESTABLISHED已建立的链接INVALID非法链接RELATED相关联的 (ftp,需要加载模块) 例: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许连接状态为ESTABLISHED,RELATED的连接进入例: iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ##允许连接状态为ESTABLISHED,RELATED的连接出去
-m multiport离散的多端口匹配扩展--source-ports--destination-ports--ports-m multiport --destination-ports 21,22,80 -j ACCEPT 例: iptables -A INPUT -p tcp -m multiport --destination-ports 21,22,80 -j ACCEPT #允许访问本机21,22,80端口
-m iprange 指定范围--src-range--dst-range例: iptables -A INPUT -p tcp -m iprange --src-range 172.16.100.3-172.16.100.100 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-m connlimit 作用用于限制每一个客户端ip的并发连接数--connlimit-above n //超过n个并发连接数! --connlimit-above n //未超过n个并发连接数 iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT #同一IP超过100以上并发时就拒绝连接iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT #同一IP未超过100以上并发时就接受连接(和上面一个意思)-m limit 限制并发及速率--limit rate[/second|/minute|/hour|/day] 指定要隔多长时间才能签发一个新的通行证。--limit-burst number the default is 5 指定刚开始时有多少通行证可用不指定默认为5--limit 5/minute --limit-burst 3 意思是开始时有3个通行证用完之后,1分钟只生成5个令牌即每12秒生成一个这期间没有剩余令牌的时候到来的封包无法匹配此条规则就会继续往下匹配其他规则如果有令牌了则新到的封包就会匹配此条规则 例: iptables -A INPUT -d 192.168.2.102 -p tcp --dport 80 -m limit --limit 5/minute --limit-burst 3 -j ACCEPT -m string --string pattern指定要匹配的字符串。! --string pattern反向匹配。--algo:指定匹配的查询算法有bm和kmp两种算法。 String模块的作用是来匹配请求报文中指定的字符串经常应用于拦截用户访问某些网站的场景将防火墙当做路由器使用例如上班时间不允许用户访问淘宝网站等等场景例: iptables -t filter -I OUTPUT -p tcp -m string --string taobao.com --algo bm -j DROP #拒绝数据包中包含taobao.com内容的数据包。
------------------------------------------------------------------------------------------------------------------------
动作(target)
-j
ACCEPT放行
DROP丢弃
REJECT拒绝
DNAT目标地址转换
SNAT源地址转换
REDIRECT端口重定向
MASQUERADE地址伪装
LOG日志 --log-prefix prefix
MARK打标记-j SNAT --to-source ipaddr[-ipaddr][:port[-port]]例: iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 172.16.100.1 #(共享上网方案)把数据包中源地址是192.168.2.0/24转变为172.16.100.1-j DNAT--to-destination [ipaddr][-ipaddr][:port[-port]]例: iptables -t nat -A PREROUTING -d 172.16.100.7 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.7:8080 #(端口映射)把数据包中目的地址是172.16.100.7:80转变为192.168.100.7:8080 -j MASQUERADE (外网地址动态获取时使用)例: iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE #(共享上网方案)把数据包中源地址是192.168.2.0/24转变为MASQUERADE效果和SNAT一样
------------------------------------------------------------------------------------------------------------------------
-P 设置默认策略
iptables [-t table] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]
-P 选项用来定义默认策略(Policy)。注意这是大写字母 P。ACCEPT 表示接受数据包DROP 表示丢弃数据包。
一般情况下我们会把 filter 表的 INPUT 链的默认策略制订的严格一些比如设为 DROP。而 FORWARD 和 OUTPUT 可以宽松些设为 ACCEPT。比如我们可以通过下面的命令把 filter 表的 INPUT 链的默认策略设置为 DROP例: iptables -P INPUT DROP
5.规则保存与恢复
注意我们通过 iptables 命令设置的规则都保存在内存中也就是说系统重启的话所有的配置都会丢失。
我们可以通过 iptables-save 命令把 iptables 的配置保存到文件中
$ sudo iptables-save /etc/sysconfig/iptables
在需要时再通过 iptables-restore 命令把文件中的配置信息导入
$sudo iptables-restore /etc/sysconfig/iptables
6.生产环境中iptables的设置
#把三个表清空把自建的规则清空。默认规则(iptables -F命令会把所有规则情况但是不会修改默认规则如果默认规则当前是DROP执行iptables -F会导致立马无法连接机器因为所有数据包都被拒绝了)
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t nat -F
iptables -t nat -X
#1.允许本机回环lo接口数据流量流出与流入
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#2.允许ssh连接
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
#3.允许访问本机80,443端口
iptables -A INPUT -m multiport -p tcp --dport 80,443 -j ACCEPT
#4.修改INPUT链默认的规则为拒绝如果要把默认策略设置为DROP的时候一定要先放行远程登录等一系列权限后再设置为DROP否则就会立马断开远程连接也无法再次远程连接)
iptables -P INPUT DROP
#5.内存里规则保存到默认的规则文件里
iptables-save /etc/sysconfig/iptables
7.iptables NAT实现共享上网和端口映射
7.1 NAT实现为内部服务器提供上网功能(共享上网)
iptables -t nat -A POSTROUTING -s 172.16.1.7 -j SNAT --to-source 10.0.0.61
1. 指定nat表,配置POSTROUTING链
2. 源ip是172.16.1.7这台主机进行共享上网,如果是多台(-s 172.16.1.0/24)
3. 指定使用SNAT功能,源地址转换.
4. 通过SNAT功能把数据包中的源ip地址改为防火墙公网的ip地址.(10.0.0.61)
5.如果公网ip不固定, -j SNAT --to-source 10.0.0.61 可以写为 -j MASQUERADE 伪装成公网ip. 环境介绍 172.16.1.7 想要上网的机器有2个网卡eth0为外围,eth1为内网 172.16.1.61 实现NAT功能的防火墙机器eth0为外围,eth1为内网 172.16.1.7 操作步骤 1.把机器上能上网的网卡关闭 sed -i s/ONBOOTyes/ONBOOTno/ /etc/sysconfig/network-scripts/ifcfg-eth0 2.把不能上网的这张网卡配一个网关地址地址为实现NAT的防火墙机器IP vim eth1 GATEWAY172.16.1.61 3.重启network systemctl restart network 172.16.1.61操作步骤 1.由于是要把数据从eth1网卡转发到eth1所以要开启ip_forward功能(内核转发功能) echo net.ipv4.ip_forward 1 /etc/sysctl.conf sysctl -p 2.防火墙转发规则配置 iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE 测试 172.16.1.7 上ping 8.8.8.8看能不能通
7.2 NAT实现外部访问本机端口请求转发到内部其他机器特定的端口(端口映射)
iptables -t nat -A PREROUTING -p tcp --dport 6666 -j DNAT --to-destination 172.16.1.7:80
只要访问本机的6666端口就会把请求转发到 172.16.1.7:80端口
