网站设计的原始资料,湘潭网站建设有名磐石网络,网站被k申述,面包屑 wordpressnetfilter
Linux防火墙是由Netfilter组件提供的#xff0c;Netfilter工作在内核空间#xff0c;集成在linux内核中。
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)#xff0c;而这五个hook function向用户…
netfilter
Linux防火墙是由Netfilter组件提供的Netfilter工作在内核空间集成在linux内核中。
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)而这五个hook function向用户开放用户可以通过一个命令工具iptables向其写入规则。
由信息过滤表table组成包含控制IP包处理的规则集rules规则被分组放在链chain上。 流入本机PREROUTING -- INPUT–用户空间进程 流出本机用户空间进程 --OUTPUT– POSTROUTING 转发PREROUTING -- FORWARD -- POSTROUTING
iptables介绍
-netfilter/iptables关系
netfilter
属于“内核态”又称内核空间kernel space的防火墙功能体系。linux 好多东西都是内核态 用户态那我们运维人员关注的是用户态 内核我们关注不是很多内核基本是我们开发人员关心的事情是内核的一部分由一些信息包过滤表组成这些表包含内核用来控制信息包过滤处理的规则集。
iptables :
属于“用户态”(User Space 又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序它使插入、修改和删除数据包过滤表中的规则变得容易通常位于/sbin/iptables目录下。 netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后立即生效不需要重启服务。
iptables由四个表table和五个链chain以及一些规则组成。
iptables表、链 表 filter过滤规则表根据预定义的规则过滤符合条件的数据包,默认表 natnetwork address translation 地址转换规则表 mangle修改数据标记位规则表 raw关闭启用的连接跟踪机制加快封包穿越防火墙速度
优先级由高到低的顺序为
security --raw--mangle--nat--filter
raw主要用来决定是否对数据包进行状态跟踪 包含两个规则链OUTPUT、PREROUTING
mangle : 修改数据包内容用来做流量整形的给数据包设置标记。包含五个规则链INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat负责网络地址转换用来修改数据包中的源、目标IP地址或端口。包含三个规则链OUTPUT、PREROUTING、POSTROUTING。
filter负责过滤数据包确定是否放行该数据包(过滤)。包含三个链即PREROUTING、POSTROUTING、OUTPUT
链 INPUT: 处理入站数据包匹配目标IP为本机的数据包。 OUTPUT: 处理出站数据包一般不在此链上做配置。 FORWARD: 处理转发数据包匹配流经本机的数据包。 PREROUTING链: 在进行路由选择前处理数据包用来修改目的地址用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 POSTROUTING链: 在进行路由选择后处理数据包用来修改源地址用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。
iptables配置
CentOS7默认使用firewalld防火墙需先关闭firewalld防火墙。
基本语法
iptables [-t 规则表] 管理选项 [规则链] [匹配条件] [-j 处理动作]
iptables -t filter -A INPUT -s 192.168.0.1 -j DROP
iptablestablecommandchainparametertarget-t filter -A -I -F -P -D -R -L -n -v --line-number -N -X -Z -S -E INPUT FORWARD OUTPUT PREROUTING POETROUTING -p -s -d -i -o --sport --dport -j ACCEPT -j DROP -j REJECT -j LOG 管理选项部分 -A 向规则链中添加一条规则末尾追加 -I 在规则链的指定位置插入一条规则未指定序号默认作为第一条 -F 清除链中所有规则 -P 设置规则链的默认策略 -D 从规则链中删除一条规则 -R 替换规则链中的一条规则 -L 列出规则链中的所有规则 -n 所有字段以数字形式显示 -v 显示详细信息 --line-number 查看规则编号 -N 创建一个新的自定义规则链 -X 删除一个自定义规则链 -Z 清空规则链中所有规则的数据包和字节数统计 -S 看链的所有规则或者某个链的规则/某个具体规则后面跟编号 -E 重新命名规则链
#允许来自192.168.1.101的数据包进入INPUT链
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
#删除允许来自192.168.1.101的数据包进入INPUT链的规则
iptables -D INPUT -s 192.168.1.0/24 -j ACCEPT
#在INPUT链的第2条规则之前插入一条允许来自192.168.1.101的数据包进入的规则
iptables -I INPUT 2 -s 192.168.1.0/24 -j ACCEPT
#将INPUT链中的第2条规则替换为拒绝来自192.168.1.101的数据包的规则
iptables -R INPUT 2 -s 192.168.1.0/24 -j DROP
#列出INPUT链中的所有规则
iptables -L INPUT
#清空INPUT链中的所有规则
iptables -F INPUT
#清空INPUT链的数据包和字节数统计
iptables -Z INPUT
#将INPUT链的默认策略设置为DROP即拒绝所有数据包
iptables -P INPUT DROP
#将FORWARD链重命名为NFORWARD
iptables -E FORWARD NFORWARD
#创建一个名为MYCHAIN的新规则链
iptables -N MYCHAIN
#删除名为MYCHAIN的自定义规则链
iptables -X MYCHAIN
匹配条件部分 -p 指定要匹配的 协议类型例如TCP、UDP、ICMP等 -s 指定 源IP地址或地址范围 -d 指定 目标IP地址或地址范围 -i 网络接口 指定 输入网络接口 -o网络接口 指定 输出网络接口 -m 指定 扩展模块用于进一步定义匹配条件 --icmp-type 指定ICMP类型 --sport 指定源端口号或端口范围 -- dport 指定目标端口号或端口范围
iptables -I INPUT -p icmp -j DROP
iptables -A FORWARD ! -p icmp -j ACCEPT //感叹号”!”表示取反
处理动作部分 DROP 直接 丢弃数据包不给出任何回应信息 REJECT 拒绝数据包通过会给数据发送端一个响应信息 ACCEPT 允许数据包通过(默认) SNAT 修改数据包的源地址 DNAT 修改数据包的目的地址 LOG 在/var/log/messages文件中记录日志信息然后将数据包传递给下一条规则 MASQUERADE 伪装成一个非固定公网IP地址
查看规则
iptables -vnL #查看所有规则表的规则
-v 详细信息
-n 数字形式显示
-L 查看规则列表 iptable -vnL -t [规则表] #查看规则表的规则链默认filter表扩展匹配条件隐含扩展
man iptables-extensions
查看扩展帮助
iptables 在使用-p选项指明了特定的协议时无需再用-m选项指明扩展模块的扩展机制不需要手动加载扩展模块
要求以特定的协议匹配作为前提包括端口、TCP标记、ICMP类型等条件。
端口匹配
--sport和--dport 必须配合-p 协议类型使用
--sport 源端口
--dport 目的端口
#可以是个别端口、端口范围只能用于匹配连续的端口以源端口匹配为例
格式含义–sport 1000匹配源端口是1000的数据包–sport 1000:3000匹配源端口是1000-3000的数据包–sport 1000:匹配源端口是1000及以上的数据包–sport :3000匹配源端口是3000及以下的数据包
[rootlocalhost ~]#iptables -A INPUT -p tcp --sport 10000:30000 -j REJECT
#10000到30000 全部被拒
TCP标志匹配 TCP标记匹配: --tcp-flags TCP标记SYN,RST,ACK,SYN
TCP标志功能SYN同步用于建立连接。ACK确认用于确认收到的数据。FIN结束用于关闭连接。RST复位用于重置连接。URG紧急用于指示数据中有紧急数据部分。PSH推送用于强制接收方立即处理数据。
#iptables允许通过来自ens33接口的,具有FIN、RST、ACK和SYN标志的TCP包
#丢弃SYN请求包放行其他包
[rootlocalhost ~]#iptables -I INPUT -i ens33 -p tcp --tcp-flags FIN,RST,ACK SYN -j ACCEPT
ICMP类型匹配
代码含义8“Echo- Request” 表示请求0“Echo- Reply” 表示回复3Dest ination-Unreachable表示目标不可达
[rootlocalhost ~]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP
#禁止其它主机ping本机
[rootlocalhost ~]#iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
#允许本机ping其它主机
[rootlocalhost ~]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
#当本机ping不通其它主机时提示目标不可达
显示扩展模块
显示扩展必须加 -m选项
multiport扩展 多端口
可用于匹配非连续的端口以离散的方式匹配最多支持15个端口。
iptables -A INPUT -s 192.168.2.101 -p tcp -m multiport --dports 22,80,3306 -j REJECT
#拒绝来自源IP地址为192.168.2.101的TCP流量并且目标端口号为22、80和3306
iprange扩展 IP范围
iprange扩展功能模块用于在防火墙规则中匹配特定的IP地址范围。
基本格式
-m iprange --src-range IP范围
iptables -A INPUT -m iprange --src-range 192.168.91.101-192.168.91.103 -j REJECT
#拒绝来自源IP地址范围为192.168.91.101到192.168.91.103的所有流量并且应用于INPUT链也就是进入服务器的流量
iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包
mac扩展 MAC地址一般不用
mac模块用于匹配和处理MAC地址相关的防火墙规则可以限制特定MAC地址的访问或过滤特定MAC地址的流量。只有源MAC
基本格式
-m mac --mac-source XX:XX:XX:XX:XX:XX #根据源MAC地址匹配
string扩展 字符串
string模块用于在数据包的内容中搜索指定的字符串并根据匹配结果执行相应的操作。
基本格式
-m string --string 字符串 --algo bm/kmp
#bm kmp为字符串检测算法
iptables -A INPUT -p tcp --dport 80 -m string --string example --algo bm -j DROP
#对于目标端口为80的TCP流量在数据包的内容中搜索字符串example
#如果匹配成功则使用DROP动作丢弃该数据包
time模块
time模块用于根据时间条件匹配数据包可以限制特定时间段内进出防火墙的数据包。
基本格式
-m time --匹配选项 匹配条件
匹配选项含义- -timestart指定开始时间- -timestop指定结束时间- -datestart指定开始日期- -datestop指定结束日期- -daysMon-Fri
iptables -A INPUT -m time --timestart 08:00 --timestop 17:00 --datestart 2024-05-10 --datestop 2024-05-21 --days Mon-Fri -j ACCEPT
#在2024年5月10日至2024年5月21日期间的每个工作日的08:00至17:00之间接受(ACCEPT)输入的数据
#如果不在指定的日期和时间范围内或不是工作日则不匹配该规则
connlimit扩展 连接数量
connlimit扩展模块用于限制连接数量根据活动连接数量的条件来控制数据包的流动。
基本格式
-m connlimit --connlimit-匹配选项 匹配条件
匹配选项功能above n指定连接数量超过n个时触发匹配upto n指定连接数量小于n个时触发匹配equal n指定连接数量等于n个时触发匹配mask指定连接数量的掩码来匹配连接数量
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT
#对于TCP协议、目标端口为80的数据包如果活动连接的数量超过10个则拒绝该连接
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 --connlimit-mask 16 -j REJECT
#对于TCP协议、目标端口为22SSH的数据包
#如果同一子网的连接数量超过5个拒绝连接
state 连接状态重要
基本格式--state state 连接状态
常见连接状态含义NEW与任何连接无关的还没开始连接ESTABLISHED响应请求或者已建立连接的连接态RELATED与已有连接有相关性的(如FTP主被动模式的数据连接)衍生态一般与ESTABLISHED 配合使用INVALID不能被识别属于哪个连接或没有任何状态UNTRACKED未进行追踪的连接如raw表中关闭追踪
iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
#对于输入的数据包如果连接状态是NEW新建连接或ESTABLISHED已建立连接允许该数据包通过
