Linux CentOS 8(iptables的配置与管理)

Linux CentOS 8(iptables的配置与管理)


目录

    • [一、iptables 简介](#一、iptables 简介)
    • 二、基本命令说明
      • [1. 设置基本的规则匹配](#1. 设置基本的规则匹配)
        • [1.1 输入顺序](#1.1 输入顺序)
        • [1.2 参数选择](#1.2 参数选择)
      • [2. 设置扩展的规则匹配](#2. 设置扩展的规则匹配)
        • [2.1 多端口匹配](#2.1 多端口匹配)
        • [2.2 指定 TCP 匹配](#2.2 指定 TCP 匹配)
        • [2.3 速率匹配](#2.3 速率匹配)
        • [2.4 基于状态的扩展匹配](#2.4 基于状态的扩展匹配)
    • 三、实验步骤

一、iptables 简介

iptables 其实不是真正的防火墙,它只是一个命令行工具,位于用户空间,可以把它理解成一个客户端代理。用户通过 iptables 这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,名字叫netfilter,位于内核空间,以实现网络数据包的过滤管理(查看、记录、修改、丢弃、拒绝)。普遍应用于Rhel6、CentOS6及之前。

netfilter / iptables 组成Linux平台下的包过滤防火墙。在多数Linux版本内,firewalld、iptables、ebtables是共存的,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。

二、基本命令说明

1. 设置基本的规则匹配

1.1 输入顺序
c 复制代码
[root@localhost ~]# iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> 
-p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

//规则的次序非常关键,谁的规则越严格,应该放的越靠前

表名(如果不指定此选项,默认是 filter 表)包括(区分大小写):

  • raw:高级功能,如:网址过滤。
  • mangle:数据包修改(QOS),用于实现服务质量。
  • nat:地址转换,用于网关路由器。
  • filter:包过滤,用于防火墙规则。
  • filter一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT
  • nat一般只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
  • mangle则5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

规则链包括(区分大小写):

• INPUT链:处理输入数据包。

• OUTPUT链:处理输出数据包。

• FORWARD链:处理转发数据包。

• PREROUTING链:用于目标地址转换(DNAT)。

• POSTOUTING链:用于源地址转换(SNAT)。

1.2 参数选择

1.2.1 规则管理命令,如表1-1所示:
表1-1 规则管理参数及作用

选项 说明
-A 在指定链的末尾插入指新规则
-I 在链的指定位置插入一条或多条规则,如果指定的规则号是1,则在链的头部插入。默认是1。
-D 在指定链中删除一个或多个指定规则。
-R 替换/修改第几条规则

1.2.2 源地址目标地址的匹配,如表1-2所示:
表1-2 地址匹配参数及作用

选项 说明
-p 匹配的数据包协议类型,如tcp,udp,icmp,all。也能在协议前加上"!"。
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。当后面没有 mask 时,address 是一个地址。iptables仅支持ipv4。
-d 地址格式同上,匹配目标地址。
-i 匹配从这块网卡流入的数据,比如最常见的 eth0 。
-o 匹配从这块网卡流出的数据

1.2.3 链管理命令,如表1-3所示:
表1-3 链管理参数及作用

选项 说明
-P 为指定的链设置默认策略
-F 清空指定链上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
-X 清除表中使用者自定的空链中的规则
-Z 把指定链,或者表中的所有链上的所有计数器清零。
-N 用指定的名字创建一个新的链
-j 满足某条件时该执行什么样的动作
--dport num 匹配目标端口号
--sport num 匹配来源端口号

默认策略一般只有两种:

c 复制代码
[root@localhost ~]# iptables -P INPUT ( DROP | ACCEPT ) 
//默认是关的/开的
[root@localhost ~]# iptables -P INPUT DROP 
//拒绝默认规则。且并且没有定义什么动作,所以关于外界连接的所有规则,包括远程连接都被拒绝了。

动作包括:

• ACCEPT:接收数据包。

• DROP:丢弃数据包。

• REJRCT: 拒绝通过,必要时会给出提示

• SNAT:源地址转换。

• DNAT:目标地址转换。

• LOG:记录日志,然后传给下一条规则

1.2.4 查看管理命令,如表1-4所示:
表1-4 查看管理参数及作用

选项 说明
-L 列出链上面的所有规则。如果没有指定链,默认只列出表filter上所有链的所有规则。
-n 以数字形式显示地址、端口等信息
--line-numbers 查看规则时,显示规则的行号。

注:如果没有找到匹配条件,则执行防火墙默认规则

2. 设置扩展的规则匹配

2.1 多端口匹配

匹配多个源端口:

c 复制代码
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --sport 22,23,53,80 -j ACCEPT

匹配多个目的端口:

c 复制代码
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 22,23,53,80 -j ACCEPT

匹配多端口(无论是源端口还是目的端口):

c 复制代码
[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --port 22,23,53,80 -j ACCEPT

匹配连续端口

c 复制代码
[root@localhost ~]# iptables -A INPUT -p tcp --sport 20:80 -j ACCEPT
2.2 指定 TCP 匹配

使用 --tcp-flags 选项可以根据tcp包的标志位进行过滤

c 复制代码
[root@localhost ~]# iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN -j ACCEPT
//表示SYN、ACK、FIN的标志都检查,但是只有SYN匹配。
2.3 速率匹配

指定单位时间内允许通过的数据包个数,单位时间可以是/second、/minute、/hour、/day

c 复制代码
[root@localhost ~]# iptables -A INPUT -m limit --limit 300/hour -j ACCEPT

指定触发事件的阀值

c 复制代码
[root@localhost ~]# iptables -A INPUT -m limit --limit-burst 10 -j ACCEPT
# 一次同时涌入的封包超过10个将直接丢弃
2.4 基于状态的扩展匹配
  • NEW: 该包想要开始一个新的连接(重新连接或连接重定向)。
  • RELATED: 该包是属于某个已经建立的连接所建立的新连接。
  • ESTABLISHED:该包属于某个已经建立的连接。
  • INVALID: 该包不匹配于任何连接,通常这些包被DROP。

在INPUT链添加一条规则,匹配已经建立的连接或由已经建立的连接所建立的新连接。

c 复制代码
[root@localhost ~]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

在INPUT链链添加一条规则,匹配所有从非eth0接口来的连接请求包。

c 复制代码
[root@localhost ~]# iptables -A INPUT -m state --state NEW -i !eth0 -j ACCEPT

三、实验步骤

1、安装iptables服务

c 复制代码
[root@localhost ~]# yum install -y iptables-services

2、关闭firewalld服务

c 复制代码
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld

3、启动iptables服务

c 复制代码
[root@localhost ~]# systemctl start iptables

4、备份iptables文件

c 复制代码
[root@localhost ~]# cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak

5、设置 INPUT 方向拒绝所有的请求

c 复制代码
[root@localhost ~]# iptables -P INPUT DROP

6、开放所需端口

c 复制代码
[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

7、保存规则

c 复制代码
[root@localhost ~]# iptables-save > /etc/sysconfig/iptables
#如果不保存,重启服务器还是会恢复原来没有设置的状态。

8、设置为开机自启并重启服务

c 复制代码
[root@localhost ~]# service iptables enabled
[root@localhost ~]# service iptables restart

制作成员: 何嘉愉
排版: 裕新
初审: 杨佳佳
复审: 二月二

相关推荐
jerry-892 分钟前
通过配置核查,CentOS操作系统当前无多余的、过期的账户;但CentOS操作系统存在共享账户r***t
linux
小歆88422 分钟前
100%全国产化时钟服务器、全国产化校时服务器、全国产化授时服务器
运维·服务器
涛ing1 小时前
21. C语言 `typedef`:类型重命名
linux·c语言·开发语言·c++·vscode·算法·visual studio
翻滚吧键盘1 小时前
debian中apt的配置与解析
运维·debian
0xfather1 小时前
在Debian系统中安装Debian(Linux版PE装机)
linux·服务器·debian
workingman_li1 小时前
centos虚拟机异常关闭,导致数据出现问题
linux·运维·centos
Fireworkitte2 小时前
linux环境变量配置文件区别 /etc/profile和~/.bash_profile
linux
Jackson~Y2 小时前
Linux(LAMP)
linux·运维·服务器
不知 不知2 小时前
最新-CentOS 7安装1 Panel Linux 服务器运维管理面板
linux·运维·服务器·centos
晚秋贰拾伍4 小时前
设计模式的艺术-职责链模式
运维·设计模式·运维开发·责任链模式·开闭原则·单一职责原则