iptables防火墙

松果1772026-03-14 8:24

1、匹配优先级

表优先级:raw表 > mangle表 > nat表 > filter表

链优先级:数据包进入主机网络接口后,首先会经过 ‌PREROUTING‌ 链,在此链中可以对数据包的目的 IP 地址或端口进行修改(如DNAT)。

然后内核根据数据包目的IP地址查询路由表判断该数据包是发往本机、还是需要转发,如果目的IP地址是本机(host),那么数据包途经INPUT链流向host然后途经OUTPUT链后从POSTROUTING链出站;否则使用路由转发,途径FORWARD链后从POSTROUTING链出站。

规则优先级:在链中,规则的匹配优先级是从上到下,先匹配规则链的第一条规则,接着第二条,如果都不匹配,根据规则链的默认策略处理。

2、规则命令格式

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
-t 表名

这个表名就是规则表的名字,因为规则是在链中,然后链在表中,所以操作先指定表的名字,然后不指定表名的时候则默认为filter表。
管理选项

对链中的防火墙策略进行管理,常用选项如下

-A:在链尾追加一条新的规则

-I:在指定位置(或链首)插入一条新的规则

-R:修改、替换指定位置或内容的规则

-P:设置指定链的默认策略

-D:删除指定位置或内容的规则

-F:清除表中的所有规则

-L:列表查看各条规则信息

-N:创建一条新的规则链(自定义链)

-X:删除自定义的规则链

--line-numbers:查看规则使显示规则的行号

-n:以数字形式显示IP地址、端口等信息

-v:显示已捕获的数据包个数、字节数等详细信息
链名

指定该表中哪条链进行修改,当不指定链名的时候,默认表示该表内所有链
条件匹配

与管理选项相结合,通常是添加/删除/修改的规则(后面有实例)。除非设置规则链的默认策略,否则需要指定匹配条件。常用条件匹配参数如下

-p 协议名:这个指定计算机网络中协议名,可以指定的协议名在/etc/protocols文件中查看,常用的协议包括tcp、udp、icmp等。通过使用--dport指定目的端口,--sdport指定源端口。

-s 源地址/-d 目的地址:地址可以是单个IP地址,也可以是网络地址(带掩码长度)

-i 网卡/-o 网卡:-i对应接受数据包的网络接口,-o对应发送数据包的网络接口

--tcp-flags 检查范围 被设置的标记:--tcp-flags SYN,RST,ACK 表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件

--icmp-type ICMP类型:进行icmp类型匹配,ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Req、Echo-Reply

MAC地址匹配:使用-m mac 结合 --mac-source MAC地址的形式

多端口匹配:使用-m multiport结合--sports源端口列表或--dports目标端口列表的形式

IP地址范围匹配:使用"-m iprange"结合"--src-range 源IP范围"或者"--dst-range目标IP范围"的形式,以"-"符号连接起始IP地址、结束IP地址
-j 目标动作或跳转

当链表中的规则匹配时,防火墙对数据包处理的方式。有四种方式。

DROP:直接删除数据包,不进行任何结果的返回。

REJECT:删除数据包,但是会有返回消息(委婉的DROP)

ACCEPT:接受数据包

LOG:记录数据包,将其信息写入系统日志中,方便分析和管理(记录在/var/log/messages)
示例

bash 复制代码 
# 清空所有链规则
iptables -F
# 设置链的默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# 通过变量定义一个ip
#BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -s "SBLOCK_THIS_IP" -j DROP
# 允许所有的SSH
#iptables -A INPUT-i eth0-p tcp --dport 22 -m state --state NEW,ESTABLISHED -j
ACCEPT
iptables -A OUTPUT-o ethO-p tcp --sport 22-m state --state ESTABLISHED-jACCEPT
# 允许一个网段访问SSH
iptables -A INPUT -i eth0 -p tcp -s X.Y.Z.0/24 --dport 22 -m state -state
NEW,ESTABLISHED -j ACCEPT
iptables-A OUTPUT-o eth0 -p tcp --sport 22-m state --state ESTABLISHED-j ACCEPT
# 允许HTTP
iptables -A INPUT-1 ethO -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables-A OUTPUT-o eth0-p tcp --sport 80-m state --state ESTABLISHED -jACCEPT
# 允许 HTTPS
iptables -A INPUT -i ethO-p tcp--dport 443-m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT-o eth0-p tcp--sport 443 -m state --state ESTABLISHED-jACCEPT
# 7. 多端口 (允许 SSH, HTTP, and HTTPS)
iptables -A INPUT-i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state
ESTABLISHED -j ACCEPT
# 出方向允许 SSH
iptables -A OUTPUT -o eth0 -p tcp --dport 22-m state--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ethO -p tcp --sport 22-m state --state ESTABLISHED -j ACCEPT
# 出方向允许一个特定网段访问SSH
iptables -A OUTPUT -o eth0 -p tcp -d A.B.C.0/24 --dport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -AINPUr-i eth0-p tcp--sport 22-m state --state ESTABLISHED -jACCEPT
# 出方向允许 HTTPS
iptables-A OUTPUT-o eth0-p tcp --dport 443-m state-state NEW,ESTABLISHED-j ACCEPT
iptables -A INPUT -i eth0 -p tcp -sport 443 -m state --state ESTABLISHED-j ACCEPT
# 进方向HTTPS负载均衡
iptables -A PRERoUTING -i etho -p tcp --dport 443 -m state --state NEW -m nth
--counter 0--every 3 --packet 0 -j DNAT --to-destination 192.168.x.Y1:443
#iptables -A PRERoUrING -i ethO -p tcp --dport 443 -m state =-state NEW -m nth
--counter 0--every 3--packet 1 -j DNAT --to-destination 192.168.x.Y2:443
#iptables -A PREROUTING -ietho -p tcp --dport 443-m state --state NEW-m nth
--counter 0--every 3 --packet 2 -J DNAT --to-destination 192.168.x.Y3:443
# Ping 从内到外
iptables -A OUTPUT-picmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -picmp --icmp-type echo-reply -j ACCEPT
# Ping 从外到内
iptables -AINPUT -picmp --icmp-type echo-request -j ACCEPT
iptables -A ouTPUT-picmp--icmp-type echo-reply -jACCEPT
# 允许loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -0 lo -] ACCEPT
# 15. Allow packets from internal network to reach external network.
# if ethl is connected to external network (internet)
#if eth0 is connected to internal network (192.168.1.x)
iptables -A FORWARD -i etho-o ethl -j ACCEPT
# 16. Allow outbound DNS
fiptables -A OUTPUT -p udp -o eth0--dport 53 -j ACCEPT
#iptables -A INPUT -p udp -i etho --sport 53 -j ACCEPT
# 17. Allow NIS Connections
#rpcinfo -p I grep ypbind ; This port is 853 and 850
fiptables -A INPUT -p tcp --dport 1ll -j ACCEPT
#iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
#iptables -A INPUT -p udp --dport 850 -j ACCEPT
# 18. Allow rsync from a specific network
iptables -A INPUT -i eth0 -p tcp -s 192.168.x.0/24 --dport 873 -m state =-state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT-o ethO-p tcp--sport 873- state --state ESTABLISHED-jACCEPT
#19. Allow MysQL connection only from a specific network
iptables -A INPUT -ieth0-p tcp -s 192.168.Y.0/24--dport 3306 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT-o ethO-p tcp-sport 3306 -m state --state ESTABLISHED -jACCEPT
# 20. Allow Sendmail or Postfix
iptables -A INPUT -i etho -p tcp --dport 25-m state --state NEW,ESTABLISHED -j ACEPT
iptables -A oUTPUT -o etho-p tcp--sport 25-m state -state ESTABLISHED-j ACEPT
#21. Allow IMAP and IMAPS
iptables -A INPUT -ieth0-p tcp--dport 143-m state --state NEW,ESTABLISHED-jACCEPT
iptables -A oUrPUT-o ethO-p tcp--sport 143-m state --state ESTABLISHED-jACCEPT
iptables-AINPUT-iethppdport99mstate--stateNEw,ESTABLISHED-ACCEPT
iptables -A OUrPUT-o eth0 -p tcp --sport 993 -m state--state ESTABLISHED-jACCEPT
# 22. Allow POP3 and POP3S
iptables-A INPUT-ieth0-p tcp-dport 110-m state --state NEW,ESTABLISHED-jACCEPT
iptables-A OUTPUT-o eth0-p tcp-sport 110-m state --state ESTABLISHED-jACCEPT
iptables-A INPUT-ieth0-p tcp--dport 995-m state--state NEW,ESTABLISHED-jACCEPT
iptables -A oUTPUT-o ethO-p tcp--sport 995-m state --state ESTABLISHED-jACCEPT
# 23. Prevent DoS attack
iptables -A INPUT-p tcp--dport 80-m limit--limit 25/minute --limit-burst 100 -j ACCEPT
# 24. Port forwarding 422 to 22
iptables -t nat -A PREROUTING -p tcp -d 192.168.A.B--dport 422 -j DNAT --to
192.168.102.37:22
iptables -A INPUT -1 ethO-p tcp --dport 422-m state =-state NEw,ESTABLISHED -j ACCEPT
iptables-A OUTPUT-o eth0-p top-sport 422-m state --state ESTABLISHED-jACCEPT
# 25. Log dropped packets
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LoGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet
Dropped:" --log-level 7
iptables -A LOGGING -j DROP
相关推荐
够快云库2 小时前
能源行业零信任安全架构实战解析与选型指南
安全·安全架构
Hardworking6662 小时前
OpenClaw的特点、产品架构、市场机遇、安全风险
人工智能·安全·架构·智能体·openclaw
安当加密2 小时前
指纹一按,安全上线:SLA指纹登录如何为生产线 Windows 电脑实现低成本防勒索?
windows·安全·电脑
NOVAnet20232 小时前
AI智能体OpenClaw实战:终端安全风险分析与防护实践
网络·人工智能·安全·网络安全·南凌科技
2501_915921432 小时前
从构建到 IPA 保护,Flutter iOS 包如何做混淆与安全处理
android·安全·flutter·ios·小程序·uni-app·iphone
sandwu2 小时前
OpenClaw 3.12 重磅更新:全新 Dashboard、移动端适配与安全增强
安全
liliwoliliwo11 小时前
信息系统安全-第六章-操作系统安全-1.操作系统安全基础
安全
java干货12 小时前
拒绝全表扫描灾难:用 SSCAN 安全遍历 Redis 亿级 Set 集合
数据库·redis·安全
菩提小狗13 小时前
第23天:安全开发-PHP应用&后台模块&Session&Cookie&Toke_笔记|小迪安全2023-2024|web安全|渗透测试|
笔记·安全·php
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05OpenClaw macOS 完整安装与本地模型配置教程(实战版)06OpenClaw 飞书机器人不回复消息?3 小时踩坑总结07得物前端部门,没了08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw 接入 QQ Bot 完整实践指南