Linux防火墙iptables配置摘要,服务配置

亚洲城ca88手机版官网

一、概要

一、概要

/位于  /sbin/iptables

   1.防火墙分类

1、防火墙分类

①包过滤防火墙(pack
filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control
table-ACL)检查数据流的源地址,目的地址,源和目的端口,IP等信息。

②代理服务器型防火墙

  四表五链

      ①包过滤防火墙(pack
filtering)在网络层对数据包进行选择过滤,采用访问控制列表(Access control
table-ACL)检查数据流的源地址,目的地址,源和目的端口,IP等信息

2、iptables基础

①规则(rules):网络管理员预定义的条件

②链(chains): 是数据包传播的路径

③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能

④filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。

⑤nat表(网络地址转换),PREROUTING(修改即将到来的数据包),OUTPUT(修改在路由之前本地生成的数据包),POSTROUTING(修改即将出去的数据包)

⑥mangle表,PREROUTING,OUTPUT,FORWORD,POSTROUTING,INPUT

  四表 filter. nat. mangle. raw

      ②代理服务器型防火墙

3、其它

iptables是按照顺序读取规则

防火墙规则的配置建议

Ⅰ 规则力求简单

Ⅱ 规则的顺序很重要

Ⅲ 尽量优化规则

Ⅳ 做好笔记

  五链 INPUT. FORWARD. OUTPUT. PREROUTING. POSTROUTING

   2.Iptables基础

二、配置

  表的处理优先级  raw >mangle >nat >filter

      ①规则(rules):网络管理员预定义的条件

1、iptables命令格式

iptables [-t 表] -命令 匹配 操作 (大小写敏感)

动作选项

ACCEPT          接收数据包

DROP             丢弃数据包

REDIRECT    
 将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务

SNAT             源地址转换

DNAT             目的地址转换

MASQUERADE       IP伪装

LOG               日志功能

 

      ②链(chains): 是数据包传播的路径

2、定义规则

①先拒绝所有的数据包,然后再允许需要的数据包

iptalbes -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

②查看nat表所有链的规则列表

iptables -t nat -L

③增加,插入,删除和替换规则

iptables [-t 表名] <-A|I|D|R> 链名 [规则编号] [-i|o
网卡名称] [-p 协议类型] [-s 源ip|源子网] [–sport 源端口号] [-d
目的IP|目标子网] [–dport 目标端口号] [-j 动作]

参数:-A 增加

-I 插入

-D 删除

-R 替换

  filter:执行所有的过滤动作

     
③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能

三、例子

①iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP

禁止IP为192.168.1.5的主机从eth0访问本机②iptables -t filter -I INPUT 2 -s
192.168.5.0/24 -p tcp –dport 80 -j DROP

禁止子网192.168.5.0访问web服务③iptables -t filter -I INPUT 2 -s
192.168.7.9 -p tcp –dport ftp -j DROP

禁止IP为192.168.7.9访问FTP服务

④iptables -t filter -L INPUT

查看filter表中INPUT链的规则

⑤iptables -t nat -F

删除nat表中的所有规则

⑥iptables -I FORWARD -d wwww.baidu.com -j DROP

禁止访问www.baidu.com网站

⑦iptables -I FORWARD -s 192.168.5.23 -j DROP

禁止192.168.5.23上网

  nat:(端口映射,地址转换),所有网络地址转换都在nat上执行

     
④filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包)

  mangle:用于数据包的修改

      filter表只能对包进行授受和丢弃的操作

  raw:加快封包穿越防火墙的速度,可提高防火墙性能

     
⑤nat表(网络地址转换),PREROUTING(修改即将到来的数据包),OUTPUT(修改在路由之前本地生成的数据包),POSTROUTING(修改即将出去的数据包)

 

      ⑥mangle表,PREROUTING,OUTPUT,FORWORD,POSTROUTING,INPUT

  五个链的作用

   3.其它

  INPUT: 处理入站数据包,通过路由表后目的地为本机

   iptables是按照顺序读取规则

  OUTPUT:由本级产生,向外转发

   防火墙规则的配置建议

  FORWARD:通过路由表后,目的地不为本机

    Ⅰ 规则力求简单

  PREROUTING:数据包进入路由表之前

    Ⅱ 规则的顺序很重要

  POSTROUTING:在进行路由选择前处理数据包,数据包进入路由表之前

    Ⅲ 尽量优化规则

 

    Ⅳ 做好笔记

  规则链之间的匹配顺序

亚洲城ca88手机版官网 1

  入站数据:PREROUTING >INPUT

  出站数据:OUTPUT >POSTROUTING

  转发数据:PREROOUTING >FORWARD >POSTROUTING

  1.当数据包的目标地址是本机时

  (1)数据包进入网络接口

  (2)进入NAT表的prerouting链,根据需要做DNAT

 
(3)进入mangle表的prerouting链,在这里根据需要改变数据包头内容(比如TTL值)

  (4)进入路由判断,(进入本地还是转发)

  (5)进入mangle表的INPUT链,在路由之后到达本地程序之前修改数据包头内容

  (6)进入filter表的INPUT链,所有目标地址是本机的数据包都会经过这里

  (7)到达本机应用程序处理

 

  2.当数据包的源地址是本机时、

  (1)本机应用程序产生数据包

  (2)路由判断

  (3)进入mangle表的OUTPUT链,在这里可以根据需要改变包头内容

  (4)进入nat表的OUTPUT链,根据需要对防火墙产产生的数据作DNAT

  (5)进入filter表的OUTPUT链,在这里可以对数据包的过滤条件进行设置

  (6)进入mangle表的PREROUTING链,这里主要做DNAT动作

  (7)进入NAT表的PREROUTING链,这里主要做DNAT动作

  (8)离开本机

 

  3.经由本机转发的数据包  (源、目标地址都不是本机)

  (1)数据包进入网络接口

  (2)mangle表的PREROUTING链,在这里可以根据需要改变数据包内容(TTL值)

  (3)nat表中FORWARD链,可根据需要对数据包做DNAT

  (4)mangle表的FORWARD链,在这里数据包头内容被修改

  (5)filter表的FORWARD链,需要转发的数据包会到这里

  (6)mangle表的PREROUTING链

  (7)nat表的POSTROUTING链,在这里根据需要对数据包做SNAT

  (8)离开网络接口

 

      Iptables表和链的动作

  filter表主要用于过滤数据包,对数据包进行(ACCEPT DROP REJECT LOG
RETURN)

  filter表包含:

  INPUT链,过滤所有目标地址是本机的数据包

  FORWARD链,过滤由本机转发的数据包

  OUTPUT链,过滤有本机产生的数据包

 

  NAT表主要用于网络地址转换

  (1)DNAT,主要用于改变数据包目的地址,使包能重新路由到某台主机

  (2)SNAT,改变数据包的源地址,将源地址转换成公网地址

  NAT表包含三条链

亚洲城ca88手机版官网,  (1)PREROUTING链,在数据包到达防火墙的时候改变目标地址

  (2)OUTPUT链,可以改变数据包的目的地址

  (3)POSTROUTING,在数据包离开防火墙时改变数据包源地址

 

  MANGLE表

  mangle表主要用于修改数据包,通过mangle表可以改变(TTL)等

  mangle表主要包含5条链

  (1)PREROUTING、 (2)POSTROUTING、 (3)OUTPUT、 (4)INPUT、
(5)FORWARD、

推荐阅读:

iptables—包过滤(网络层)防火墙

Linux防火墙iptables详细教程

iptables+L7+Squid实现完善的软件防火墙

iptables的备份、恢复及防火墙脚本的基本使用

Linux下防火墙iptables用法规则详解

/sbin/iptables 四表五链 四表 filter. nat.
mangle. raw 五链 INPUT. FORWARD. OUTPUT. PREROUTING. POSTROUTING
表的处理优先级 raw mangle nat filter filter:执行…

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图