iptables被稱(chēng)為數(shù)據(jù)包過(guò)濾器,只能檢查數(shù)據(jù)鏈路層,IP層以及傳輸層的協(xié)議
網(wǎng)站的建設(shè)創(chuàng)新互聯(lián)公司專(zhuān)注網(wǎng)站定制,經(jīng)驗(yàn)豐富,不做模板,主營(yíng)網(wǎng)站定制開(kāi)發(fā).小程序定制開(kāi)發(fā),H5頁(yè)面制作!給你煥然一新的設(shè)計(jì)體驗(yàn)!已為成都混凝土泵車(chē)等企業(yè)提供專(zhuān)業(yè)服務(wù)。iptables有五個(gè)內(nèi)置鏈:
PREROUTING:路由錢(qián)(不能做過(guò)濾)
INPUT:報(bào)文轉(zhuǎn)發(fā)到本機(jī)
FORWARD:報(bào)文轉(zhuǎn)發(fā)輸出到其它機(jī)器
OUTPUT:經(jīng)由本機(jī)進(jìn)程轉(zhuǎn)發(fā)
POSTROUTING:路由決策發(fā)生以后
iptables的功能:
filter:過(guò)濾,防火墻
nat:用于修改源IP或目標(biāo)IP,也可以修改端口;
mangle:拆解報(bào)文,作出修改后,并重新封裝起來(lái);
raw:關(guān)閉nat表上啟用的連接追蹤機(jī)制
功能<-->鏈的對(duì)應(yīng)關(guān)系:
功能只能應(yīng)用到那些鏈上面
raw:PREROUTING,OUTPUT
mangle:PREOUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
nat:PREROUTING,{Centos 7 INPUT}OUTPUT,POSTROUTING
filter:INPUT,FORWARD,OUTPUT
報(bào)文流向:
流入本機(jī):PREROUTING-->INPUT
由本機(jī)流出:OUTPUT-->POSTROUTING
轉(zhuǎn)發(fā):PREROUTING-->FORWARD-->POSTROUTING
iptables(管理工具,命令行配置)/netfilter(內(nèi)核模塊,具體功能它來(lái)實(shí)現(xiàn))
組成部分:根據(jù)規(guī)則匹配條件來(lái)嘗試匹配報(bào)文,一旦匹配成功,就有規(guī)則定義的處理動(dòng)作做出處理;
匹配條件:
基本匹配條件
擴(kuò)展匹配條件
處理動(dòng)作:
基本處理動(dòng)作
擴(kuò)展處理動(dòng)作
自定義處理動(dòng)作
添加過(guò)則的考量點(diǎn):
(1)要實(shí)現(xiàn)那種功能:判斷添加到哪個(gè)表上;
(2)報(bào)文流經(jīng)的路徑:判斷添加到哪個(gè)鏈上;
鏈:鏈上 的規(guī)則次序,即為檢查的次序;因此,隱含一定的應(yīng)用法則;
(1)同類(lèi)規(guī)則(訪(fǎng)問(wèn)同一應(yīng)用),匹配范圍小的放上面;
(2)不同類(lèi)的規(guī)則(訪(fǎng)問(wèn)不同應(yīng)用),匹配到報(bào)文頻率較大的放上面;
(3)將那些可由一條規(guī)則描述的多個(gè)規(guī)則合并起來(lái);
(4)設(shè)置默認(rèn)策略;
iptables規(guī)則格式:
iptables [-t table] COMMAND chain [-m matchname [per-match-options]] -j targetname[per-target-options]
-t table: 不加-t選項(xiàng)的默認(rèn)為filter
raw,mangle,nat,filter
COMMAND:
鏈管理:
-N:new,自定義一條新的規(guī)則鏈;
-X:delete,刪除自定義的規(guī)則鏈;
-P:Policy,設(shè)置默認(rèn)策略;對(duì)filter表中的鏈而言,其默認(rèn)策略有;
ACCEPT:接受
DROP:丟棄
REJECt:拒絕
-E:重命名自定義鏈;引用計(jì)數(shù)不為0的自定義鏈不能夠被重命名,也不能被刪除;
規(guī)則管理:
-A:append,追加;
-I:Insert,插入,要指明位置,省略時(shí)表示第一條;
-D:delete,刪除;
(1)指明規(guī)則序號(hào);
(2)指明規(guī)則本身;
-R:replace,替換指定的規(guī)則鏈;
-F:flush,清空指定的規(guī)則鏈;
-Z:zero,置零;
iptables的每條規(guī)則都有兩個(gè)計(jì)數(shù)器;
(1)匹配到的報(bào)文的個(gè)數(shù);
(2)匹配到的所有報(bào)文的大小之和;
查看:
-L:list,列出指定鏈上的所有規(guī)則;
-n --line-numbers,以數(shù)字格式顯示地址和端口號(hào);
-v:verbose,詳細(xì)信息
-x:exactly,顯示計(jì)數(shù)器結(jié)果的精確值;
chain:
PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
匹配條件:
基本匹配條件:無(wú)需加載任何模塊,由iptables/netfilter自行提供;
[!]-s,--source address[/mask][,...]:檢查報(bào)文中的源IP地址是否符合此處理的地址或范圍
[!]-d,--destination address[/mask][,...]:檢查報(bào)文中的目標(biāo)IP地址是否符合此處指定的地址范圍;
[!]-p,--protocol protocol
protocol:tcp,udp,icmp
[!]-i,--in-interface name:數(shù)據(jù)報(bào)文流入的接口;只能應(yīng)用于數(shù)據(jù)報(bào)文流入的緩解,只能應(yīng)用于PREROUTING,INPUT和FORWARD鏈;
[!]-o,--out-Interface name:數(shù)據(jù)報(bào)文流出的接口;只能應(yīng)用于數(shù)據(jù)報(bào)文流出的環(huán)節(jié),只能
擴(kuò)展匹配條件:需要加載擴(kuò)展模塊,方可生效;
隱式擴(kuò)展:不需要手動(dòng)加載擴(kuò)展模塊;因?yàn)樗麄兪菍?duì)協(xié)議的擴(kuò)展,所以,但凡使用-p指明了協(xié)議,就表示已經(jīng)指明的要擴(kuò)展的模塊;
tcp:
[!]--source-port,--sport port[:port]:匹配報(bào)文的源端口;可以是端口范圍;
[!]--destination-port,--dport port[:port]:匹配報(bào)文的目標(biāo)端口;可以是端口范圍;
[!]--tcp-flage mask comp
例如:“--tcp-flagsSYN,ACK,F(xiàn)IN,RST SYN”表示,要檢查的標(biāo)志位為SYN,ACK,F(xiàn)IN,RST四個(gè),其中SYN必須為1,余下的必須為0;
[!]--syn:用于第一次握手,相當(dāng)于“--tcp-flagsSYN,ACK,F(xiàn)IN,RST SYN”;
udp:
[!]--source-port,--sport port[:port]:匹配報(bào)文的源端口;可以是端口范圍;
[!]--destination-port --dport port[:port]:匹配報(bào)文的目標(biāo)端口;可以是端口范圍;
icmp:
[!]--icmp-type {type[/code]|typename}
echo-requesr:8 請(qǐng)求
echo-reply:0:響應(yīng)
顯示擴(kuò)展:必須要手動(dòng)加載擴(kuò)展模塊,[-m matchname [per-match-options]];
顯示擴(kuò)展將在下一小結(jié)用具體示例詳解
處理動(dòng)作:
-j targetname
ACCEPT
DROP
REJECT
防火墻(服務(wù))
Centos 6:
sevice iptables {start|stop|restart|status}
start:讀取事先保存的規(guī)則,并應(yīng)用到netfilter上;
stop:清空netfilter上的規(guī)則,以及還原默認(rèn)策略等;
status:顯示生效的規(guī)則
restart:清空netfilter上的規(guī)則,再讀取事先保存的規(guī)則,并應(yīng)用到netfilter上;
Centos 7:
systemctl start|stop|restart|status firewalld.service
systemctl disabled firewalld.server
systemctl stop firewalld.service
防火墻基本配置命令:
查看iptables規(guī)則鏈命令
iptables -t filter -L -n --line-numbers -v
清空規(guī)則鏈
iptables -t filter -F
清空自定義規(guī)則鏈
iptables -t filter -X
現(xiàn)在我們?cè)O(shè)置192.168.32.144(本機(jī))拒絕192.168.32.145主機(jī)所有的訪(fǎng)問(wèn)
iptables -t filter -A INPUT -s 192.168.32.145 -d 192.168.32.144 -j DROP
刪除這一條規(guī)則則
iptables -t filter -D INPUT 1
修改上述規(guī)則鏈只限制192.168.32.145對(duì)本機(jī)的icmp協(xié)議
iptables -t filter -R INPUT 1 -s 192.168.32.145 -d 192.169.32.144 -p icmp -j REJECT
iptables -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p icmp -j REJECT
在本機(jī)流入接口做限制192.168.32.145的icmp協(xié)議訪(fǎng)問(wèn)
iptables -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p icmp -o eno16777736 -j DROP
限制192.168.32.145主機(jī)使用ssh訪(fǎng)問(wèn)192.168.32.144
iptables -t filter -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p tcp --dport 22 -j DROP
限制其它主機(jī)ping本主機(jī),但是不限制本主機(jī)ping其它主機(jī)
iptables -A INPUT -d 192.168.32.144 -p icmp --icmp-type 8 -j DROP
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線(xiàn),公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專(zhuān)為企業(yè)上云打造定制,能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。
名稱(chēng)欄目:iptables基礎(chǔ)知識(shí)詳解-創(chuàng)新互聯(lián)
當(dāng)前地址:http://www.muchs.cn/article4/dgieie.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航、網(wǎng)站內(nèi)鏈、App開(kāi)發(fā)、網(wǎng)站營(yíng)銷(xiāo)、手機(jī)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容