iptables基礎(chǔ)知識(shí)詳解-創(chuàng)新互聯(lián)

iptables被稱(chēng)為數(shù)據(jù)包過(guò)濾器，只能檢查數(shù)據(jù)鏈路層，IP層以及傳輸層的協(xié)議

網(wǎng)站的建設(shè)創(chuàng)新互聯(lián)公司專(zhuān)注網(wǎng)站定制,經(jīng)驗(yàn)豐富,不做模板,主營(yíng)網(wǎng)站定制開(kāi)發(fā).小程序定制開(kāi)發(fā),H5頁(yè)面制作!給你煥然一新的設(shè)計(jì)體驗(yàn)!已為成都混凝土泵車(chē)等企業(yè)提供專(zhuān)業(yè)服務(wù)。

iptables有五個(gè)內(nèi)置鏈：

PREROUTING:路由錢(qián)（不能做過(guò)濾）

INPUT:報(bào)文轉(zhuǎn)發(fā)到本機(jī)

FORWARD:報(bào)文轉(zhuǎn)發(fā)輸出到其它機(jī)器

OUTPUT:經(jīng)由本機(jī)進(jìn)程轉(zhuǎn)發(fā)

POSTROUTING:路由決策發(fā)生以后

iptables的功能：

filter:過(guò)濾，防火墻

nat:用于修改源IP或目標(biāo)IP，也可以修改端口；

mangle:拆解報(bào)文，作出修改后，并重新封裝起來(lái)；

raw:關(guān)閉nat表上啟用的連接追蹤機(jī)制

功能<-->鏈的對(duì)應(yīng)關(guān)系：

功能只能應(yīng)用到那些鏈上面

raw:PREROUTING,OUTPUT

mangle:PREOUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

nat：PREROUTING，{Centos 7 INPUT}OUTPUT,POSTROUTING

filter:INPUT,FORWARD,OUTPUT

報(bào)文流向：

流入本機(jī)：PREROUTING-->INPUT

由本機(jī)流出：OUTPUT-->POSTROUTING

轉(zhuǎn)發(fā)：PREROUTING-->FORWARD-->POSTROUTING

iptables（管理工具，命令行配置）/netfilter(內(nèi)核模塊，具體功能它來(lái)實(shí)現(xiàn))

組成部分：根據(jù)規(guī)則匹配條件來(lái)嘗試匹配報(bào)文，一旦匹配成功，就有規(guī)則定義的處理動(dòng)作做出處理；

匹配條件：

基本匹配條件

擴(kuò)展匹配條件

處理動(dòng)作：

基本處理動(dòng)作

擴(kuò)展處理動(dòng)作

自定義處理動(dòng)作

添加過(guò)則的考量點(diǎn)：

（1）要實(shí)現(xiàn)那種功能：判斷添加到哪個(gè)表上；

（2）報(bào)文流經(jīng)的路徑：判斷添加到哪個(gè)鏈上；

鏈：鏈上的規(guī)則次序，即為檢查的次序；因此，隱含一定的應(yīng)用法則；

（1）同類(lèi)規(guī)則（訪(fǎng)問(wèn)同一應(yīng)用），匹配范圍小的放上面；

（2）不同類(lèi)的規(guī)則（訪(fǎng)問(wèn)不同應(yīng)用），匹配到報(bào)文頻率較大的放上面；

（3）將那些可由一條規(guī)則描述的多個(gè)規(guī)則合并起來(lái)；

（4）設(shè)置默認(rèn)策略；

iptables規(guī)則格式：

iptables [-t table] COMMAND chain [-m matchname [per-match-options]] -j targetname[per-target-options]

-t table: 不加-t選項(xiàng)的默認(rèn)為filter

raw,mangle,nat,filter

COMMAND:

鏈管理：

-N:new，自定義一條新的規(guī)則鏈；

-X:delete,刪除自定義的規(guī)則鏈；

-P:Policy,設(shè)置默認(rèn)策略；對(duì)filter表中的鏈而言，其默認(rèn)策略有；

ACCEPT:接受

DROP:丟棄

REJECt:拒絕

-E:重命名自定義鏈；引用計(jì)數(shù)不為0的自定義鏈不能夠被重命名，也不能被刪除；

規(guī)則管理：

-A:append,追加；

-I：Insert,插入，要指明位置，省略時(shí)表示第一條；

-D：delete,刪除；

（1）指明規(guī)則序號(hào)；

（2）指明規(guī)則本身；

-R：replace,替換指定的規(guī)則鏈；

-F：flush，清空指定的規(guī)則鏈；

-Z：zero，置零；

iptables的每條規(guī)則都有兩個(gè)計(jì)數(shù)器；

(1）匹配到的報(bào)文的個(gè)數(shù)；

（2）匹配到的所有報(bào)文的大小之和；

查看：

-L:list,列出指定鏈上的所有規(guī)則；

-n --line-numbers,以數(shù)字格式顯示地址和端口號(hào)；

-v:verbose，詳細(xì)信息

-x:exactly,顯示計(jì)數(shù)器結(jié)果的精確值；

chain:

PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

匹配條件：

基本匹配條件：無(wú)需加載任何模塊，由iptables/netfilter自行提供；

[!]-s,--source address[/mask][,...]:檢查報(bào)文中的源IP地址是否符合此處理的地址或范圍

[!]-d,--destination address[/mask][,...]：檢查報(bào)文中的目標(biāo)IP地址是否符合此處指定的地址范圍；

[!]-p,--protocol protocol

protocol:tcp，udp,icmp

[!]-i,--in-interface name:數(shù)據(jù)報(bào)文流入的接口；只能應(yīng)用于數(shù)據(jù)報(bào)文流入的緩解，只能應(yīng)用于PREROUTING,INPUT和FORWARD鏈；

[!]-o，--out-Interface name:數(shù)據(jù)報(bào)文流出的接口；只能應(yīng)用于數(shù)據(jù)報(bào)文流出的環(huán)節(jié)，只能

擴(kuò)展匹配條件：需要加載擴(kuò)展模塊，方可生效；

隱式擴(kuò)展：不需要手動(dòng)加載擴(kuò)展模塊；因?yàn)樗麄兪菍?duì)協(xié)議的擴(kuò)展，所以，但凡使用-p指明了協(xié)議，就表示已經(jīng)指明的要擴(kuò)展的模塊；

tcp:

[!]--source-port,--sport port[:port]:匹配報(bào)文的源端口；可以是端口范圍；

[!]--destination-port,--dport port[:port]:匹配報(bào)文的目標(biāo)端口；可以是端口范圍；

[!]--tcp-flage mask comp

例如：“--tcp-flagsSYN，ACK，F(xiàn)IN,RST SYN”表示，要檢查的標(biāo)志位為SYN,ACK，F(xiàn)IN,RST四個(gè)，其中SYN必須為1，余下的必須為0；

[!]--syn：用于第一次握手，相當(dāng)于“--tcp-flagsSYN，ACK，F(xiàn)IN,RST SYN”；

udp:

[!]--source-port,--sport port[:port]:匹配報(bào)文的源端口；可以是端口范圍；

[!]--destination-port --dport port[:port]:匹配報(bào)文的目標(biāo)端口；可以是端口范圍；

icmp:

[!]--icmp-type {type[/code]|typename}

echo-requesr:8 請(qǐng)求

echo-reply:0:響應(yīng)

顯示擴(kuò)展:必須要手動(dòng)加載擴(kuò)展模塊，[-m matchname [per-match-options]]；

顯示擴(kuò)展將在下一小結(jié)用具體示例詳解

處理動(dòng)作：

-j targetname

DROP

REJECT

防火墻（服務(wù)）

Centos 6：

sevice iptables {start|stop|restart|status}

start:讀取事先保存的規(guī)則，并應(yīng)用到netfilter上；

stop:清空netfilter上的規(guī)則，以及還原默認(rèn)策略等；

status:顯示生效的規(guī)則

restart:清空netfilter上的規(guī)則，再讀取事先保存的規(guī)則，并應(yīng)用到netfilter上；

Centos 7:

systemctl start|stop|restart|status firewalld.service

systemctl disabled firewalld.server

systemctl stop firewalld.service

防火墻基本配置命令：

查看iptables規(guī)則鏈命令

iptables -t filter -L -n --line-numbers -v

清空規(guī)則鏈

iptables -t filter -F

清空自定義規(guī)則鏈

iptables -t filter -X

現(xiàn)在我們?cè)O(shè)置192.168.32.144（本機(jī)）拒絕192.168.32.145主機(jī)所有的訪(fǎng)問(wèn)

iptables -t filter -A INPUT -s 192.168.32.145 -d 192.168.32.144 -j DROP

刪除這一條規(guī)則則

iptables -t filter -D INPUT 1

修改上述規(guī)則鏈只限制192.168.32.145對(duì)本機(jī)的icmp協(xié)議

iptables -t filter -R INPUT 1 -s 192.168.32.145 -d 192.169.32.144 -p icmp -j REJECT

iptables -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p icmp -j REJECT

在本機(jī)流入接口做限制192.168.32.145的icmp協(xié)議訪(fǎng)問(wèn)

iptables -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p icmp -o eno16777736 -j DROP

限制192.168.32.145主機(jī)使用ssh訪(fǎng)問(wèn)192.168.32.144

iptables -t filter -A INPUT -s 192.168.32.145 -d 192.168.32.144 -p tcp --dport 22 -j DROP

限制其它主機(jī)ping本主機(jī)，但是不限制本主機(jī)ping其它主機(jī)

iptables -A INPUT -d 192.168.32.144 -p icmp --icmp-type 8 -j DROP

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

名稱(chēng)欄目：iptables基礎(chǔ)知識(shí)詳解-創(chuàng)新互聯(lián)
當(dāng)前地址：http://www.muchs.cn/article4/dgieie.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、網(wǎng)站內(nèi)鏈、App開(kāi)發(fā)、網(wǎng)站營(yíng)銷(xiāo)、手機(jī)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容