iptables系列之基础原理-创新互联

Linux网络防火墙

创新互联专注于江干网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供江干营销型网站建设,江干网站制作、江干网页设计、江干网站官网定制、小程序制作服务,打造江干网络公司原创品牌,更为您提供江干网站排名全网营销落地服务。

 netfilter :frame 过滤,内核中的过滤框架,规则生效的位置框架

    iptables:附加在netfilter上,生成防火墙规则,真正实现数据报文过滤,NAT,mangle等规则生成的工具

防火墙:工作在主机或者网络的边缘,对于进出的报文进行检查监控,并根据事先定义好的规则(其中有匹配标准和处理办法),一旦符合标准,对这个报文进行相应的处理规则的组件称为防火墙

iptables的实现实际上是基于报文的过滤,实例如下:

1.IP:源地址,目标地址

TCP:源端口,目标端口

UDP:源端口,目标端口

ICMP:icmp报文类型

发展历程:

linux2.0

ipfw/firewall

linux2.2

ipchain/firewall

linux2.4

iptables/netfilter

netfilter的过滤有下面五个规则链

    PREROUTING

    INPUT

    FORWARD

    OUTPUT

    POSTROUTING

四种表

filter,过滤表

INPUT,OUTPUT,FORWARD

nat,地址转换表

prerouting,output,postrouting

mangle(拆分,修改,封装)  表

prerouting,forwarding,output,postrouting

raw表

prerouting,output

iptables:

500条规则

能否使用自定义链?

可以使用自定义链,但是只在被调用的时候才能发挥作用,而且如果没有自定义链中的任何规则匹配,还应该有返回机制

*用户可以删除自定义空链

*默认链无法删除

每个规则都有两个内置的计数器

被匹配的报文个数

被匹配的报文大之和

规则内包含:匹配标准,处理动作

匹配标准:

  1.通用匹配

        -s,--src  源地址

        -d,--dst  目标地址

        -p(tcp,udp,icmp)指定协议

       -i INTERFACE指定数据报文流入的接口(ethX)

              可用于定义标准的链,PREROUTING ,INPUT,FORWARD

        -o INTERFACE 指定数据报文流出的接口

              可用于标准定义的链,OUTPUT,POSTROUTING,FORWARD,

  2.扩展匹配

    a.隐含扩展:不用特别指明哪个模块进行的扩展,因为此时使用-p(tcp/udp/icmp)

    -p tcp  指定目标端口,源端口

            --tcp-flags mask comp :只检查mask 指定的标志位,是逗号分隔的标志位列表;comp:此列表中出现的标记位必须为1,comp中没出现,而mask中出现的,必须为0

    可根据ACK,FIN,RST,SYN等标志位的值来盘端报文的类型,例如当SYN=1,其余为0,则这个报文时TCP/IP的第一次握手

   -p-icmp

            --icmp-type -8 被ping通

            --icmp-type -1能够发出ping 报文

    -p-udp

            指定目标端口以及源端口

   b. 显示扩展:必须指明由哪个模块进行的扩展,在iptables会用-m选项即可完成功能

        使用额外的匹配机制

          -m EXTENSTION --spe-opt

                  state:状态扩展       -m state --state NEW -ij ACCEPT

                    结合ip_constrack追踪会话的状态

                        NEW:新连接请求

                        ESTABLISHED:已建立的连接

                        INVALID:非法连接

                        RELATED:相关联的

            -m multiport :离散的多端口匹配扩展

                        --source-ports

                        --destination-ports

                        --ports

            -m  iprange  指定一段地址

                        --src-range

                        --dst-range

            -m connlimit  连接数限制

                         !  --connlimit-above n

            -m limit

                        --limit RATE速率限定

#iptables-save> /etc/sysconfig/iptables.2021

#iptables-restore < /etc/sysconfig/iptables.2021

命令

管理规则

-A:附加一条规则,添加在链的尾部

-I CHAIN [num]:插入一条规则,插入为对应CHAIN上的第num条

-D CHAIN [num]:删除指定链中的第Num条规则

-R CHAIN [num]:替换指定的规则

管理链

-F [CHAIN]:flush用于清空指定规则链,如果省略CHAIN ,则可以删除对应表中的所有链

-P CHAIN :设定指定链的默认策略

-N :自定义一个新的空链

-X:删除一个自定义的空链

-Z:置零指定链中所有规则的计数器

-E:重命名自定义的链

查看类

-L:显示指定表中的规则

    -n:以数字形式显示主机地址和端口号

        -x:显示计数器的精确值

        -v:显示链和规则的详细信息 -vv:

        --line-numbers:显示规则号码

执行的动作(target)

-j指定

    ACCEPT放行,允许通过

    DROP丢弃

    REJECT拒绝

    DNAT目标地址转换

    SNAT源地址转换

    REDIRECT(端口重定向)

    MASQUERADE:地址伪装  MAC表的PREROUTING链实现

    MARK打标记

    LOG 日志

iptables不是服务,但有服务脚本:脚本服务的主要作用在于管理保存的规则

装载或移除iptable/netfilter相关的内核模块

iptables_nat,iptales_filter,iptable_mangle,iptables_raw,ip_nat,

保存规则:

#service iptables save

/etc/sysconfig/iptables

#iptables-save> /etc/sysconfig/iptables.2021

#iptables-restore < /etc/sysconfig/iptables.2021

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页名称:iptables系列之基础原理-创新互联
URL分享:http://azwzsj.com/article/dsohgg.html