iptables防火墙-白红宇

iptables防火墙

阅读量：6800 次

发布时间：2019-06-26

本文共 2769 字，大约阅读时间需要 9 分钟。

防火墙

iptables

firewalld

过滤数据包

默认策略：拒绝所有数据包从入口方向进入

内核态

netfilter

用户态

iptables

firewalld

centos7:

yum -y install iptables iptables-services iptables-devel

清空防火墙规则

iptables -F

清空规则计数

iptables -Z

删除自定义链:不能有关联不能有规则

iptables -X 自定义链名

语法

iptables -t 表名动作链名匹配条件 -j 目标动作

（默认不指定表名的情况下是filter表）

四表五链

表名：

raw 数据包跟踪

mangle 标记数据包

nat 网络地址转换

filter 数据包过滤

读表顺序：按上面的顺序从上到下

链名：

PREROUTING 路由之前

INPUT 数据包流入

FORWARD 数据包经过

OUTPUT 数据包流出

POSTROUTING 路由之后

raw:

PREROUTING 路由之前

INPUT 数据包流出

mangle:

PREROUTING 路由之前

INPUT 数据包流入

FORWARD 数据包经过

OUTPUT 数据包流出

POSTROUTING 路由之后

filter:

INPUT 数据包流入

FORWARD 数据包经过

OUTPUT 数据包流出

实例:

-A 追加规则（在最后加入）

iptables -t filter -A INPUT -p icmp -j REJECT

-L 列出规则

-n 以数字的形式显示协议和主机

--line 显示规则行号 --line-numbers的另外一种写法

-t 可以跟不同的表

-v verbose 重点是数据包的统计（计数）信息

#iptables -nL --line-numbers -t nat -v

#iptables -nL INPUT 1 -v

-R 修改规则

#iptables -R INPUT 1 -p tcp -j REJECT //链后面必须跟上数字，指定修改第几个规则

-D 删除规则

#iptables -D INPUT 1 //链后面必须跟上数字，指定删除第几个规则

-I 插入规则

# iptables -I INPUT -p tcp --dport 23 -j DROP //--dport指定目标端口

# iptables -I INPUT 2 -p tcp --dport 23 -j DROP

创建自定义链

iptables -N 链名（链名自定义）

#iptables -N wing

修改自定义链名称

iptables -E 旧链名新链名

iptables -E wing WING

添加规则到自定义链

iptables -A 链名动作

#iptables -A WING -p icmp -j DROP //DROP同REJECT

关联自定义链

iptables -A 自带链名 -j 自定义链名

#iptables -A INPUT -j WING

删除自定义链：不能有关联和规则 //如果有关联和规则，先清空

企业环境:

我们内网互联网

高安全区域防火墙低安全区域

进来的数据包默认全部拒绝,只放行你想接收的包

修改默认策略:只能写DROP或者ACCEPT

iptables -P 链名策略

#iptables -P INPUT DROP

查看规则：显示形式与-L不同

#iptables -S INPUT

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#iptables -A INPUT -p tcp --sport 80 -j ACCEPT

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

匹配条件

协议：

-p tcp

-p udp

-p icmp

端口：必须和协议一起写

--dport 目标端口

--sport 源端口

#iptables -A INPUT -p tcp --dport 80 -j DROP

端口范围匹配：

--sport 源端口1:源端口2

--dport 目标端口1：目标端口2

多端口匹配：

-m multiport --dports 23,80,3306

-m multiport --sports 23,80,3306

#iptables -A INPUT -p tcp -m multiport --dports 23,80,3306 -j DROP

-s 源ip1,源ip2,...

-d 目标ip

ip地址范围：

-m iprange --src-range 192.168.1.8-192.168.1.29

-m iprange --dst-range 192.168.1.8-192.168.1.29

//范围自己指定

#iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 192.168.1.8-192.168.1.29 -j DROP

mac

#iptables -A INPUT -p tcp -m mac --mac-source 00:0c:29:22:eb:ff -j DROP

测试forward

1.8------------->1.2--路由--3.2-------->3.8

echo 1 > /proc/sys/net/ipv4/ip_forward //开启路由转发

目标动作：

DROP

REJECT

LOG

网关10.0.1.3 10.0.2.2

10.0.1.2 ---->10.0.1.3/10.0.2.2------->10.0.2.3

SNAT

修改源ip地址

#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 202.106.18.8

DNAT

修改目标ip地址

#iptables -t nat -A PREROUTING -d 202.168.18.8 -j DNAT to 192.168.1.8

注：

因为外网ip可能是随机分配，所有无法固定外网ip，此时我们应该修改源ip为：

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

注意：私有IP和共有IP不能直接通信

转载于:https://blog.51cto.com/13773838/2171391

你可能感兴趣的文章

SpringBoot2 | SpringBoot启动流程源码分析（二）

查看>>

MyBatis 原理浅析——基本原理

查看>>

第七章：SpringCloud Feign对hystrix的支持

[深入理解ES6]let/const/var

查看>>

微信小程序-骚操作，自定义授权对话框，且遮盖层遮住tabBar

查看>>

vue中如何使用mockjs摸拟接口的各种数据