软件防火墙1、IPtable1.1概述1.2比较1.3防火墙默认四表五链四表五链1.4结构图1.5数据包过滤匹配流2、使用IPtable1.1安装2.2配置方法2.3常见控制数据测试3.1添加新规则3.2默认策略3.3删除规则3.4清除规则4、规则匹配4.1通用匹配4.1
另一方面,iptable 1.1概述系统的防火墙包括ip包过滤系统的两部分,其中filter和iptabale分别操作在网络层,并且对于每个ip分组提供分组中的ip地址和端口
netfilter
“内核状态”防火墙功能体系(Kernel Space,也称为内核空间)内核的一部分由内核使用以控制包过滤操作的规则集iptables
“用户状态”防火墙管理系统(User Space )是用于管理Linux防火墙的命令程序,位于/sbin/iptables目录下的总结
netfilter和iptables后来简称为iptablesiptables,是基于内核的防火墙,内置原始、管理、nat和过滤器
配置了四个规则表中的所有规则后,它们将立即生效,无需重新启动服务。 1.3防火墙的缺省4表5链4表原始表:确定是否对此包进行状态跟踪包括两个规则链、输出和PREROUTING mangle表。 修改数据包内容以用于流量整形。 为包设置标志包括五个规则链。 INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING nat表:是用于修改包中的源、目标IP地址或端口的三个规则链,即输出
五链INPUT处理入站分组,而其自身的分组OUTPUT与目标IP匹配处理出站分组。 通常,此链不放置前向处理传输包。 与本机流过的数据包一致,PREROUTING链在进行路由之前处理数据包,并更改目标地址以用于DNAT。 相当于将内部网服务器上的IP和端口映射到路由器上的外部网IP和端口,以便POSTROUTING链在进行路由后处理数据包,修改源地址以用于SNAT。 1.4结构图当数据包到达防火墙时,规则表之间的优先顺序是
rawmangleNATfilter http://www.Sina.com /
托管防火墙入站数据(外部数据包和目标地址是防火墙本机(:prerouting----input )本机APP应用程序出站数据)防火墙本机地址postrouting网络防火墙3360传输数据(output )需要通过防火墙传输的数据包(3360prerouting )
从上面开始按顺序进行检查,找到匹配规则后停止(日志策略异常,表示要记录相关日志)。如果在此链中找不到匹配规则,则根据此链的默认策略,停止1.5数据包过滤
二.使用iptable 2.1 centos 7安装缺省情况下使用防火墙,因此系统中未安装iptables。 使用前关闭防火墙,然后单击iptables 规则链之间的匹配顺序
关闭systemctl stop firewalld#防火墙systemctl disable firewalld#设置不启动yum-yinstalliptablesiptables # iptablesystemctlstartiptables
在iptable命令行上单击system-config-firewall http://www.Sina.com /
格式
iptables [-t表名]管理选项[链名] [匹配条件] [-j控件类型] 规则链内的匹配顺序
如果未指定表名,则缺省值为“过滤器”表未指定链名,缺省值为表中的所有链。 必须设置链的默认策略
须指定匹配条件控制类型使用大写字母,其余均为小写语法总结
注意事项
若规则列表中有多条相同的规则时,按内容匹配只删除的序号最小的一条按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错按内容匹配删除时,确保规则存在,否则报错 3.4 清空规则格式
iptables [-t 表名] -F [链名]命令
iptables -F# 清空iptables -n -L# 查看规则Chain INPUT (policy ACCEPT)target prot opt source destination注意事项
-F仅仅是清空链中的规则,并不影响 -p 设置的默认规则,默认规则需要手动进行修改-p 设置了DROP后,使用 -F 一定要小心!( 防止把允许远程连接的相关规则清除后导致无法远程连接主机,此清空如果没有保存规则可重启主机解决 )如果不写表名和链名,默认清空 filter 表中所有链里的所有规则 四、规则的匹配 4.1 通用匹配
可以直接使用,不依赖于其他条件或扩展,包括网络协议、ip地址、网络接口等条件
协议匹配:-p 协议名地址匹配:-s 源地址、-d 目的地址接口匹配:-i 入站网卡、-o 出站网卡 iptables -A FORWARD ! -p icmp -j ACCEPTiptables -A INPUT -s 192.168.253.11 -j DROPiptables -A INPUT -i ens33 -s 192.168.253.0/24 -j DROP 4.2 隐含匹配要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件
端口匹配: - -sport 源端口、- -dport 目的端口 可以是个别端口、端口范围 端口解释- -sport 1000匹配源端口是1000的数据包- -sport 1000: 3000匹配源端口是1000-3000的数据包- -sport :3000匹配源端口是3000及以下的数据包- -sport 1000:匹配源端口是1000及以上的数据包注意: - -sport 和 - -dport 必须配合-p <协议类型>使用
iptables -A INPUT -P tcp --dport 20:21 -j ACCEPTiptables -I FORWARD -d 192.168.80.0/24 -P tcp --dport 24500:24600 -j DROP 4.3 显式匹配要求以 “ -m 扩展模块” 的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配 - -m multiport --sport源端口列表-m multiport --dport 目的端口列表 iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPTiptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT IP范围匹配: -m iprange --src-range IP范围 iptables -A FORWARD -P udp -m iprange --src-range 192.168.253. 100-192.168.253.200 -j DROP#禁止转发源地址位于192.168.253.100-192.168.253.200的udp数据包 MAC地址匹配: -m mac --mac- source MAC地址 iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP#禁止来自某MAC地址的数据包通过本机转发 状态匹配: -m state --state 连接状态 常见的连接状态: NEW:与任何连接无关的,还没开始连接ESTABLISHED :响应请求或者已建立连接的,连接态RELATED :与已有连接有相关性的( 如FTP主被动模式的数据连接),衍生态,一般与ESTABLISHED配合使用INVALID:不能被识别属于哪个连接或没有任何状态 iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP#禁止转发与正常TCP连接无关的非--syn请求数据包(如伪造的网络攻击数据包)