Linux-C-高級(jí)-第6章-IPTable防火墻基礎(chǔ)


目錄(持續(xù)更新)


基礎(chǔ)-第0章-安裝
基礎(chǔ)-第1章-基本操作
基礎(chǔ)-第2章-磁盤(pán)及文件系統(tǒng)管理
基礎(chǔ)-第3章-獲得幫助
基礎(chǔ)-第4章-用戶(hù)及權(quán)限基礎(chǔ)
基礎(chǔ)-第5章-網(wǎng)絡(luò)基本配置
基礎(chǔ)-第6章-管道恢恼,重定向及文本處理
基礎(chǔ)-第7章-系統(tǒng)啟動(dòng)詳解

進(jìn)階-第1章-日志服務(wù)
進(jìn)階-第2章-DNS域名服務(wù)器
進(jìn)階-第3章-FTP文件共享服務(wù)
進(jìn)階-第4章-NFS文件共享服務(wù)
進(jìn)階-第5章-SMB文件共享服務(wù)
進(jìn)階-第6章-WEB服務(wù)Apache篇
進(jìn)階-第7章-電子郵件服務(wù)
進(jìn)階-第8章-Linux服務(wù)基礎(chǔ)及管理

高級(jí)-第1章-LVM邏輯卷
高級(jí)-第2章-高級(jí)權(quán)限ACL
高級(jí)-第3章-RAID提升速度及冗余
高級(jí)-第4章-高級(jí)網(wǎng)絡(luò)-網(wǎng)卡綁定场斑,子端口
高級(jí)-第5章-SELinux安全系統(tǒng)基礎(chǔ)
高級(jí)-第6章-IPTable防火墻基礎(chǔ)
高級(jí)-第7章-Linux遠(yuǎn)程管理-SSH牵署、VNC


第6章 IPTable防火墻基礎(chǔ)


第一節(jié)

網(wǎng)絡(luò)訪(fǎng)問(wèn)控制

Linux作為服務(wù)器,對(duì)外提供一些基于網(wǎng)絡(luò)服務(wù)

通常需要網(wǎng)絡(luò)訪(fǎng)問(wèn)控制碟刺,類(lèi)似防火墻

廠(chǎng)家愛(ài)你訪(fǎng)問(wèn)控制包括:哪些IP可訪(fǎng)問(wèn)的服務(wù)器半沽,協(xié)議,接口者填,數(shù)據(jù)包修改

如可能受到某個(gè)IP攻擊,這時(shí)就禁止所有來(lái)自IP的訪(fǎng)問(wèn)

Linux 內(nèi)核集成了網(wǎng)絡(luò)訪(fǎng)問(wèn)控制功能 通過(guò)netfilter模塊實(shí)現(xiàn)

IPTables

用戶(hù)層我們可以哦那個(gè)過(guò)iptables程序?qū)etfilter進(jìn)行控制管理

netfilter可以對(duì)數(shù)據(jù)進(jìn)行允許 丟棄 修改操作

netfilter支持通過(guò)以下方式對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)

    源IP地址
    目標(biāo)IP地址
    使用接口
    使用協(xié)議  ( TCP UDP ICMP )
    端口號(hào)
    連接狀態(tài)    ( new ESTABLISHED RELATED INVALID)

過(guò)濾點(diǎn)

INPUT           出流量
FORWARD         轉(zhuǎn)發(fā)數(shù)據(jù)
OUTPUT          入流量
PREROUTING      路由前
POSTROUTING     路由后

過(guò)濾表

三種表:
filter (chain)用于對(duì)數(shù)據(jù)進(jìn)行過(guò)濾 只用在 INPUT FORWARD OUTPUT 過(guò)濾點(diǎn)
nat用以多數(shù)據(jù)包的源占哟,目標(biāo)IP地址進(jìn)行修改 只用在 OUTPUT PREROUTING POSTROUTING過(guò)濾點(diǎn)
mangle用以對(duì)數(shù)據(jù)包進(jìn)行高級(jí)修改 用于所有過(guò)濾點(diǎn)

常用功能

作為服務(wù)器
    過(guò)濾本地流量              
    過(guò)濾本地發(fā)出流量

作為路由
    過(guò)濾轉(zhuǎn)發(fā)流量
    修改轉(zhuǎn)發(fā)數(shù)據(jù)

規(guī)則

通過(guò)規(guī)則對(duì)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)控制
一個(gè)規(guī)則使用一行配置
規(guī)則按順序排列
當(dāng)收到發(fā)出轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)酿矢,使用規(guī)則對(duì)數(shù)據(jù)包進(jìn)行匹配,按規(guī)則順序進(jìn)行逐條匹配

數(shù)據(jù)包按照第一個(gè)匹配上的規(guī)則執(zhí)行相關(guān)動(dòng)作:丟棄瘫筐,放行,修改

沒(méi)有匹配規(guī)則策肝,則使用默認(rèn)動(dòng)作(每個(gè)檢查點(diǎn)都有默認(rèn)動(dòng)作)

通過(guò)命令 iptables -t filter -A INPUT -s 192.168.1.1 -j DROP
                    表           鏈           匹配屬性    動(dòng)作

表:規(guī)定使用的表(filter nat mangle 不同表有不同功能)
鏈:規(guī)定過(guò)濾點(diǎn) INPUT FORWARD  OUTPUT PREROUTING POSTROUTING
匹配屬性:規(guī)定匹配數(shù)據(jù)包的特征 
匹配后的動(dòng)作:放行 丟棄 記錄  ACCEPT DROP REJECT

第二節(jié)

基礎(chǔ)配置

表:規(guī)定使用的表
    filter 
    nat 
    mangle

鏈:規(guī)定過(guò)濾點(diǎn) 
    INPUT 
    FORWARD  
    OUTPUT 
    PREROUTING 
    POSTROUTING
匹配屬性:
    規(guī)定匹配數(shù)據(jù)包的特征
    源,目標(biāo)地址 之众,協(xié)議(TCP UDP ICMP )
    端口號(hào)
    接口
    TCP狀態(tài)

匹配后的動(dòng)作:
    放行  ACCEPT
    丟棄  DROP
    記錄    REJECT (返回信息)

命令操作(臨時(shí)生效)

iptables status 查看默認(rèn)狀態(tài)

列出現(xiàn)有所有規(guī)則
    iptables -L 

插入一個(gè)規(guī)則
    iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT 
    插入到規(guī)則第3條 所有端口22的TCP數(shù)據(jù)全部允許進(jìn)入

刪除一個(gè)iptables規(guī)則
    iptables -D INPUT 3 
    iptables -D INPUT -s 192.168.1.2 -j DROP

刪除所有規(guī)則
    iptables -F

參數(shù)匹配

基于IP地址
    -s 192.168.1.1      源地址
    -d 10.0.0.0/8       目標(biāo)地址

基于接口
    -i eth0     接收流量
    -o eth1     發(fā)出流量

排除參數(shù)
    -s '!' 192.168.1.0/24   !為取反操作

基于協(xié)議及端口
    -p tcp --dport 23
    -p udp --sport 23
    -l icmp

例:

檢測(cè)到來(lái)自192.168.1.100攻擊  屏蔽所有這個(gè)IP的流量
iptables -A INPUT -s 192.168.1.100 -j DROP  

屏蔽所有訪(fǎng)問(wèn)80網(wǎng)頁(yè)服務(wù)的流量
iptables -A INPUT -s tcp --dport 80 -j DROP

屏蔽所有192.168.1.0到服務(wù)器的22端口ssh流量
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j DROP

iptables -A INPUT -i eth0 -j ACCEPT

FORWARD 路由設(shè)備使用

FORWARD 對(duì)所有數(shù)據(jù)轉(zhuǎn)發(fā)控制
如:禁止所有 從192.168.1.0/24 到目標(biāo)10.1.1.0/24 的流量
iptables -A FORWARD -s 192.168.1.0/24 -d 10.1.1.0/24 -j DROP

NAT

NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是用來(lái)對(duì)數(shù)據(jù)包的IP地址進(jìn)行修改的機(jī)制缀蹄,NAT分為兩種

    SNAT    源地址轉(zhuǎn)換 常用偽裝內(nèi)部地址
    DNAT    目標(biāo)地址轉(zhuǎn)換 通常用于跳轉(zhuǎn)

iptables 中實(shí)現(xiàn)的 NAT 功能是NAT 表 

常用NAT

通過(guò)NAT 進(jìn)行跳轉(zhuǎn) 轉(zhuǎn)發(fā)到192.168.1.10
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.10
    DNAT 只能用在PREROUTING上

通過(guò)NAT 進(jìn)行出向數(shù)據(jù)跳轉(zhuǎn)
    iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.1.100:8080

通過(guò)NAT對(duì)數(shù)據(jù)偽裝 一般意義的NAT 將內(nèi)部地址全部偽裝為一個(gè)外部公網(wǎng)IP
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    所有內(nèi)網(wǎng)地址偽裝成eth0個(gè)公網(wǎng)IP地址

通過(guò)NAT隱藏IP
    iptables -t nat -A POSTROUTING  -j SNAT --to-source 1.2.3.4

保存配置文件

通過(guò)iptables修改需要寫(xiě)入/etc/sysconfig/iptables配置文件

可以通過(guò)命令將iptables規(guī)則寫(xiě)入配置文件 保存后會(huì)覆蓋
    service iptables save

注意

遠(yuǎn)程管理 修改iptables 
需要允許來(lái)自客戶(hù)端主機(jī)的SSH流量確保是第一條iptable規(guī)則
以免失誤將自己鎖在外面
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末袍患,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子诡延,更是在濱河造成了極大的恐慌滞欠,老刑警劉巖肆良,帶你破解...
    沈念sama閱讀 216,470評(píng)論 6 501
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異夭谤,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)朗儒,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,393評(píng)論 3 392
  • 文/潘曉璐 我一進(jìn)店門(mén)参淹,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人浙值,你說(shuō)我怎么就攤上這事恳不】牛” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 162,577評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵卵惦,是天一觀(guān)的道長(zhǎng)。 經(jīng)常有香客問(wèn)我鸵荠,道長(zhǎng),這世上最難降的妖魔是什么蛹找? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,176評(píng)論 1 292
  • 正文 為了忘掉前任,我火速辦了婚禮庸疾,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘当编。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,189評(píng)論 6 388
  • 文/花漫 我一把揭開(kāi)白布臊泌。 她就那樣靜靜地躺著揍拆,像睡著了一般。 火紅的嫁衣襯著肌膚如雪嫂拴。 梳的紋絲不亂的頭發(fā)上,一...
    開(kāi)封第一講書(shū)人閱讀 51,155評(píng)論 1 299
  • 那天筒狠,我揣著相機(jī)與錄音,去河邊找鬼辩恼。 笑死雇庙,一個(gè)胖子當(dāng)著我的面吹牛状共,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播谁帕,決...
    沈念sama閱讀 40,041評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼匈挖,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了康愤?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 38,903評(píng)論 0 274
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤择膝,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后肴捉,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,319評(píng)論 1 310
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡齿穗,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,539評(píng)論 2 332
  • 正文 我和宋清朗相戀三年饺律,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,703評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡乒省,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出畦木,到底是詐尸還是另有隱情,我是刑警寧澤馋劈,帶...
    沈念sama閱讀 35,417評(píng)論 5 343
  • 正文 年R本政府宣布,位于F島的核電站妓雾,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏械姻。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,013評(píng)論 3 325
  • 文/蒙蒙 一楷拳、第九天 我趴在偏房一處隱蔽的房頂上張望绣夺。 院中可真熱鬧陶耍,春花似錦、人聲如沸她混。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,664評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至臭脓,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間来累,已是汗流浹背砚作。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 32,818評(píng)論 1 269
  • 我被黑心中介騙來(lái)泰國(guó)打工嘹锁, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人兼耀。 一個(gè)月前我還...
    沈念sama閱讀 47,711評(píng)論 2 368
  • 正文 我出身青樓求冷,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親匠题。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,601評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容