Shell iptales防火墙设置的方法步骤
作者:陈晨尘(NaSa)
一.Linux 防火墙
1.Linux包过滤防火墙概述
- Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成
- 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上
netfilter/iptables 关系
- netfiter: 属于“内核态” (Kernel Space,又称为内核空间)的防火墙功能体系
- 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了 raw、mangle、 nat 和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。
2.四表五链
- 规则表的作用:容纳各种规则链
- 规则链的作用:容纳各种防火墙规则
- 表里有链,链里有规则
四表
- raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING
- mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTEPUT、FORWARD、PREROUTING、POSTROUTING
- nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、REROUTING、POSTROUTING
- filter表:负责过滤数据包,确定是否放行该数据包 (过滤)。包含三个规则链,INPUT、FORMARD、OUTPUT。
在 iptables 的四个规则表中,mangle 表和 raw 表的应用相对较少。
五链
- INPUT:处理入站数据包,匹配目标IP为本机的数据包
- OUTPUT:处理出数据包,一般不在此链上做配置
- FORWARD:处理转发数据包,匹配流经本机机的数据包
- PREROUTING:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上
- POSTROUTING:在进行路出选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路出器NAT转换功能实现内网主机通过一个公网IP地址上网
数据包到达防火墙时,规则表之间的优先顺序:
raw > mangle > nat > filter
3.规则链之间的匹配顺序
主机型防火墙
入站数据(来自外界的数据包,且目标地址是防火墙本机):
PREROUTING --> INPUT --> 本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):
本机的应用程序 --> OUTPUT --> POSTROUTING
网络型防火墙
转发数据(需要经过防火墙转发的数据包) :
PREROUTING --> FORWARD -->POSTROUTING
4.规则链内的匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停上 (LOG策略例外,表示记求相关日志)
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
二.编写防火墙规则
1.iptables防火墙的配置方法
- 使用iptables 命令行
- 使用system-config-firewal1
iptables 命令行配置方法:
ptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
注意事项
- 不指定表名时,欺认指flter表
- 不指定链名时,默认指表内的所有链
- 除非设置链的默认策略,否则必须指定匹配条件
- 控制类型使用人写字母,其余均为小写
常用的控制类型
常用管理选项
2.规则的匹配
通用匹配:可以直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。
- 协议匹配: -p 协议名
- 地址匹配:-s 源地址,-d 目的地址 //可以是ip,网段,域名,空(任何地址)
- 接口匹配:-i 入站网卡, -o 出站网卡
命令格式
iptables -A FORWARD ! -p icmp -j ACCEPT iptables -A INPUT -s 192.168.80.11 -j DROP iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
隐含匹配
要求以特定的协议匹配作为前提,包括端口,tcp标记,icmp类型等条件
端口匹配: --sport 源端口 , --dport 目的端口
命令格式
--sport 1000 //匹配源端口是1000的数据包 --sport 1000:3000 //匹配源端口是1000-3000的数据包 --sport :3000 //匹配源端口是3000及以下的数据包 --sport 1000: //匹配源端口是1000及以上的数据包
注意: --sport 和 --dport 必须配合 -p<协议类型> 使用
到此这篇关于Shell iptales防火墙设置的方法步骤的文章就介绍到这了,更多相关Shell iptales防火墙设置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!