一 iptables防火墙基础介绍
1.防火墙概述
概念: 防火墙将不安全的网络流量信息进行隔离 实现: 硬件(思科 华为) 软件(iptable firewalld)
2.基础工作原理:
1.防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
2. 如果匹配上规则,即明确表示是阻止还是通过,数据包就不再向下匹配新的规则。
3. 如果规则中没有明确表明是阻止还是通过的,也就是没有匹配规则,向下进行匹配,直到匹配默认规
则得到明确的阻止还是通过。
4. 防火墙的默认规则是所有规则执行完才执行的。
基础原理图:
3.iptables表和链关系
规则(rules):网络管理员预定义的条件 链(chains): 是数据包传播的路径 四表: filter表 —过滤数据包 Nat表 —实现访问映射/流量转发 实现内网访问外网/外网访问映射到指定内网主机 Mangle表 —流量数据包进行标记 Raw表 —决定数据包是否被状态跟踪机制处理(取消标记) 五链: INPUT链 —流量在进入时进行访问控制 OUTPUT链 —流量在出去是进行访问控制 FORWARD链 —流量是否可以经过防火墙 PREROUTING链 —对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理) POSTROUTING链 —对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理) 注意: iptables是按照顺序读取规则(从上到下)
4.iptables数据包过滤匹配过程:
二 iptables防火墙基础配置
1.iptables命令格式
iptables [-t 表] -命令 匹配 操作 (大小写敏感) 动作选项 ACCEPT 接收数据包 DROP 丢弃数据包 REDIRECT 将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务 SNAT 源地址转换 DNAT 目的地址转换 MASQUERADE IP伪装 LOG 日志功能
2.定义规则
①先拒绝所有的数据包,然后再允许需要的数据包
iptalbes -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
②查看nat表所有链的规则列表
iptables -t nat -L
③查看一些默认iptables配置策略
iptables -nL
④增加,插入,删除和替换规则
iptables [-t 表名] <-A|I|D|R> 链名 [规则编号] [-i|o 网卡名称] [-p 协议类型] [-s 源ip|源子网] [--sport 源端口号] [-d 目的IP|目标子网] [--dport 目标端口号] [-j 动作]
参数:-A 增加
-I 插入
-D 删除
-R 替换
3.iptable初始化操作: 清除操作
iptables -F 清除预设表filter中的所有规则链的规则 iptables -X 清除预设表filter中使用者自定链中的规则 iptables -Z 把 chain 或者所有 chain(当未指定 chain 名称时)的包及字节的计数器清空。
三 配置例子
①禁止IP为192.168.1.5的主机从eth0访问本机 iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP ②禁止子网192.168.5.0访问web服务 iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp --dport 80 -j DROP ③禁止IP为192.168.7.9访问FTP服务 iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp --dport ftp -j DROP ④查看filter表中INPUT链的规则 iptables -t filter -L INPUT ⑤删除nat表中的所有规则 iptables -t nat -F ⑥禁止访问www.alittletiger.com网站 iptables -I FORWARD -d www.alittletiger.com -j DROP ⑦禁止192.168.5.23上网 iptables -I FORWARD -s 192.168.5.23 -j DROP
