IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> iptables防火墙 -> 正文阅读

[系统运维]iptables防火墙

iptables防火墙

防火墙概述:什么是防火墙?

防火墙是一道保护性的安全屏障。做到保护,隔离的作用

RHEL7默认使用的是firewalld作为防火墙,但firewalld底层还是调用iptables防火墙

iptables防火墙软件包名:iptables-services firewalld软件包名:firewalld-services

iptables的表链结构

在这里插入图片描述

iptables防火墙具有4表5链,4表分别是filter表、nat表、raw表、mangle表,5链分别是INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链。防火墙规则要求写在特定表的特定链中

iptables基本管理

1,关闭firewalld服务器

  1. [root@proxy ~]systemctl stop firewalld.service 
    [root@proxy ~]systemctl disable firewalld.service
    
iptables框架(四表五链)

nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)

iptables的5个链(区分大小写):

INPUT链(入站规则)

OUTPUT链(出站规则)

FORWARD链(转发规则)

PREROUTING链(路由前规则)

POSTROUTING链(路由后规则)

iptables命令的基本用法
iptabels语法格式
[root@proxy ~]# iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]
[root@proxy ~]# iptables  -t  filter  -I  INPUT -p  icmp  -j  REJECT
[root@proxy ~]# iptables -F    #清空所有规则
[root@proxy ~]# iptables -t filter -I  INPUT   -p  icmp  -j  ACCEPT
[root@proxy ~]# iptables  -I  INPUT  -p  icmp  -j  REJECT
注意事项与规律:
  1. 可以不指定表,默认为filter表
  2. 可以不指定链,默认为对应表的所有链
  3. 按顺序匹配,匹配即停止,如果没有找到匹配条件,则执行防火墙默认规则
  4. 选项/链名/目标操作用大写字母,其余都小写
    目标操作:
  5. ACCEPT:允许通过/放行
  6. DROP:直接丢弃,不给出任何回应
  7. REJECT:拒绝通过,必要时会给出提示
  8. LOG:记录日志,然后传给下一条规则
iptables常用选项

在这里插入图片描述

iptables命令的使用案例

创建规则
[root@proxy ~]# iptables -F           #清空所有规则
[root@proxy ~]# iptables  -t  filter  -A  INPUT  -p tcp  -j  ACCEPT
#追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机
[root@proxy ~]# iptables  -I  INPUT  -p  udp  -j  ACCEPT
#插入规则至filter表中的INPUT链的开头,允许任何人使用UDP协议访问本机
[root@proxy ~]# iptables  -I  INPUT 2  -p  icmp  -j  ACCEPT
#插入规则至filter表中的INPUT链的第2行,允许任何人使用ICMP协议访问本机
查看iptables防火墙规则
[root@proxy ~]# iptables  -nL  INPUT                    #仅查看INPUT链的规则
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
[root@proxy ~]# iptables  -L  INPUT  --line-numbers        #查看规则,显示行号
num  target     prot opt source         destination
1    ACCEPT     udp   --  anywhere     anywhere
2    ACCEPT     icmp --   anywhere     anywhere
3    ACCEPT     tcp  --   anywhere     anywhere
删除规则,清空所有规则
[root@proxy ~]# iptables  -D  INPUT  3
#删除filter表中INPUT链的第3条规则
[root@proxy ~]# iptables  -nL  INPUT                #查看规则,确认是否删除
[root@proxy ~]# iptables  -F
#清空filter表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  nat  -F
#清空nat表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  mangle  -F
#清空mangle表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  raw  -F
#清空raw表中所有链的防火墙规则
设置防火墙默认规则
[root@proxy ~]# iptables  -t  filter  -P  INPUT  DROP     #设置INPUT链默认规则为DROP
[root@proxy ~]# iptables  -nL
Chain INPUT (policy DROP)
… …
[root@proxy ~]# iptables  -t  filter  -P  INPUT  ACCEPT     #设置INPUT链默认规则为ACCEPT

filter过滤和转发控制

创建常用主机防火墙规则以及网络防火墙规则
  1. 针对Linux主机进行出站、入站控制
  2. 利用ip_forward机制实现Linux路由/网关功能
  3. 在Linux网关上实现数据包转发访问控制
防火墙分类

根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙,如图-2所示。

主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。

网络防火墙,主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等。

iptables防火墙规则的条件

在这里插入图片描述

主机型防火墙案例

在这里插入图片描述

[root@proxy ~]# iptables -I INPUT -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -s 192.168.2.100 -j REJECT
[root@proxy ~]# iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
[root@proxy ~]# iptables  -A  INPUT -s  192.168.2.0/24  -j  DROP
#丢弃192.168.2.0/24网络中所有主机发送给本机的所有数据包
[root@proxy ~]# iptables -A  INPUT -s  114.212.33.12  -p tcp --dport 22 -j  REJECT
#拒绝114.212.33.12使用tcp协议远程连接本机ssh(22端口)

网络型防火墙案例

部署如表-3所示的网络拓扑,一定要把proxy主机的路由转发功能打开。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-464KS6SE-1627044169959)(/root/图片/table003.png)]

1 client主机配置IP、添加网关(网卡名称仅供参考,不能照抄)

注意:如果client主机有2网段IP的网卡,必须要关闭该网卡

[root@client ~]# nmcli connection modify eth0 ipv4.method manual \
ipv4.addresses 192.168.4.10/24 autoconnect yes
[root@client ~]# nmcli connection modify eth0 ipv4.gateway 192.168.4.5
[root@client ~]# nmcli connection up eth0
[root@client ~]# iptables -F

2 proxy主机配置IP、添加网关、开启路由转发(网卡名称仅供参考,不能照抄)

 [root@proxy ~]# nmcli connection modify eth0 ipv4.method manual \
ipv4.addresses 192.168.4.5/24 autoconnect yes
[root@proxy ~]# nmcli connection up eth0
[root@proxy ~]# nmcli connection modify eth1 ipv4.method manual \
ipv4.addresses 192.168.2.5/24 autoconnect yes
[root@proxy ~]# nmcli connection up eth1
[root@proxy ~]# iptables -F

Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能。

[root@proxy ~]# echo 0 > /proc/sys/net/ipv4/ip_forward            #关闭路由转发
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            #开启路由转发
#注意以上操作仅当前有效,计算机重启后无效
[root@proxy ~]# echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
#修改/etc/sysctl.conf配置文件,可以实现永久有效规则

3 web1主机配置IP、添加网关(网卡名称仅供参考,不能照抄)

注意:如果web1主机有4网段IP的网卡,必须要关闭该网卡

[root@web1 ~]# nmcli connection modify eth0 ipv4.method manual \
ipv4.addresses 192.168.2.100/24 autoconnect yes
[root@web1 ~]# nmcli connection modify eth0 ipv4.gateway 192.168.2.5
[root@web1 ~]# nmcli connection up eth0

4 确认不同网络的联通性

[root@client ~]# ping 192.168.2.100
[root@web1 ~]# ping 192.168.4.10

5 在web1主机上启动http服务

[root@web1 ~]# yum -y install httpd
[root@web1 ~]# echo "test page" > /var/www/html/index.html
[root@web1 ~]# systemctl restart httpd

没有防火墙的情况下client访问web服务

[root@client ~]# curl http://192.168.2.100                    #成功

设置proxy主机的防火墙规则,保护防火墙后面的Web服务器

[root@proxy ~]# iptables -I FORWARD -s 192.168.4.10 -p tcp --dport 80 -j DROP

设置完防火墙规则后,再次使用client客户端访问测试效果

[root@client ~]# curl http://192.168.2.100                    #失败

禁ping的相关策略

1 默认直接禁ping的问题?

[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
#设置完上面的规则后,其他主机确实无法ping本机,但本机也无法ping其他主机
#当本机ping其他主机,其他主机回应也是使用icmp,对方的回应被丢弃

2 禁止其他主机ping本机,允许本机ping其他主机

[root@proxy ~]# iptables  -A  INPUT  -p icmp  \
 --icmp-type echo-request  -j  DROP
#仅禁止入站的ping请求,不拒绝入站的ping回应包

防火墙扩展规则

要求熟悉使用iptables的扩展规则,实现更丰富的过滤功能,完成以下任务:

  1. 根据MAC地址封锁主机

  2. 在一条规则中开放多个TCP服务

  3. 根据IP范围设置封锁规则

iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:

iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作

根据MAC地址过滤

根据IP过滤的规则,当对方修改IP后,防火墙会失效

[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -s 192.168.4.10 -p tcp --dport 22 -j DROP
#设置规则禁止192.168.4.10使用ssh远程本机

但是,当client主机修改IP地址后,该规则就会失效,注意因为修改了IP,对client主机的远程连接会断开。 根据MAC地址过滤,可以防止这种情况的发生。

[root@client ~]# ip link show eth0                    #查看client的MAC地址
eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000
link/ether 52:54:00:00:00:0b brd ff:ff:ff:ff:ff:ff
[root@proxy ~]# iptables  -A  INPUT  -p tcp --dport 22\
 -m   mac --mac-source  52:54:00:00:00:0b  -j  DROP
#拒绝52:54:00:00:00:0b这台主机远程本机

基于多端口设置过滤规则

一次需要过滤或放行很多端口时会比较方便

[root@proxy ~]# iptables  -A  INPUT  -p tcp   \
 -m  multiport --dports  20,25,80,110,143,16501:16800  -j  ACCEPT
#一次性开启20,25,80,110,143,16501到16800所有的端口

提示,多端口还可以限制多个源端口,但因为源端口不固定,一般不会使用,限制多个源端口的参数是–sports.

根据IP地址范围设置规则

允许从 192.168.4.10-192.168.4.20 主机ssh远程登录本机

[root@proxy ~]# iptables  -A  INPUT  -p tcp  --dport  22  \
 -m  iprange  --src-range  192.168.4.10-192.168.4.20   -j  ACCEPT

注意,这里也可以限制多个目标IP的范围,参数是–dst-range,用法与–src-range一致。

禁止从 192.168.4.0/24 网段其他的主机ssh远程登录本机

[root@proxy ~]# iptables -A INPUT -p tcp --dport 22  -s 192.168.4.0/24  -j  DROP

配置SNAT实现共享上网

本案例要求设置防火墙规则,允许位于局域网中的主机可以访问外网,主要包括下列服务:

  1. 搭建内外网案例环境
  2. 配置SNAT策略实现共享上网访问

搭建内外网案例环境

在这里插入图片描述

这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。

现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.10在访问网页。

我们需要实现的效果是,client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。

设置防火墙规则,实现IP地址的伪装(SNAT源地址转换)

确保proxy主机开启了路由转发功能
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward            #开启路由转发
设置防火墙规则,实现SNAT地址转换
[root@proxy ~]# iptables  -t  nat  -A POSTROUTING \
 -s  192.168.4.0/24 -p tcp --dport 80  -j SNAT  --to-source 192.168.2.5
登陆web主机查看日志
[root@web1 ~]# tail  /var/log/httpd/access_log
.. ..
192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器!

扩展知识,对于proxy外网IP不固定的情况可以执行下面的地址伪装,动态伪装IP。
[root@proxy ~]# iptables  -t  nat  -A POSTROUTING \
 -s  192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE

最后,所有iptables规则都是临时规则,如果需要永久保留规则需要执行如下命令:

安装iptables-services并启动服务,保存防火墙规则。

[root@proxy ~]# yum -y install iptables-services
[root@proxy ~]# systemctl start iptables.service
[root@proxy ~]# systemctl enable iptables.service
[root@proxy ~]# iptables -F
[root@proxy ~]# service  iptables save           #保存防火墙规则

思维导图:

在这里插入图片描述

重点:

语法格式: iptables -t 表明 选项 链名 条件 -j 目标操作

ACCEPT: 允许放行

DROP : 丢弃,不给提示

REJECT: 拒绝通过,必要会给提示

LOG: 记录日志,然后传给下一条规则

iptables -F 清空所有规则。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2021-07-24 11:53:55  更:2021-07-24 11:56:03 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 16:23:27-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码