Linux防火墙 配置文件 iptables详解
Linux命令高级技巧使用iptables命令进行防火墙配置
Linux命令高级技巧使用iptables命令进行防火墙配置Linux系统中,iptables是一个非常常用的命令,用于配置Linux操作系统的防火墙规则。
掌握iptables的高级技巧,可以帮助我们更好地保护系统安全和网络通信。
本文将介绍使用iptables命令进行防火墙配置的一些高级技巧,以帮助读者更好地理解和运用这个强大的工具。
一、什么是iptables命令iptables是一个在Linux内核中实现的防火墙工具,用于管理网络通信规则。
它允许我们定义输入、输出和转发数据包的规则,从而控制网络流量。
使用iptables命令,我们可以过滤和转发数据包,以及进行网络地址转换和端口转发等操作。
二、iptables配置文件在开始使用iptables命令之前,了解iptables的配置文件将有助于更好地理解和调整防火墙规则。
iptables的配置文件位于"/etc/sysconfig/iptables"路径下,可以使用文本编辑器打开进行编辑。
三、基本的iptables规则1. 允许特定IP地址访问若想允许特定IP地址访问服务器的某个端口,可以使用如下命令:```iptables -A INPUT -p tcp -s IP地址 --dport 端口号 -j ACCEPT```例如,若要允许IP地址为192.168.1.100的主机访问SSH端口(22),可以使用以下命令:```iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT```2. 允许特定IP地址范围访问如果要允许一个IP地址范围访问特定端口,可以通过指定源IP范围来实现。
例如,要允许192.168.1.0/24子网段中的主机访问SSH端口,可以执行如下命令:```iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT```此规则将允许192.168.1.0/24网段中的所有主机访问SSH端口。
linux防火墙规则路径
linux防火墙规则路径Linux防火墙规则路径一、概述Linux防火墙是保护计算机网络安全的重要组成部分,它可以通过配置防火墙规则来限制网络流量的进出,从而提高网络的安全性。
本文将介绍Linux防火墙规则的路径以及相关的配置方法。
二、防火墙规则路径Linux防火墙规则的路径通常位于/etc目录下的iptables或firewalld文件夹中,具体取决于使用的防火墙工具。
1. iptables工具Iptables是Linux上最常用的防火墙工具之一,其规则路径为/etc/sysconfig/iptables。
在该文件中,可以配置入站和出站规则,以及网络地址转换(NAT)规则等。
可以使用文本编辑器(如vi或nano)打开该文件进行配置。
2. firewalld工具Firewalld是CentOS 7及以上版本中默认的防火墙管理工具,其规则路径为/etc/firewalld。
在该文件夹中,有多个配置文件,如zones和services等。
zones文件夹中存放了不同区域(zone)的防火墙规则,而services文件夹中存放了各个服务的规则。
可以使用firewall-cmd命令或文本编辑器修改这些配置文件。
三、防火墙规则配置方法Linux防火墙规则的配置方法取决于所使用的防火墙工具。
1. iptables工具配置方法要配置iptables工具的防火墙规则,可以按照以下步骤进行操作:a. 打开终端窗口,使用root用户登录。
b. 进入/etc/sysconfig/iptables目录。
c. 使用文本编辑器打开iptables文件。
d. 在文件中添加所需的规则,如设置允许或禁止特定端口或IP地址等。
e. 保存文件并退出编辑器。
f. 重启iptables服务使配置生效。
2. firewalld工具配置方法要配置firewalld工具的防火墙规则,可以按照以下步骤进行操作:a. 打开终端窗口,使用root用户登录。
linux中iptables配置文件及命令详解详解
linux中iptables配置⽂件及命令详解详解iptables配置⽂件直接改iptables配置就可以了:vim /etc/sysconfig/iptables。
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端⼝开放。
下⾯是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再⽤命令 iptables -L -n 查看是否设置好,好看到全部 DROP 了这样的设置好了,我们只是临时的,重启服务器还是会恢复原来没有设置的状态还要使⽤ service iptables save 进⾏保存看到信息 firewall rules 防⽕墙的规则其实就是保存在 /etc/sysconfig/iptables可以打开⽂件查看 vi /etc/sysconfig/iptables2、下⾯我只打开22端⼝,看我是如何操作的,就是下⾯2个语句(⼀下为命令⾏模式)iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -p tcp --sport 22 -j ACCEPT再查看下 iptables -L -n 是否添加上去, 看到添加了Chain INPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22Chain FORWARD (policy DROP)target prot opt source destinationChain OUTPUT (policy DROP)target prot opt source destinationACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22现在Linux服务器只打开了22端⼝,⽤putty.exe测试⼀下是否可以链接上去。
Linux命令高级技巧使用iptables配置防火墙规则
Linux命令高级技巧使用iptables配置防火墙规则iptables是Linux系统上一款用于配置网络防火墙的工具。
通过使用iptables,可以实现对传入和传出网络数据包的过滤和转发,以保护服务器和网络的安全。
本文将介绍一些使用iptables配置防火墙规则的高级技巧。
一、iptables概述iptables是Linux系统上的一个基于内核模块netfilter的防火墙软件。
通过对数据包进行过滤和转发,可以实现网络安全的保护。
其主要功能包括:过滤、NAT和转发。
二、iptables基本命令1. 查看当前iptables规则iptables -L2. 清除当前iptables规则iptables -F3. 允许来自指定IP的数据包通过iptables -A INPUT -s 192.168.1.100 -j ACCEPT4. 阻止来自指定IP的数据包通过iptables -A INPUT -s 192.168.1.100 -j DROP5. 允许某一特定端口的数据包通过iptables -A INPUT -p tcp --dport 80 -j ACCEPT6. 允许所有已建立的连接通过iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT7. 阻止所有其他数据包通过iptables -A INPUT -j DROP三、iptables高级技巧1. 使用iptables实现端口转发在实际应用中,经常需要将某一端口的访问请求转发到另一台服务器上。
通过iptables可以轻松实现该功能。
例如,将来自本地端口8080的访问请求转发到内网服务器192.168.1.100的80端口:iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:802. 使用iptables实现负载均衡通过使用iptables和SNAT,可以实现对多台服务器的负载均衡。
Linux命令高级技巧使用iptables和ipset进行高级网络防火墙配置
Linux命令高级技巧使用iptables和ipset进行高级网络防火墙配置在网络安全领域,配置高级网络防火墙是至关重要的。
Linux操作系统提供了一些强大的工具来实现这一目的,其中最常用的是iptables和ipset。
本文将介绍如何使用这两个工具来进行高级网络防火墙配置。
一、iptables简介iptables是一个功能强大的Linux防火墙工具,它允许管理员配置、管理和维护网络安全规则集。
iptables使用内核的netfilter框架来实现数据包过滤和转发。
它可以根据网络协议、源IP地址、目标IP地址、端口号等多个条件来过滤和控制数据包的流动。
下面是一些常用的iptables命令及其功能:1. iptables -A chain -p protocol --source address --destination address --dport port -j action:添加规则到指定链,根据指定条件决定数据包的操作(动作)。
2. iptables -D chain rule-number:从指定链中删除指定规则。
3. iptables -L:列出当前的防火墙规则集。
4. iptables -F chain:清空指定链中的所有规则。
5. iptables -P chain target:设置指定链的默认策略。
二、ipset简介ipset是一个用于管理大规模IP地址和端口的工具,它可以与iptables一起使用,提高防火墙规则的效率和性能。
ipset通过将IP地址和端口号存储在内存中的数据结构中,可以更快地匹配和过滤数据包。
ipset的一些常用命令如下:1. ipset create setname type:创建一个新的ipset。
2. ipset add setname entry:将条目添加到指定的ipset中。
3. ipset del setname entry:从指定的ipset中删除条目。
Linux防火墙--iptables--白名单配置
Linux防⽕墙--iptables--⽩名单配置1.服务器22端⼝和1521端⼝开通给指定IP[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHEDACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0ACCEPT all -- 0.0.0.0/0 0.0.0.0/0ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited[root@node2 sysconfig]# iptables -F[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destination[root@node2 sysconfig]# iptables -I INPUT -s 192.168.222.1 -p tcp -m tcp --dport 22 -j ACCEPT[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:22[root@node2 sysconfig]# iptables -A INPUT -j REJECT[root@node2 sysconfig]# iptables -I INPUT -s 192.168.222.1 -p tcp -m tcp --dport 1521 -j ACCEPT[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:1521ACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:22REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable[root@node2 sysconfig]# service iptables saveiptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ][root@node2 sysconfig]# service iptables restartiptables: Setting chains to policy ACCEPT: filter [ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: [ OK ]iptables: Applying firewall rules: [ OK ][root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:1521ACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:22REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable[root@node2 sysconfig]# iptables -t filter -nL INPUT --line-numbersChain INPUT (policy ACCEPT)num target prot opt source destination1 ACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:15212 ACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:223 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable[root@node2 sysconfig]# iptables -t filter -D INPUT 1[root@node2 sysconfig]# iptables -t filter -nL INPUT --line-numbersChain INPUT (policy ACCEPT)num target prot opt source destination1 ACCEPT tcp -- 192.168.222.1 0.0.0.0/0 tcp dpt:222 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable2.注意:每次最后需要添加iptables -I INPUT -i lo -j ACCEPTiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT3.插⼊到那⼀⾏先查看当前的⾏,iptables -nL --line-numbers插⼊到指定的⾏[root@node2 sysconfig]# iptables -I INPUT ⾏号 -s 192.168.222.1 -p tcp -m tcp --dport 1521 -j ACCEPT 4.针对某个端⼝设置⽩名单机制[root@node2 ~]# iptables -F[root@node2 ~]# iptables -I INPUT -p tcp --dport 1521 -j DROP[root@node2 ~]#[root@node2 ~]# telnet 192.168.222.11 1521Trying 192.168.222.11...^C[root@node2 ~]# iptables -I INPUT -s 192.168.222.11 -p tcp --dport 1521 -j ACCEPT[root@node2 ~]# telnet 192.168.222.11 1521Trying 192.168.222.11...Connected to 192.168.222.11.Escape character is '^]'.。
Linux命令高级技巧使用iptables命令进行网络防火墙配置
Linux命令高级技巧使用iptables命令进行网络防火墙配置随着互联网的迅速发展和大规模应用,网络安全问题也变得愈发重要。
作为保障网络安全的重要手段,网络防火墙在服务器配置中占据了重要的位置。
Linux系统中,我们可以使用iptables命令进行网络防火墙的配置和管理。
一、什么是iptables命令iptables是Linux系统中用于配置和管理网络防火墙的命令行工具。
它的作用是根据预设的规则集来过滤、转发和修改数据包。
通过iptables命令的灵活配置,我们可以实现各种复杂的网络安全策略。
二、iptables命令的基本结构和用法iptables命令的基本结构如下:```shelliptables [-t 表名] 命令 [链名] [规则参数]```其中,-t 表名用于指定具体的表,有filter、nat和mangle三种表,filter表用于数据包过滤,nat表用于网络地址转换,mangle表用于数据包修改。
命令可以为-A(追加规则)、-D(删除规则)、-I(插入规则)、-R(替换规则)等。
链名指定了规则要应用到的具体链,常见的链有INPUT、OUTPUT和FORWARD。
规则参数为具体的规则内容,如源地址、目标地址、端口等。
下面以实际例子来介绍iptables命令的使用。
1. 添加规则要添加一条规则,可以使用-A选项,并指定表名、链名和规则参数。
```shelliptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上添加一条规则,允许来自192.168.1.0/24网段的TCP协议的22端口的数据包通过。
2. 删除规则要删除一条规则,可以使用-D选项,并指定表名、链名和规则参数。
```shelliptables -t filter -D INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT```以上命令表示在filter表的INPUT链上删除一条规则,该规则与添加规则的例子相同。
Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置
Linux命令高级技巧使用iptables和ufw命令进行网络防火墙配置Linux命令高级技巧:使用iptables和ufw命令进行网络防火墙配置在Linux操作系统中,网络防火墙是保护系统网络安全的重要组成部分。
通过合理配置网络防火墙规则,可以控制网络流量的进出,阻挡恶意攻击和未经授权的访问,确保系统的安全性。
本文将介绍Linux 中的两个重要命令iptables和ufw,以及使用它们进行网络防火墙配置的高级技巧。
一、iptables命令iptables是Linux中主要的防火墙工具,可以在内核级别对进出的网络流量进行过滤、转发和NAT(Network Address Translation)等操作。
下面是一些常用的iptables命令及其用法:1. 启用IP转发功能在做网络防火墙配置之前,需要确保系统开启了IP转发功能。
可以使用以下命令启用:```shellsysctl -w net.ipv4.ip_forward=1```此命令将系统的`net.ipv4.ip_forward`参数设置为1,即开启IP转发功能。
2. 基本规则设置使用以下命令创建一条基本的防火墙规则,允许本地主机的所有传入和传出流量:```shelliptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT```这些命令将INPUT、OUTPUT和FORWARD链的默认策略都设置为ACCEPT,即允许全部流量。
3. 添加规则可以使用iptables命令添加特定的防火墙规则,以允许或拒绝特定的流量。
例如,以下命令将允许来自192.168.1.100的主机的SSH连接:```shelliptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT```此命令将在INPUT链中添加一条规则,允许源IP为192.168.1.100,目标端口为22的TCP连接。
Linux命令高级技巧使用iptables命令配置和管理防火墙规则
Linux命令高级技巧使用iptables命令配置和管理防火墙规则Linux系统中有许多命令可以使用,其中iptables命令是用于配置和管理防火墙规则的重要工具。
本文将介绍一些使用iptables命令的高级技巧,帮助读者更好地理解和使用这个命令。
一、iptables命令简介iptables是一个用于IPv4包过滤和控制Linux内核防火墙服务的用户空间工具。
它可以进行网络地址转换(NAT)、数据包过滤、端口重定向等操作,是保护计算机系统免受恶意攻击的重要工具。
二、iptables命令基本语法iptables命令的基本语法如下所示:iptables [选项] [链] [规则规格]其中,选项是可选的,用于指定不同的功能;链用于指定规则要应用的链,例如INPUT、FORWARD、OUTPUT等;规则规格用于指定具体的防火墙规则。
三、iptables命令常用选项1. -A:追加一条规则到某个链的末尾2. -I:向某个链中的指定位置插入一条规则3. -D:从某个链中删除一条规则4. -P:设置某个链的默认策略5. -L:列出某个链中的所有规则6. -F:清除某个链中的所有规则四、iptables命令高级技巧1. 配置端口转发使用iptables命令可以轻松实现端口转发,将外部请求转发到内部服务器。
例如,要将外部的SSH请求转发到内部服务器的SSH端口,可以使用如下命令:iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination 内部服务器IP地址:22这样,外部用户连接到本机的22端口时,请求将被转发至内部服务器的22端口。
2. 过滤IP地址通过iptables命令,可以方便地过滤特定的IP地址或IP地址段。
例如,要拒绝来自某个IP地址的所有请求,可以使用如下命令:iptables -A INPUT -s 某个IP地址 -j DROP这样,来自该IP地址的请求将被直接拒绝。
Linux下防火墙iptables用法规则详及其防火墙配置
Linux下防⽕墙iptables⽤法规则详及其防⽕墙配置转:iptables规则规则--顾名思义就是规矩和原则,和现实⽣活中的事情是⼀样的,国有国法,家有家规,所以要遵纪守法的嘛。
当然在防⽕墙上的规则,在内核看来,规则就是决定如何处理⼀个包的语句。
如果⼀个包符合所有的条件,我们就⽤相应的处理动作来处理。
书写规则的语法格式为:iptables [-t table] command chains [creteria] -j action-t table就是表名,filter/nat/mangle三个表中的⼀个,默认是filter表command告诉程序如何做,⽐如:插⼊⼀个规则,还是删除等chains 链,有五个,PREROUTING POSTROUTING INPUT OUTPUT FORWARDaction 处理动作,有ACCEPT DENY DROP REJECT SNAT DNAT理⼀下思路下⾯⼀点点的说⼀、Tables选项-t⽤来指定⽤哪个表,它可以是下⾯的任何⼀个,默认的是filter表⼆、COMMANDScommand指定iptables对我们提交的规则要做什么样的操作。
这些操作可能是在某个表⾥增加或删除⼀些东西,或其他的动作。
⼀下是iptables可⽤的command(如不做说明,默认表是filter)和命令结合常⽤的选项三、chains简单说⼀下五个链的作⽤:PREROUTING 是在包进⼊防⽕墙之后、路由决策之前做处理POSTROUTING 是在路由决策之后,做处理INPUT 在包被路由到本地之后,但在出去⽤户控件之前做处理OUTPUT在去顶包的⽬的之前做处理FORWARD在最初的路由决策之后,做转发处理四、匹配条件4.1 基本匹配4.2 隐含扩展匹配这种匹配操作是⾃动的或隐含的装⼊内核的。
例如使⽤-p tcp时,不需要再装⼊任何东西就可以匹配只有IP包才有的特点。
隐含匹配针对三种不同的协议,即TCP UDP ICMP。
linux系统防火墙常用命令
linux系统防火墙常用命令Linux系统防火墙常用命令Linux系统中的防火墙是网络安全的重要组成部分,它能够保护计算机免受来自网络的攻击和恶意访问。
为了管理和配置防火墙,我们需要掌握一些常用的命令。
本文将介绍一些常用的Linux防火墙命令,并详细解释它们的用法和作用。
1. iptables命令iptables是Linux系统中最常用的防火墙管理命令。
它可以用于配置防火墙规则、过滤网络数据包和网络地址转换等操作。
下面是一些常用的iptables命令:- iptables -L:列出当前防火墙规则;- iptables -F:清空当前防火墙规则;- iptables -A INPUT -p tcp --dport 22 -j ACCEPT:允许来自任意IP地址的TCP协议、目标端口为22的数据包通过防火墙;- iptables -A INPUT -s 192.168.0.0/24 -j DROP:禁止来自IP 地址段为192.168.0.0/24的数据包通过防火墙。
2. ufw命令ufw是Uncomplicated Firewall的简称,它是基于iptables的防火墙管理工具,提供了更简单的命令和配置方式。
下面是一些常用的ufw命令:- ufw status:显示当前防火墙的状态和规则;- ufw enable:启用防火墙;- ufw disable:禁用防火墙;- ufw allow 22:允许TCP协议、目标端口为22的数据包通过防火墙;- ufw deny from 192.168.0.0/24 to any port 80:禁止来自IP 地址段为192.168.0.0/24、目标端口为80的数据包通过防火墙。
3. firewalld命令firewalld是CentOS 7及以上版本中默认的防火墙管理工具,它支持动态更新防火墙规则,并提供了更灵活的配置选项。
下面是一些常用的firewalld命令:- firewall-cmd --state:显示当前防火墙的状态;- firewall-cmd --get-active-zones:显示当前活动的防火墙区域; - firewall-cmd --zone=public --add-service=http:将http 服务添加到public区域;- firewall-cmd --zone=public --remove-service=http:从public区域移除http服务;- firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" reject':拒绝来自IP地址段为192.168.0.0/24的IPv4数据包。
Linux命令高级技巧使用iptables进行网络防火墙配置
Linux命令高级技巧使用iptables进行网络防火墙配置Linux命令高级技巧:使用iptables进行网络防火墙配置在网络安全领域,配置网络防火墙是一项关键任务。
为了保护网络免受未授权访问和恶意攻击,管理员需要掌握一些高级技巧来使用Linux命令iptables进行网络防火墙配置。
本文将介绍iptables的基本概念和使用方法,并提供一些高级技巧来加强网络防火墙的安全性。
1. iptables简介iptables是Linux系统中一款强大的防火墙工具,它能够根据管理员设定的规则筛选、修改和重定向网络数据。
iptables提供了一套规则集,允许管理员创建自定义的规则来控制数据包的流向和处理方式。
常用的iptables命令包括iptables、iptables-save、iptables-restore和iptables-apply等。
2. 基本用法iptables命令的基本语法如下:```bashiptables [-t 表名] 命令 [链名] [规则选项]```其中,表名可以是filter、nat或mangle,命令可以是-A(追加规则)、-D(删除规则)、-I(插入规则)等,链名可以是INPUT、FORWARD或OUTPUT等,规则选项包括-s(源IP地址)、-d(目标IP地址)、-p(协议类型)和-j(动作)等。
3. 添加规则为了保护网络,我们需要添加一些规则来控制数据包的流向和允许的服务。
例如,我们可以使用以下命令允许SSH连接: ```bashiptables -A INPUT -p tcp --dport 22 -j ACCEPT```上述命令在INPUT链中追加了一条规则,允许TCP协议的22端口的连接请求。
可以根据需要设置源IP地址或目标IP地址等其他规则选项。
4. 删除规则如果某条规则不再需要,可以使用iptables命令删除。
例如,我们可以使用以下命令删除上一节中添加的SSH规则:```bashiptables -D INPUT -p tcp --dport 22 -j ACCEPT```上述命令将从INPUT链中删除匹配的规则。
如何使用iptables命令在Linux中配置防火墙和网络转发
如何使用iptables命令在Linux中配置防火墙和网络转发由于网络安全的重要性日益凸显,配置防火墙和网络转发成为Linux系统管理员必备的技能之一。
在Linux系统中,iptables命令提供了灵活的方式来配置防火墙规则和网络转发设置。
本文将介绍如何使用iptables命令来完成这些任务。
一、什么是iptables命令iptables是Linux操作系统中一个非常强大的防火墙工具,它可以通过管理网络数据包的流动来控制网络访问权限。
iptables命令可以根据预先定义的规则集过滤网络数据包,拒绝无效或危险的连接,从而保护系统的安全性。
二、基本概念与术语在开始使用iptables命令之前,我们需要了解一些基本的概念和术语。
1. 表(Table):iptables命令使用表来组织和管理规则。
常用的表有:filter、nat和mangle等。
2. 链(Chain):每个表都包含多个链,链是规则的组合。
常用的链有:INPUT、FORWARD和OUTPUT等。
3. 规则(Rule):规则是iptables命令的基本单位,它定义了针对网络数据包的动作和匹配条件。
4. 动作(Action):动作定义了对匹配到的数据包的处理方式,常见的动作有:ACCEPT、DROP和REJECT等。
5. 匹配条件(Match):匹配条件定义了规则在应用到数据包时需要满足的条件。
常见的匹配条件有:source、destination和protocol等。
三、配置防火墙规则配置防火墙规则是保护系统安全的第一步。
使用iptables命令可以轻松地添加、修改和删除防火墙规则。
1. 查看当前防火墙规则首先,我们需要查看当前的防火墙规则,可以使用以下命令:```iptables -L```该命令将列出当前的防火墙规则,包括表、链、规则和动作等信息。
2. 添加规则要添加一个防火墙规则,可以使用以下命令:```iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT```该命令将允许来自192.168.0.0/24网段的TCP连接访问本地的SSH 服务。
linux防火墙iptables参数详解
linux防⽕墙iptables参数详解先来看iptables 防⽕墙的⼀些常⽤设置:1. iptables-A INPUT -p tcp -s x.x.x.x/x --dport 22 -j ACCEPT // 允许源地址为x.x.x.x/x的主机通过22(ssh)端⼝.2. iptables -A INPUT -p tcp --dport 80 -j ACCEPT // 允许80(http)端⼝的数据包进⼊3. iptables -A INPUT -p tcp --dport 110 -j ACCEPT // 允许110(pop3)端⼝的数据包进⼊如果不加这规则,就只能通过web页⾯来收信(⽆法⽤OE或Foxmail等来收)4. iptables -A INPUT -p tcp --dport 25 -j ACCEPT // 允许25(smtp)端⼝的数据包进⼊,如果不加这规则,就只能通过web页⾯来发信(⽆法⽤OE或Foxmail等来发)5. iptables -A INPUT -p tcp --dport 21 -j ACCEPT // 允许21(ftp)端⼝的数据包进⼊(传数据)6. iptables -A INPUT -p tcp --dport 20 -j ACCEPT // 允许20(ftp)端⼝的数据包进⼊(执⾏ftp命令,如dir等)7. iptables -A INPUT -p tcp --dport 53 -j ACCEPT // 允许53(dns)端⼝的数据包进⼊(tcp)8. iptables -A INPUT -p udp --dport 53 -j ACCEPT // 允许53(dns)端⼝的数据包进⼊(udp)9. iptables -A INPUT -p icmp -j ACCEPT // 允许ICMP包通过10. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT //利⽤ iptables 对连接状态的⽀持11. iptables -P INPUT DROP//把INPUT链的默认规则设置为DROPIptalbes 防⽕墙主要参数和设置说明:TARGETS防⽕墙的规则指定所检查包的特征,和⽬标。
Linux防火墙配置(iptables,firewalld)
Linux防⽕墙配置(iptables,firewalld)Linux中的防⽕墙RHEL中有⼏种防⽕墙共存:iptablesfirewalldip6tablesebtables这些软件本⾝其实并不具备防⽕墙功能,他们的作⽤都是在⽤户空间中管理和维护规则,只不过规则结构和使⽤⽅法不⼀样罢了,真正利⽤规则进⾏过滤是由内核的netfilter完成的。
扩展:整个linux内部结构可以分为三部分,从最底层到最上层依次是:硬件-->内核空间-->⽤户空间。
CentOS7默认采⽤的是firewalld管理netfilter⼦系统,底层调⽤的仍然是iptables命令。
不同的防⽕墙软件相互间存在冲突,使⽤某个时应禁⽤其他的。
systemctl start/stop/enable/disable/status/is-active xxxx //systemctl服务管理命令Netfilter netfilter是Linux 2.4内核引⼊的全新的包过滤引擎。
由⼀些数据包过滤表组成,这些表包含内核⽤来控制信息包过滤的规则集。
iptables等等都是在⽤户空间修改过滤表规则的便捷⼯具。
netfilter在数据包必须经过且可以读取规则的位置,共设有5个控制关卡。
这5个关卡处的检查规则分别放在5个规则链中(有的叫钩⼦函数(hook functions)。
也就是说5条链对应着数据包传输路径中的5个控制关卡,链中的规则会在对应的关卡检查和处理。
任何⼀个数据包,只要经过本机,必然经过5个链中的某个或某⼏个。
PREROUTING 数据包刚进⼊⽹络接⼝之后,路由之前,INPUT 数据包从内核流⼊⽤户空间。
FORWARD 在内核空间中,从⼀个⽹络接⼝进⼊,到另⼀个⽹络接⼝去。
转发过滤。
OUTPUT 数据包从⽤户空间流出到内核空间。
POSTROUTING 路由后,数据包离开⽹络接⼝前。
链其实就是包含众多规则的检查清单,每⼀条链中包含很多规则。
Linux防火墙iptables命令详解
Linux防⽕墙iptables命令详解iptables -Fiptables -Xiptables -F -t mangleiptables -t mangle -Xiptables -F -t natiptables -t nat -X⾸先,把三个表清空,把⾃建的规则清空。
iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD ACCEPT设定INPUT、OUTPUT的默认策略为DROP,FORWARD为ACCEPT。
iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT先把“回环”打开,以免有不必要的⿇烦。
iptables -A INPUT -i eth+ -p icmp --icmp-type 8 -j ACCEPTiptables -A OUTPUT -o eth+ -p icmp --icmp-type 0 -j ACCEPT在所有⽹卡上打开ping功能,便于维护和检测。
iptables -A INPUT -i eth0 -s 192.168.100.250 -d 192.168.100.1 -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.100.1 -p tcp --sport 22 -j ACCEPT打开22端⼝,允许远程管理。
(设定了很多的附加条件:管理机器IP必须是250,并且必须从eth0⽹卡进⼊)iptables -A INPUT -i eth0 -s 192.168.100.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -d 192.168.100.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPTiptables -A INPUT -i eth1 -s 192.168.168.0/24 -p tcp --dport 3128 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth1 -d 192.168.168.0/24 -p tcp --sport 3128 -m state --state ESTABLISHED -j ACCEPTiptables -A INPUT -i eth2 -p tcp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth2 -p tcp --sport 32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth2 -p udp --dport 53 -j ACCEPTiptables -A INPUT -i eth2 -p udp --sport 53 -j ACCEPT上⾯这⼏句是⽐较头痛的,我做逐⼀解释。
防火墙配置文件iptables详解
防火墙配置文件iptables详解对于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。
因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。
Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。
它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。
本文将简单介绍使用netfilter/iptables实现防火墙架设和Internet连接共享等应用。
netfilter/iptabels应用程序,被认为是Linux中实现包过滤功能的第四代应用程序。
netfilter/iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。
netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。
netfilter/iptables从ipchains和ipwadfm(IP防火墙管理)演化而来,功能更加强大。
下文将netfilter/iptabels统一称为iptables。
可以用iptables为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台。
iptales只读取数据包头,不会给信息流增加负担,也无需进行验证。
要想获得更好的安全性,可以将其和一个代理服务器(比如squid)相结合。
基本概念典型的防火墙设置有两个网卡:一个流入,一个流出。
iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。
通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。
通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
linux下IPTABLES配置详解
linux下IPTABLES配置详解-t<表>:指定要操纵的表;-A:向规则链中添加条⽬;-D:从规则链中删除条⽬;-i:向规则链中插⼊条⽬;-R:替换规则链中的条⽬;-L:显⽰规则链中已有的条⽬;-F:清楚规则链中已有的条⽬;-Z:清空规则链中的数据包计算器和字节计数器;-N:创建新的⽤户⾃定义规则链;-P:定义规则链中的默认⽬标;-h:显⽰帮助信息;-p:指定要匹配的数据包协议类型;-s:指定要匹配的数据包源地址;-j<⽬标>:指定要跳转的⽬标;-i<⽹络接⼝>:指定数据包进⼊本机的⽹络接⼝;-o<⽹络接⼝>:指定数据包要离开本机所使⽤的⽹络接⼝。
iptables命令选项输⼊顺序:iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o ⽹卡名> -p 协议名 <-s 源IP/源⼦⽹> --sport 源端⼝ <-d ⽬标IP/⽬标⼦⽹> --dport ⽬标端⼝ -j 动作表名包括:raw:⾼级功能,如:⽹址过滤。
mangle:数据包修改(QOS),⽤于实现服务质量。
net:地址转换,⽤于⽹关路由器。
filter:包过滤,⽤于防⽕墙规则。
规则链名包括:INPUT链:处理输⼊数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:⽤于⽬标地址转换(DNAT)。
POSTOUTING链:⽤于源地址转换(SNAT)。
动作包括::接收数据包。
DROP:丢弃数据包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:⽬标地址转换。
MASQUERADE:IP伪装(NAT),⽤于ADSL。
LOG:⽇志记录。
实例清除已有iptables规则iptables -Fiptables -Xiptables -Z开放指定的端⼝iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接⼝(即运⾏本机访问本机)iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建⽴的或相关连的通⾏iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端⼝iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端⼝iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许服务的21端⼝iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端⼝iptables -A INPUT -j #禁⽌其他未允许的规则访问iptables -A FORWARD -j REJECT #禁⽌其他未允许的规则访问屏蔽IPiptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是查看已添加的iptables规则iptables -L -n -vChain INPUT (policy DROP 48106 packets, 2690K bytes)pkts bytes target prot opt in out source destination5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:221499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:804364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)pkts bytes target prot opt in out source destination5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0删除已添加的iptables规则将所有iptables以序号标记显⽰,执⾏:iptables -L -n --line-numbers⽐如要删除INPUT⾥序号为8的规则,执⾏:iptables -D INPUT 8我们来配置⼀个filter表的防⽕墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destinationChain RH-Firewall-1-INPUT (0 references)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0.0/0ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHEDACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited可以看出我在安装linux时,选择了有防⽕墙,并且开放了22,80,25端⼝.如果你在安装linux时没有选择启动防⽕墙,是这样的[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么规则都没有.(2)清除原有规则.不管你在安装linux时是否启动了防⽕墙,如果你想配置属于⾃⼰的防⽕墙,那就清除现在filter的所有规则.[root@tp ~]# iptables -F清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X清除预设表filter中使⽤者⾃定链中的规则我们在来看⼀下[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination什么都没有了吧,和我们在安装linux时没有启动防⽕墙是⼀样的.(提前说⼀句,这些配置就像⽤命令配置IP⼀样,重起就会失去作⽤),怎么保存. [root@tp ~]# /etc/rc.d/init.d/iptables save这样就可以写到/etc/sysconfig/iptables⽂件⾥了.写⼊后记得把防⽕墙重起⼀下,才能起作⽤.[root@tp ~]# service iptables restart现在IPTABLES配置表⾥什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则[root@tp ~]# iptables -p INPUT DROP[root@tp ~]# iptables -p OUTPUT ACCEPT[root@tp ~]# iptables -p FORWARD DROP上⾯的意思是,当超出了IPTABLES⾥filter表⾥的两个链规则(INPUT,FORWARD)时,不在这两个规则⾥的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流⼊数据包⽽对于OUTPUT链,也就是流出的包我们不⽤做太多限制,⽽是采取ACCEPT,也就是说,不在着个规则⾥的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采⽤的是允许什么包通过,⽽OUTPUT链采⽤的是不允许什么包通过.这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,⽽且要写的规则就会增加.但如果你只想要有限的⼏个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:如果你是远程SSH登陆的话,当你输⼊第⼀个命令回车的时候就应该掉了.因为你没有设置任何规则.怎么办,去本机操作呗!(4)添加规则.⾸先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采⽤远程SSH登陆,我们要开启22端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这⼀部,好多⼈都是望了写这⼀部规则导致,始终⽆法SSH.在远程⼀下,是不是好了.其他的端⼝也⼀样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加⼀条链:[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)如果做了WEB服务器,开启80端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT如果做了邮件服务器,开启25,110端⼝.[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT如果做了FTP服务器,开启21端⼝[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT如果做了DNS服务器,开启53端⼝[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT如果你还做了其他的服务器,需要开启哪个端⼝,照写就⾏了.上⾯主要写的都是INPUT链,凡是不在上⾯的规则⾥的,都DROP允许icmp包通过,也就是允许ping,[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS⽆法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下⾯写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.减少不安全的端⼝连接[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP有些些特洛伊⽊马会扫描端⼝31337到31340(即⿊客语⾔中的 elite 端⼝)上的服务。
linux下IPTABLES配置详解
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
Chain RH-Firewall-1-INPUT (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
什Hale Waihona Puke 都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存.
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.
注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.
linux关于防火墙的命令
linux关于防火墙的命令Linux防火墙命令详解防火墙是保护计算机和网络免受恶意攻击的重要组成部分。
在Linux系统中,我们可以使用一些命令来配置和管理防火墙。
本文将详细介绍几个常用的Linux防火墙命令,帮助读者更好地理解和使用防火墙。
1. iptables命令iptables命令是Linux系统中最常用的防火墙管理工具之一。
它允许管理员配置和管理数据包过滤规则,以控制网络流量。
以下是一些常用的iptables命令及其功能:(1)iptables -L:列出当前的防火墙规则。
可以使用该命令查看当前生效的规则,以及规则的来源和目的地。
(2)iptables -A INPUT -p tcp --dport 22 -j ACCEPT:允许通过SSH协议访问本地主机的22端口。
可以将此命令中的端口号和协议类型更改为需要允许的端口和协议。
(3)iptables -A INPUT -s 192.168.0.0/24 -j DROP:拒绝来自192.168.0.0/24子网的所有数据包。
可以根据需要更改源IP地址和子网掩码。
(4)iptables -A INPUT -p icmp --icmp-type echo-request -mlimit --limit 1/s -j ACCEPT:限制每秒只允许接收一个ping请求。
可以根据需要调整限制速率。
(5)iptables -P INPUT DROP:将默认的输入策略设置为拒绝。
这将导致防火墙拒绝除了已经明确允许的流量之外的所有流量。
2. ufw命令ufw(Uncomplicated Firewall)是一个简单易用的防火墙管理工具,可以让用户更方便地配置和管理防火墙规则。
以下是一些常用的ufw命令及其功能:(1)ufw enable:启用ufw防火墙。
此命令将激活防火墙并根据默认规则进行配置。
(2)ufw disable:禁用ufw防火墙。
此命令将停止防火墙并允许所有流量通过。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
对于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。
因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。
Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。
它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。
本文将简单介绍使用netfilter/iptables实现防火墙架设和Internet连接共享等应用。
netfilter/iptabels 应用程序,被认为是 Linux中实现包过滤功能的第四代应用程序。
netfilter/iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻 译)和数据包的分割等功能。
netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。
netfilter/iptables 从ipchains和ipwadfm(IP防火墙管理)演化而来,功能更加强大。
下文将netfilter/iptabels统一称为iptables。
可 以用iptables为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台。
iptales只读取 数据包头,不会给信息流增加负担,也无需进行验证。
要想获得更好的安全性,可以将其和一个代理服务器(比如squid)相结合。
基本概念典型的防火墙设置有两个网卡:一个流入,一个流出。
iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。
通 过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。
通过使用iptables系统提 供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
关于添加、去除、编辑规则的命令,一般语法如下:iptables [-t table] command [match] [target]1.表(table)[-t table]选项允许使用标准表之外的任何表。
表是包含仅处理特定类型信息包的规则和链的信息包过滤表。
有三个可用的表选项:filter、nat和 mangle。
该选项不是必需的,如果未指定,则filter作为缺省表。
各表实现的功能如表1所示。
表1 三种表实现的功能<!--[if !vml]-->2.命令(command)command部分是iptables命令最重要的部分。
它告诉iptables命令要做什么,例如插入规则、将规则添加到链的末尾或删除规则。
表2是最常用的一些命令及例子。
表2 命令的功能和样例<!--[if !vml]--><!--[endif]-->3.匹配(match)iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。
匹配分为通用匹配和特定于协议的匹配两大类。
这里将介绍可用于采用任何协议的信息包的通用匹配。
表3是一些重要且常用的通用匹配及示例说明。
表3 通用匹配及示例说明<!--[if !vml]--><!--[endif]-->4.目标(target)目标是由规则指定的操作,对与那些规则匹配的信息包执行这些操作。
除了允许用户定义的目标之外,还有许多可用的目标选项。
表4是常用的一些目标及示例说明。
除表4外,还有许多用于建立高级规则的其它目标,如LOG、REDIRECT、MARK、MIRROR和MASQUERADE等。
表4 目标及示例说明应用iptables与 ipchains和ipfwadm不同的是,iptables可以配置有状态的防火墙。
iptables可以检测到源地址和目的地址、源端口和目的端口及 流入数据包的顺序,即iptables记住了在现有连接中,哪些数据包已经被允许接收。
这使得暂时性的端口只有在需要时才会被打开,并且会拒绝所有永久性 占用端口的请求,大大地加强了安全性。
同时,那些被更改了报头的数据包,即使包含有一个被允许的目的地址和端口,也会被检测到并被丢弃。
此外,有状态的防 火墙能够指定并记住为发送或接收信息包所建立连接的状态。
防火墙可以从信息包的连接跟踪状态获得该信息。
在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。
1.启动和停止iptables下面将正式使用iptables来创建防火墙。
启动和停止iptables的方法取决于所使用的Linux发行版,可以先查看所使用Linux版本的文档。
一般情况下,iptables已经包含在Linux发行版中,运行iptables --version来查看系统是否安装了iptables。
在Red Hat 9.0中,安装的版本是iptables v1.2.7a。
如果系统没有安装iptables,则可以从下载。
2.查看规则集上面仅对iptables的用法做了一个简单介绍,使用中可以运行man iptables来查看所有命令和选项的完整介绍,或者运行iptables -help来查看一个快速帮助。
要查看系统中现有的iptables规划集,可以运行以下命令:iptables --list下面是没有定义规划时iptables的样子:Chain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination如上例所示,每一个数据包都要通过三个内建的链(INPUT、OUTPUT和FORWARD)中的一个。
filter是最常用的表,在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。
DROP会丢弃数据包,不再对其进行任何处理。
REJECT会把出错信息传送至发送数据包的主机。
<!--[if !vml]--><!--[endif]-->在Red Hat 9.0中,提供一个GUI程序来让用户对系统的安装级别进行简单的配置。
该工具的启动方法是:主选单→系统设置→安全工具(如图1所示)。
在此将安全级别设为“高级”,并选择使用默认的防火墙规则。
点击确定后,再用iptables -list显示,发现iptables与没有定义规则前已经有很大不同,如下所示:[root@workstation root]# iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationRH-Lokkit-0-50-INPUT all -- anywhere anywhereChain FORWARD (policy ACCEPT)target prot opt source destinationRH-Lokkit-0-50-INPUT all -- anywhere anywhereChain OUTPUT (policy ACCEPT)target prot opt source destination......现实中一般不使用这个GUI工具,因为它的功能有限,也不够透明。
相比较而言,SuSE 9.0中相应的配置工具要好得多,它可以在GUI下对防火墙进行更加细化的配置(比如增加了IP转发和伪装等功能的配置)。
尽管这样,一般还是自己来增加和删除规则。
.增加规则本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动:# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同:# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP注意这里的A选项,如前所述,使用它说明是给现有的链添加规则。
4.删除规则网络上的恶意攻击者总是在变化的,因此需要不断改变IP。
假设一个网上攻击者转移到新的IP地址,而其老的IP地址被分配给一些清白的用户,那么这时这些用户的数据包将无法通过你的网络。
这种情况下,可以使用带-D选项的命令来删除现有的规则:# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP5.缺省的策略创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间。
对于那些没有时间这样做的人,最基本的原则是“先拒绝所有的数据包,然后再允许需要的”。
下面来为每一个链设置缺省的规则:# iptables -P INPUT DROP# iptables -P FORWARD DROP# iptables -P OUTPUT ACCEPT这里选项-P用于设置链的策略,只有三个内建的链才有策略。
这些策略可以让信息毫无限制地流出,但不允许信息流入。
很多时候需要接收外部信息,则可使用以下命令:# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT6.SYN的使用不能关闭所有端口,也不能只指定某些端口处于打开状态,那么怎样才能设置一个有效的规则,既可以允许普通用户正常通过,又可以阻止恶意攻击者访问网络呢?刚开始使用iptables的人可以充分利用syn标识来阻止那些未经授权的访问。
iptables 只检测数据包的报头,事实上,除 iptables以外,很多其它有用的数据包分析都是基于报头的。
比如,在进行Web冲浪时,一个请求从你的PC发送至其它地方的Web服务器上,该服务 器会响应请求并发回一个数据包,同时得到你系统上的一个临时端口。
与响应请求不同的是,服务器并不关心所传送的内容。
可以利用这种特点来设置规则,让它阻 止所有没有经过你系统授权的TCP连接:# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP这里的-i指的是网卡,-p则是指协议,--syn则表示带有syn标识设置的TCP数据包。
SYN用于初始化一个TCP连接,如果自己机器上没有运行任何服务器,别人也就不会向你发送SYN数据包。