熱門(mén)標(biāo)簽:智能電話機(jī)器人金融
孝感營(yíng)銷電銷機(jī)器人源碼
AI電銷機(jī)器人PHP源碼
思茅地圖標(biāo)注app
沈陽(yáng)藝匯通地圖標(biāo)注
打電話機(jī)器人是什么軟件
騰訊美術(shù)館地圖標(biāo)注
鄭州智能外呼系統(tǒng)招商
ai電銷機(jī)器人自動(dòng)篩選意向客戶
2.1 框架圖
-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->
mangle | mangle ^ mangle
nat | filter | nat
| |
| |
v |
INPUT OUTPUT
| mangle ^ mangle
| filter | nat
v ------>local------->| filter
2.2 鏈和表
表
filter: 顧名思義��,用于過(guò)濾的時(shí)候
nat: 顧名思義���,用于做 NAT 的時(shí)候
NAT:Network Address Translator
鏈
INPUT: 位于 filter 表,匹配目的 IP 是本機(jī)的數(shù)據(jù)包
FORWARD: 位于 filter 表,匹配穿過(guò)本機(jī)的數(shù)據(jù)包����,
PREROUTING: 位于 nat 表,用于修改目的地址(DNAT)
POSTROUTING:位于 nat 表��,用于修改源地址 (SNAT)
3.1 iptables 語(yǔ)法概述
iptables [-t 要操作的表]
操作命令>
[要操作的鏈]
[規(guī)則號(hào)碼]
[匹配條件]
[-j 匹配到以后的動(dòng)作]
3.2 命令概述
操作命令(-A��、-I、-D、-R���、-P����、-F)
查看命令(-[vnx]L)
3.2.1 -A
-A 鏈名>
APPEND,追加一條規(guī)則(放到最后)
例如:
iptables -t filter -A INPUT -j DROP
在 filter 表的 INPUT 鏈里追加一條規(guī)則(作為最后一條規(guī)則)
匹配所有訪問(wèn)本機(jī) IP 的數(shù)據(jù)包��,匹配到的丟棄
3.2.2 -I
-I 鏈名> [規(guī)則號(hào)碼]
INSERT�����,插入一條規(guī)則
例如:
iptables -I INPUT -j DROP
在 filter 表的 INPUT 鏈里插入一條規(guī)則(插入成第 1 條)
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 鏈里插入一條規(guī)則(插入成第 3 條)
注意: 1�、-t filter 可不寫(xiě)�����,不寫(xiě)則自動(dòng)默認(rèn)是 filter 表
2�、-I 鏈名 [規(guī)則號(hào)碼],如果不寫(xiě)規(guī)則號(hào)碼���,則默認(rèn)是 1
3��、確保規(guī)則號(hào)碼 ≤ (已有規(guī)則數(shù) + 1)��,否則報(bào)錯(cuò)
3.2.3 -D
-D 鏈名> 規(guī)則號(hào)碼 | 具體規(guī)則內(nèi)容>
DELETE���,刪除一條規(guī)則
例如:
iptables -D INPUT 3(按號(hào)碼匹配)
刪除 filter 表 INPUT 鏈中的第三條規(guī)則(不管它的內(nèi)容是什么)
iptables -D INPUT -s 192.168.0.1 -j DROP(按內(nèi)容匹配)
刪除 filter 表 INPUT 鏈中內(nèi)容為“-s 192.168.0.1 -j DROP”的規(guī)則
(不管其位置在哪里)
注意:
1���、若規(guī)則列表中有多條相同的規(guī)則時(shí)����,按內(nèi)容匹配只刪除序號(hào)最小的一條
2���、按號(hào)碼匹配刪除時(shí)�,確保規(guī)則號(hào)碼 ≤ 已有規(guī)則數(shù)��,否則報(bào)錯(cuò)
3、按內(nèi)容匹配刪除時(shí),確保規(guī)則存在�,否則報(bào)錯(cuò)
3.2.3 -R
-R 鏈名> 規(guī)則號(hào)碼> 具體規(guī)則內(nèi)容>
REPLACE�����,替換一條規(guī)則
例如:
iptables -R INPUT 3 -j ACCEPT
將原來(lái)編號(hào)為 3 的規(guī)則內(nèi)容替換為“-j ACCEPT”
注意:
確保規(guī)則號(hào)碼 ≤ 已有規(guī)則數(shù)�,否則報(bào)錯(cuò)
3.2.4 -P
-P 鏈名> 動(dòng)作>
POLICY,設(shè)置某個(gè)鏈的默認(rèn)規(guī)則
例如:
iptables -P INPUT DROP
設(shè)置 filter 表 INPUT 鏈的默認(rèn)規(guī)則是 DROP
注意:
當(dāng)數(shù)據(jù)包沒(méi)有被規(guī)則列表里的任何規(guī)則匹配到時(shí),按此默認(rèn)規(guī)則處理
3.2.5 -F
-F [鏈名]
FLUSH,清空規(guī)則
例如:
iptables -F INPUT
清空 filter 表 INPUT 鏈中的所有規(guī)則
iptables -t nat -F PREROUTING
清空 nat 表 PREROUTING 鏈中的所有規(guī)則
注意:
1����、-F 僅僅是清空鏈中規(guī)則��,并不影響 -P 設(shè)置的默認(rèn)規(guī)則
2�����、-P 設(shè)置了 DROP 后�����,使用 -F 一定要小心?��。?�!
3、如果不寫(xiě)鏈名�,默認(rèn)清空某表里所有鏈里的所有規(guī)則
3.2.6 -[vxn]L
-L [鏈名]
LIST����,列出規(guī)則
v:顯示詳細(xì)信息�����,包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)
x:在 v 的基礎(chǔ)上�,禁止自動(dòng)單位換算(K��、M)
n:只顯示 IP 地址和端口號(hào)碼��,不顯示域名和服務(wù)名稱
例如:
iptables -L
粗略列出 filter 表所有鏈及所有規(guī)則
iptables -t nat -vnL
用詳細(xì)方式列出 nat 表所有鏈的所有規(guī)則,只顯示 IP 地址和端口號(hào)
iptables -t nat -vxnL PREROUTING
用詳細(xì)方式列出 nat 表 PREROUTING 鏈的所有規(guī)則以及詳細(xì)數(shù)字,不反解
3.3 匹配條件
流入、流出接口(-i����、-o)
來(lái)源�����、目的地址(-s��、-d)
協(xié)議類型 (-p)
來(lái)源、目的端口(--sport����、--dport)
3.3.1 按網(wǎng)絡(luò)接口匹配
-i 匹配數(shù)據(jù)進(jìn)入的網(wǎng)絡(luò)接口>
例如:
-i eth0
匹配是否從網(wǎng)絡(luò)接口 eth0 進(jìn)來(lái)
-i ppp0
匹配是否從網(wǎng)絡(luò)接口 ppp0 進(jìn)來(lái)
-o 匹配數(shù)據(jù)流出的網(wǎng)絡(luò)接口
例如:
-o eth0
-o ppp0
3.3.2 按來(lái)源目的地址匹配
-s 匹配來(lái)源地址>
可以是 IP����、NET����、DOMAIN����,也可空(任何地址)
例如:
-s 192.168.0.1 匹配來(lái)自 192.168.0.1 的數(shù)據(jù)包
-s 192.168.1.0/24 匹配來(lái)自 192.168.1.0/24 網(wǎng)絡(luò)的數(shù)據(jù)包
-s 192.168.0.0/16 匹配來(lái)自 192.168.0.0/16 網(wǎng)絡(luò)的數(shù)據(jù)包
-d 匹配目的地址>
可以是 IP����、NET�����、DOMAIN���,也可以空
例如:
-d 202.106.0.20 匹配去往 202.106.0.20 的數(shù)據(jù)包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 網(wǎng)絡(luò)的數(shù)據(jù)包
-d www.abc.com 匹配去往域名 www.abc.com 的數(shù)據(jù)包
3.3.3 按協(xié)議類型匹配
-p 匹配協(xié)議類型>
可以是 TCP��、UDP、ICMP 等,也可為空
例如:
-p tcp
-p udp
-p icmp --icmp-type 類型
ping: type 8 pong: type 0
3.3.4 按來(lái)源目的端口匹配
--sport 匹配源端口>
可以是個(gè)別端口����,可以是端口范圍
例如:
--sport 1000 匹配源端口是 1000 的數(shù)據(jù)包
--sport 1000:3000 匹配源端口是 1000-3000 的數(shù)據(jù)包(含1000�、3000)
--sport :3000 匹配源端口是 3000 以下的數(shù)據(jù)包(含 3000)
--sport 1000: 匹配源端口是 1000 以上的數(shù)據(jù)包(含 1000)
--dport 匹配目的端口>
可以是個(gè)別端口���,可以是端口范圍
例如:
--dport 80 匹配源端口是 80 的數(shù)據(jù)包
--dport 6000:8000 匹配源端口是 6000-8000 的數(shù)據(jù)包(含6000�、8000)
--dport :3000 匹配源端口是 3000 以下的數(shù)據(jù)包(含 3000)
--dport 1000: 匹配源端口是 1000 以上的數(shù)據(jù)包(含 1000)
注意:--sport 和 --dport 必須配合 -p 參數(shù)使用
3.3.5 匹配應(yīng)用舉例
1����、端口匹配
-p udp --dport 53
匹配網(wǎng)絡(luò)中目的地址是 53 的 UDP 協(xié)議數(shù)據(jù)包
2��、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配來(lái)自 10.1.0.0/24 去往 172.17.0.0/16 的所有數(shù)據(jù)包
3、端口和地址聯(lián)合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配來(lái)自 192.168.0.1����,去往 www.abc.com 的 80 端口的 TCP 協(xié)議數(shù)據(jù)包
注意:
1����、--sport�、--dport 必須聯(lián)合 -p 使用,必須指明協(xié)議類型是什么
2����、條件寫(xiě)的越多�,匹配越細(xì)致�,匹配范圍越小
3.4 動(dòng)作(處理方式)
ACCEPT
DROP
SNAT
DNAT
MASQUERADE
3.4.1 -j ACCEPT
-j ACCEPT
通過(guò)�,允許數(shù)據(jù)包通過(guò)本鏈而不攔截它
類似 Cisco 中 ACL 里面的 permit
例如:
iptables -A INPUT -j ACCEPT
允許所有訪問(wèn)本機(jī) IP 的數(shù)據(jù)包通過(guò)
3.4.2 -j DROP
-j DROP
丟棄,阻止數(shù)據(jù)包通過(guò)本鏈而丟棄它
類似 Cisco 中 ACL 里的 deny
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止來(lái)源地址為 192.168.80.39 的數(shù)據(jù)包通過(guò)本機(jī)
3.4.3 -j SNAT
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 鏈)
源地址轉(zhuǎn)換�,SNAT 支持轉(zhuǎn)換為單 IP���,也支持轉(zhuǎn)換到 IP 地址池
(一組連續(xù)的 IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
將內(nèi)網(wǎng) 192.168.0.0/24 的原地址修改為 1.1.1.1��,用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上����,只不過(guò)修改成一個(gè)地址池里的 IP
3.4.4 -j DNAT
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 鏈)
目的地址轉(zhuǎn)換����,DNAT 支持轉(zhuǎn)換為單 IP���,也支持轉(zhuǎn)換到 IP 地址池
(一組連續(xù)的 IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把從 ppp0 進(jìn)來(lái)的要訪問(wèn) TCP/80 的數(shù)據(jù)包目的地址改為 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10
3.4.5 -j MASQUERADE
-j MASQUERADE
動(dòng)態(tài)源地址轉(zhuǎn)換(動(dòng)態(tài) IP 的情況下使用)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
將源地址是 192.168.0.0/24 的數(shù)據(jù)包進(jìn)行地址偽裝
3.5 附加模塊
按包狀態(tài)匹配 (state)
按來(lái)源 MAC 匹配(mac)
按包速率匹配 (limit)
多端口匹配 (multiport)
3.5.1 state
-m state --state 狀態(tài)
狀態(tài):NEW、RELATED、ESTABLISHED����、INVALID
NEW:有別于 tcp 的 syn
ESTABLISHED:連接態(tài)
RELATED:衍生態(tài)���,與 conntrack 關(guān)聯(lián)(FTP)
INVALID:不能被識(shí)別屬于哪個(gè)連接或沒(méi)有任何狀態(tài)
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED \
-j ACCEPT
3.5.2 mac
-m mac --mac-source MAC
匹配某個(gè) MAC 地址
例如:
iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \
-j DROP
阻斷來(lái)自某 MAC 地址的數(shù)據(jù)包���,通過(guò)本機(jī)
注意:
MAC 地址不過(guò)路由�,不要試圖去匹配路由后面的某個(gè) MAC 地址
3.5.3 limit
-m limit --limit 匹配速率 [--burst 緩沖數(shù)量]
用一定速率去匹配數(shù)據(jù)包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \
-j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 僅僅是用一定的速率去匹配數(shù)據(jù)包�,并非 “限制”
3.5.4 multiport
-m multiport --sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多個(gè)端口,可以區(qū)分源端口����,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiports --ports \
21,22,25,80,110 -j ACCEPT
注意:
必須與 -p 參數(shù)一起使用
4. 實(shí)例分析
單服務(wù)器的防護(hù)
如何做網(wǎng)關(guān)
如何限制內(nèi)網(wǎng)用戶
內(nèi)網(wǎng)如何做對(duì)外服務(wù)器
連接追蹤模塊
4.1 單服務(wù)器的防護(hù)
弄清對(duì)外服務(wù)對(duì)象
書(shū)寫(xiě)規(guī)則
網(wǎng)絡(luò)接口 lo 的處理
狀態(tài)監(jiān)測(cè)的處理
協(xié)議 + 端口的處理
實(shí)例:一個(gè)普通的 web 服務(wù)器
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
注意:確保規(guī)則循序正確���,弄清邏輯關(guān)系���,學(xué)會(huì)時(shí)刻使用 -vnL
4.2 如何做網(wǎng)關(guān)
弄清網(wǎng)絡(luò)拓?fù)?
本機(jī)上網(wǎng)
設(shè)置 nat
啟用路由轉(zhuǎn)發(fā)
地址偽裝 SNAT/MASQUERADE
實(shí)例:ADSL 撥號(hào)上網(wǎng)的拓?fù)?
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \
-j MASQUERADE
4.3 如何限制內(nèi)網(wǎng)用戶
過(guò)濾位置 filer 表 FORWARD 鏈
匹配條件 -s -d -p --s/dport
處理動(dòng)作 ACCEPT DROP
實(shí)例:
iptables -A FORWARD -s 192.168.0.3 -j DROP
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \
-j DROP
iptables -A FORWARD -d bbs.chinaunix.net -j DROP
4.4 內(nèi)網(wǎng)如何做對(duì)外服務(wù)器
服務(wù)協(xié)議(TCP/UDP)
對(duì)外服務(wù)端口
內(nèi)部服務(wù)器私網(wǎng) IP
內(nèi)部真正服務(wù)端口
實(shí)例:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.1.2:80
4.5 連接追蹤模塊
為什么要使用連接追蹤模塊
FTP 協(xié)議的傳輸原理
傳統(tǒng)防火墻的做法
如何使用
4.5.1 FTP 協(xié)議傳輸原理
使用端口
command port
data port
傳輸模式
主動(dòng)模式(ACTIVE)
被動(dòng)模式(PASSIVE)
4.5.1 FTP 協(xié)議傳輸原理
主動(dòng)模式
client server
xxxx |---|----------|-->| 21
yyyy |--|----------|---| 20
FW1 FW2
被動(dòng)模式
client server
xxxx |---|----------|--->| 21
yyyy |---|----------|--->| zzzz
FW1 FW2
4.5.2 傳統(tǒng)防火墻的做法
只使用主動(dòng)模式,打開(kāi) TCP/20
防火墻打開(kāi)高范圍端口
配置 FTP 服務(wù)�,減小被動(dòng)模式端口范圍
4.5.3 如何使用連接追蹤模塊
modprobe ipt_conntrack_ftp
modprobe ipt_nat_ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state \
RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
5. 網(wǎng)管策略
怕什么
能做什么
讓什么 vs 不讓什么
三大“紀(jì)律”五項(xiàng)“注意”
其他注意事項(xiàng)
5.1 必加項(xiàng)
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > \
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
5.2 可選方案
堵:
iptables -A FORWARD -p tcp --dport xxx -j DROP
iptables -A FORWARD -p tcp --dport yyy:zzz -j DROP
通:
iptables -A FORWARD -p tcp --dport xxx -j ACCEPT
iptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED \
-j ACCEPT
iptables -P FORWARD DROP
5.3 三大“紀(jì)律”五項(xiàng)“注意”
三大“紀(jì)律”——專表專用
filter
nat
mangle
五項(xiàng)“注意”——注意數(shù)據(jù)包的走向
PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
5.4 其他注意事項(xiàng)
養(yǎng)成好的習(xí)慣
iptables -vnL
iptables -t nat -vnL
iptables-save
注意邏輯順序
iptables -A INPUT -p tcp --dport xxx -j ACCEPT
iptables -I INPUT -p tcp --dport yyy -j ACCEPT
學(xué)會(huì)寫(xiě)簡(jiǎn)單的腳本
6. FAQ.1
Q:我設(shè)置了 iptables -A OUTPUT -d 202.xx.xx.xx -j DROP
為何內(nèi)網(wǎng)用戶還是可以訪問(wèn)那個(gè)地址?
A:filter 表的 OUTPUT 鏈?zhǔn)潜緳C(jī)訪問(wèn)外面的必經(jīng)之路��,內(nèi)網(wǎng)數(shù)據(jù)不經(jīng)過(guò)該鏈
Q:我添加了 iptables -A FORWARD -d 202.xx.xx.xx -j DROP
為何內(nèi)網(wǎng)用戶還是可以訪問(wèn)那個(gè)地址?
A:檢查整個(gè)規(guī)則是否存在邏輯錯(cuò)誤,看是否在 DROP 前有 ACCEPT
Q:iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE
這條語(yǔ)句為何報(bào)錯(cuò)�?
A:POSTROUTING 鏈不支持“流入接口” -i 參數(shù)
同理,PREROUTING 鏈不支持“流出接口” -o 參數(shù)
6. FAQ.2
Q:我應(yīng)該怎么查看某個(gè)模塊具體該如何使用����?
A:ipitables -m 模塊名 -h
Q:執(zhí)行 iptables -A FORWARD -m xxx -j yyy
提示 iptables: No chain/target/match by that name
A:/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目錄中�,
缺少與 xxx 模塊有關(guān)的文件���,或缺少與 yyy 動(dòng)作有關(guān)的文件
名字為 ipt_xxx.o(2.4內(nèi)核) 或 ipt_yyy.ko(2.6內(nèi)核)
Q:腳本寫(xiě)好了����,內(nèi)網(wǎng)上網(wǎng)沒(méi)問(wèn)題��,F(xiàn)TP 訪問(wèn)不正常����,無(wú)法列出目錄���,為什么����?
A:缺少 ip_nat_ftp 這個(gè)模塊,modprobe ip_nat_ftp
6. FAQ.3
標(biāo)簽:臨汾
淄博
延安
和田
甘孜
江蘇
張掖
巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《linux防火墻iptables詳細(xì)教程》��,本文關(guān)鍵詞 linux,防火墻,iptables,詳細(xì),;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題��,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)��,涉及言論����、版權(quán)與本站無(wú)關(guān)���。
