您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

linux防火墙过滤技术iptables的原理及操作命令详解

时间:2022-08-01 09:36:26  来源:  作者:知识外卖

iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字.NETfilter。

Netfilter是linux操作系统核心层内部的一个数据包处理模块,它具有如下功能:网络地址转换(Network Address Translate),数据包内容修改以及数据包过滤的防火墙功能!

iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架!

netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,一般Linux系统是默认自带启动的。

查看是否启动:sysctl -p 从指定的文件加载系统参数,如不指定即从/etc/sysctl.conf中加载!

 

iptables是按照规则来办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables传输数据包的过程

当我们启用了防火墙功能时,报文需要经过如下关卡,而这些关卡在iptables中不被称为"关卡",而被称为"链"。也就是说,根据实际情况的不同,报文经过"链"可能不同。

 

所以,根据上图,我们能够想象出某些常用场景中,报文的流向:

到本机某进程的报文:PREROUTING --> INPUT

由本机转发的报文:PREROUTING --> FORWARD --> POSTROUTING

由本机的某进程发出报文(通常为响应报文):OUTPUT --> POSTROUTING

链(chAIns)

我们知道,防火墙的作用就在于对经过的报文匹配"规则",然后执行对应的"动作",所以,当报文经过这些关卡的时候,则必须匹配这个关卡上的规则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当我们把这些规则串到一个链条上的时候,就形成了"链",每个经过这个"关卡"的报文,都要将这条"链"上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。

5种链

5种链的说明如下:

PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTHING:发送到网卡接口之前

表(tables)

每个"链"上都放置了一串规则,但是这些规则有些很相似,我们把实现相同功能的规则放在一起;我们把具有相同功能的规则的集合叫做"表",所以说,不同功能的规则,我们可以放置在不同的表中进行管理。

iptables已经为我们定义了4个表: filter表、nat表、mangle表和raw表:每个表对应了不同的功能,而我们定义的规则也都逃脱不了这4种功能的范围。

filter表:负责过滤功能,防火墙; 内核模块:iptables_filter

nat表:network address translation,网络地址转换功能; 内核模块:iptable_nat

mangle表:拆解报文,做出修改,并重新封装的功能; 内核模块: iptable_mangle

raw表:关闭nat表上启用的连接追踪机制; 内核模块:iptable_raw

表链关系

某些"链"中注定不会包含"某类规则",让我们看看每个"链"上的规则都存在于哪些"表"中:

PREROUTING链 的规则可以存在于:raw表,mangle表,nat表。
INPUT 链的规则可以存在于:mangle表,filter表,(centos7中还有nat表,centos6中没有)。
FORWARD链 的规则可以存在于:mangle表,filter表。
OUTPUT链 的规则可以存在于:raw表,mangle表,nat表,filter表。
POSTOUTING链 的规则可以存在于:mangle表,nat表。

但是,我们在实际的使用过程中,往往是通过"表"作为操作入口,对规则进行定义的,之所以按照上述过程介绍iptables,是因为从"关卡"的角度更容易从入门的角度理解,但是为了以便在实际使用的时候,更加顺畅的理解它们,我们还要将各"表"与"链"的关系罗列出来:

表(功能)<--> 链(钩子):
filter表<-->三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包 内核模块:iptables_filter.

Nat表<-->三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat

Mangle表<-->五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块

Raw表<-->两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理

iptables为我们定义了4张"表",当他们处于同一条"链"时,执行的优先级如下

优先级次序(由高而低):raw --> mangle --> nat --> filter

优先级次序(由高而低):raw --> mangle --> nat --> filter

iptables操作

查看filter的详细规则:filter表<-->三个链:INPUT、FORWARD、OUTPUT

————————————————

[root@xing Desktop]# iptables -t filter -nvL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

注:OUTPUT 出站链

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED(三次握手状态)

0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22(目标端口22)

2 318 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited(默认拒绝所有

———————

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

注:FORWARD转发规则链(当源IP地址以及目标IP地址都不是本机的时候使用的规则)

pkts bytes target prot opt in out source destination

0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

———————

Chain OUTPUT (policy ACCEPT 4 packets, 240 bytes)

注:OUTPUT 出站链

pkts bytes target prot opt in out source destination

————————————————

iptables的基本语法格式

iptables [-t 表名] 命令选项 [链名] [匹配条件] [-j 控制类型]

iptables 【-t filter】 -I 【INPUT】 【-p tcp --dport 80】 【-j ACCEPT】

命令选项:

————

添加新的规则

  • -A 在链的末尾追加一条规则
  • -I 在链的开头(或指定序号)插入一条规则

————

查看规则列表

  • -L 列出所有规则条目
  • -n 数字的形式显示地址、端口信息
  • -v 以更详细的方式显示规则信息
  • --line-number 查看规则时,显示规则的序号

[root@xing Desktop]# iptables -t filter -nvL --line-number

————

删除、清空规则

  • -D 删除链内指定序号(或内容)的一条规则
  • -F 清空所有的规则

[root@xing Desktop]# iptables -D FORWARD 2

[root@xing Desktop]# iptables -F(清空所有规则)

[root@xing Desktop]# service iptables restart

iptables: Setting chains to policy ACCEPT: filter [ OK ]

iptables: Flushing firewall rules: [ OK ]

iptables: Unloading modules: [ OK ]

iptables: Applying firewall rules: [ OK ]

————

设置默认策略

-P :设置默认策略的(默认策略一般只有两种。默认是关的/默认是开的)

iptables -P INPUT (DROP|ACCEPT)

[root@xing Desktop]# iptables -P FORWARD DROP

———————

控制类型

ACCEPT 允许通过

DOROP 直接丢弃,不给出任何提示

REJECT 拒绝通过,必要时给出提示

LOG 记录日志信息,然后传给下一条规则继续匹配

———————

匹配条件【参数】

通用匹配:

协议匹配 -p [协议名]

地址匹配 -s [源地址] -d [目的地址]

接口匹配 -i [入站网卡] 、-o [出站网卡]

隐含匹配(需配合通用匹配一起使用):

端口匹配 --sport [源端口]、--dport [目的端口]

TCP标记端口 --tcp-flags [检查范围] [被设置的标记]

ICMP类型匹配 --icmp-type [ICMP类型]

常见的显示匹配条件

多端口匹配 -m multiport -- sport [源端口列表]、-m multiport -- sport [目的端口列表]

IP范围匹配 -m iprange --src-range [IP范围]

mac地址匹配 -m mac --mac-source [MAC地址]

———————

注意事项:

不指定表名时,默认指向filter表

不指定链名时,默认表内所有链

除非设置链的默认策略,否则必须指定匹配条件

选项、链名、控制类型使用大写字母,其余均为小写

————————————————

[root@xing Desktop]# iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

注:命令严格区分大小写

———————

辅助命令:watch(可以帮你监测一个命令的运行结果)

格式:watch (选项) (参数)

选项

-n:指定指令执行的间隔时间(秒);

-d:高亮显示指令输出信息不同之处;

-t:不显示标题。

参数

指令:需要周期性执行的指令。

watch -n1 iptables -t filter -nvL

————————————————

规则备份与还原

iptables-save工具:可结合重定向输出保存到指定文件

将当前状态保存到一个桌面的文件中

[root@xing Desktop]# iptables-save > /root/Desktop/ipt.txt

将备份规则文件导入:

[root@xing Desktop]# iptables-restore < /root/Desktop/ipt.txt

将当前状态保存为默认规则

[root@xing Desktop]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

恢复到默认规则

[root@xing Desktop]# service iptables restart

iptables: Setting chains to policy ACCEPT: filter [ OK ]

iptables: Flushing firewall rules: [ OK ]

iptables: Unloading modules: [ OK ]

iptables: Applying firewall rules: [ OK ]

————————————————

[root@xing Desktop]# iptables -t nat -nvL --line-number

[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j SNAT --to-source 12.34.56.89

[root@xing Desktop]# iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 172.168.1.0/24 -j MASQUERADE



Tags:防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
NGFW:网络工程师必备防火墙
在网络技术飞速发展的今天,防火墙已成为网络工程师必备的防御工具之一。而其中,下一代防火墙(NGFW)凭借其高效、智能的防护特点,更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】
2023-12-12  Search: 防火墙  点击:(138)  评论:(0)  加入收藏
如何保护应用?Web应用防火墙详细解读
如今,多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移,在用户端,需要在部署环境不断扩展...【详细内容】
2023-12-06  Search: 防火墙  点击:(146)  评论:(0)  加入收藏
详解交换机与防火墙的关系?
在网络的巨大森林中,有三位关键角色,它们分别是交换机、路由器和防火墙。这三者几乎是每个网络的基石,但很多人对它们的使用却容易产生混淆。今天,我们将深入剖析这三种设备的应...【详细内容】
2023-12-01  Search: 防火墙  点击:(178)  评论:(0)  加入收藏
十个最佳免费 Linux 防火墙工具
概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量,以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里,有很多防火墙解决方...【详细内容】
2023-11-28  Search: 防火墙  点击:(176)  评论:(0)  加入收藏
防火墙与杀毒软件有什么区别?
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】
2023-11-16  Search: 防火墙  点击:(216)  评论:(0)  加入收藏
防火墙的工作原理是什么?
防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制...【详细内容】
2023-08-29  Search: 防火墙  点击:(299)  评论:(0)  加入收藏
一键关闭防火墙软件
作为一名电脑从业者,我有10年的经验,并熟悉Windows系统的各种设置和指令。来解决您的问题,如何关闭Windows系统的防火墙。以下是几个解决方案:一键关闭防火墙的工具包在这里:52ru...【详细内容】
2023-08-24  Search: 防火墙  点击:(223)  评论:(0)  加入收藏
一键关闭win10防火墙小工具
关闭windows系统防火墙的几个解决方案如下:一键关闭防火墙工具自取:52ruanjian.top/share/wall.html 使用控制面板: 打开控制面板,选择"Windows Defender 防火墙",在防火墙设置...【详细内容】
2023-08-16  Search: 防火墙  点击:(306)  评论:(0)  加入收藏
什么是Web应用程序防火墙,WAF与其他网络安全工具差异在哪?
一、什么是Web 应用程序防火墙 (WAF) ? WAF软件产品被广泛应用于保护Web应用程序和网站免受威胁或攻击,它通过监控用户、应用程序和其他互联网来源之间的流量,有效防御跨站点伪...【详细内容】
2023-08-14  Search: 防火墙  点击:(259)  评论:(0)  加入收藏
华为防火墙,客户端无法连接,建立连接超时,配置错误或网络故障
之前为某客户的华为防火墙配置了L2TP OVER IPSEC,突然发现无法连接了,UniVPN报错:与对方建立连接超时,配置错误或网络故障。根据华为官方的解释是,配置的认证模式和设备侧配置的L...【详细内容】
2023-08-10  Search: 防火墙  点击:(150)  评论:(0)  加入收藏
▌简易百科推荐
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26    51CTO  Tags:Canary Tokens   点击:(15)  评论:(0)  加入收藏
如何用ChatGPT分析恶意软件
译者 | 陈峻审校 | 重楼自从我们进入数字化时代以来,恶意软件就一直是计算机应用系统的“心腹大患”。事实上,每一次技术进步都会为恶意行为者提供更多的工具,使得他们的攻击行...【详细内容】
2023-12-12    51CTO  Tags:恶意软件   点击:(205)  评论:(0)  加入收藏
NGFW:网络工程师必备防火墙
在网络技术飞速发展的今天,防火墙已成为网络工程师必备的防御工具之一。而其中,下一代防火墙(NGFW)凭借其高效、智能的防护特点,更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】
2023-12-12    历史痕迹  Tags:防火墙   点击:(138)  评论:(0)  加入收藏
如何保护应用?Web应用防火墙详细解读
如今,多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移,在用户端,需要在部署环境不断扩展...【详细内容】
2023-12-06  科技信息分析者    Tags:防火墙   点击:(146)  评论:(0)  加入收藏
八个优秀开源内网穿透工具
内网穿透(NAT穿透)是一种将本地网络服务暴露给互联网的一种技术。这种技术可以很好地解决许多局域网内的资源共享。采用路由的方式将一台计算机变成一个“路由器”,将公共的网...【详细内容】
2023-11-29  andflow  微信公众号  Tags:内网穿透   点击:(213)  评论:(0)  加入收藏
十个最佳免费 Linux 防火墙工具
概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量,以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里,有很多防火墙解决方...【详细内容】
2023-11-28  雪竹聊技术  今日头条  Tags:防火墙   点击:(176)  评论:(0)  加入收藏
防火墙与杀毒软件有什么区别?
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】
2023-11-16    天铭互联网  Tags:防火墙   点击:(216)  评论:(0)  加入收藏
ngrok-内网穿透神器,开发人员必备
概述ngrok是一款开源的网络服务,能够为在本地运行的网络应用提供公开的、基于互联网的URL。这使得网络开发人员可以将自己正在开发的网页或者API暴露到互联网上,方便进行演示...【详细内容】
2023-10-07  阿拉尔的阳光  今日头条  Tags:内网穿透   点击:(103)  评论:(0)  加入收藏
“二次约会”间谍软件分析报告:网络攻击西北工业大学 美国相关人员真实身份被锁定
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS...【详细内容】
2023-09-14    央视新闻客户端  Tags:间谍软件   点击:(303)  评论:(0)  加入收藏
DNSBin:一款功能强大的DNS与服务器安全测试工具
关于DNSBinDNSBin是一款功能强大的DNS与服务器安全测试工具,该工具可以通过DNS来测试数据泄露,并在目标环境部署了严苛网络安全限制的场景下帮助广大研究人员测试远程代码执...【详细内容】
2023-09-08    FreeBuf.COM  Tags:DNSBin   点击:(245)  评论:(0)  加入收藏
站内最新
站内热门
站内头条