码迷,mamicode.com
首页 > 系统相关 > 详细

Linux - 防火墙 - iptables

时间:2021-04-28 12:11:32      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:管理系   track   连接不上   包含   rop   ping   cep   在线   用法   

防火墙由netfilter组成,iptables是控制netfilter的软件

iptables(重点)- 用户空间的工具
环境准备
systemctl stop firewalld.service
systemctl disable firewalld.service
或systemctl disable --now firewalld.service
iptables用法
man 8 iptables
iptables -t filter -A INPUT -s 192.168.0.1 -j DROP
-A 在最后追加规则
-s 源地址
-j 跳jump
DROP丢弃,无回应
iptables -nvL --line-numbers 查看当前所有规则
iptables -t filter -A INPUT -s 192.168.0.1 -j ACCEPT
ACCEPT 允许接收,但是无用,他是在DROP规则后面
iptables -t filter -I INPUT -s 192.168.0.1 -j ACCEPT
-I 插入到最前面
-I INPUT 9 插入到第9条 
iptables -D INPUT 2
默认为-t filter
删掉第2条规则
iptables -t filter -R INPUT 1 -s 192.168.0.2/24 -j REJECT
REJECT有回应的拒绝
-R INPUT 1:替换第一条
拒绝192.168.0.0整个网段
iptables -F
-F 清掉所有规则
iptables -A INPUT -s 10.0.0.100 -d 10.0.0.200 -j REJECT
单网卡目标地址无意义,因为路由表已经检查
iptables -A INPUT ! -s 10.0.0.100 -d 10.0.0.200 -j REJECT
!: 取反,除了100,其余都不能访问
iptables -A INPUT -s 10.0.0.100 -p icmp -j REJECT
-p:指定协议,都ping不通
iptables -A INPUT -s 10.0.0.100 -i eth0 -j REJECT
-i 指定网卡
iptables -A INPUT -i lo ACCEPT
lo:回环网卡127.0.0.1
拥有全局globle的网卡的ip也可以访问
扩展模块
隐式扩展
-p
iptables -A INPUT -s 10.0.0.100 -p tcp --dport 80 -j REJECT
拒绝10.0.0.100的tcp协议从80 端口的包
iptables -A INPUT -t tcp --syn -j REJECT
拒绝第一次握手(老用户一直登陆在线,新用户登录不上)类似,银行下班,但是已经在交易的客户可以继续交易
iptables -A INPUT -s 10.0.0.100 -p icmp --icmp-type 8 -j REJECT
100不通8,8能ping通100
显示扩展
man iptables-extensions
iptables -A INPUT -s 10.0.0.100 -p tcp -m multiport --dports 21:25,80,443 -j REJECT
multiport:21到25,80,443连续端口reject
iptables -A INPUT -m iprange --src-range 10.0.0.8-10.0.0.10 -j REJECT
iprange:拒绝10.0.0.8,10.0.0.9,10.0.0.10这三个IP访问
iptables -A INPUT -m --mac-source ......... - j REJECT
拒绝源mac地址(没有目标mac地址的选项是因为如果mac不是本身,会直接不接受
iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "google" -j REJECT
本机80出去的包,从第63开始检查是否包含google,含有就reject(不准访问google)
iptables - A INPUT -m time --timestart 14:00 --timestop 15:00 -j ACCEPT
time模块(centos8此模块有问题)
UTC时间与当地时间差8个小时
时间实际是22:00-23:00
iptables -A INPUT -m connlimit --connlimit-above 2 -j REJECT
一个IP超过2个链接就拒绝
iptables -A INPUT -p icmp -m limit --limit 10/minute --limit-burst 10 -j ACCEPT
一分钟最多通过10个,前10个不限制
state
NEW
cat /proc
ESTABLISHED
/proc/net/nf_conntrack
/proc/sys/net/netfilter/nf_conntrack_max
(连接数尽量调大,不然会出现新用户连接不上)
/sys/conf
RELATED
子主题 4
/usr/lib64/xtables/
rpm -ql iptables
iptables -m
优化最佳实践:
ESTABLISHED
谨慎放行入站的新请求
特殊目的
同类规则,范围小的放前面
不同类规则,范围大的放前面
可以合并多条规则的为一条
白名单 iptables -P 不建议,,容易出现自杀行为
子主题 17
五个table
filter:过滤规则表
iptables -t filter -nvL查看规则
nat:地址转换规则表
iptables -t nat -nvL查看规则
mangle
raw
security
5个chain
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
netfilter
5个勾子函数
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

linux内核
NETFILTER
grep -m 10 NETFILTER /boot/conf.......

分支主题 7

安全技术
入侵检测与管理系统
入侵系统
防火墙

实现方式
网络层防火墙
应用层防火墙

网络协议
硬件防火墙
软件防火墙

保护范围
主机防火墙
网络防火墙

  

Linux - 防火墙 - iptables

标签:管理系   track   连接不上   包含   rop   ping   cep   在线   用法   

原文地址:https://www.cnblogs.com/noise/p/14711361.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!