码迷,mamicode.com
首页 > 其他好文 > 详细

IPTABLES逻辑介绍以及部分参数

时间:2015-04-30 01:14:35      阅读:203      评论:0      收藏:0      [点我收藏+]

标签:防火墙   linux   技能   iptables   安全   

对于linux用户来说,iptable是必不可少的必备技能之一! 可能跟多人都会感觉iptables很难,一点都不熟悉!感觉乱七八糟的!其实iptables(防火墙)难得不是命令多么复杂。而是你把逻辑关系搞懂 了!剩下的命令也就是有点手生的感觉!但是都能看懂是干嘛的了!
   iptables由PREROUTING(路由前)进入,根据路由决策是否转发,还是入站
   iptables根据路由决策让数据  入站----  出站 -----路由后
   iptables根据路由决策将数据   转发----------路由后   #因为没有进入本机,所以不用出站

          网络A                       路由选择入站到出站

           数据         INPUT(入站)  --->     OUTPUT(出站)

             ↓         ↑                              ↓

           路由选择让数据入站                      出站到路由后             网络B

        PREROUTING(路由前)                         POSTROUTING(路由后) →  出站数据

               路由选择不入站

                        ↓        因为转发,没有入站      ↑

                  FORWARD(转发)       →→→→           ↑

   看完这个有点烂的拓扑图,是不是对防火墙工作的运转有了个大概的了解呢!下边说一下四个表的作用

表之间的匹配顺序是raw →→mangle →→nat →→filter表!下边说一下那个表中包含了什么链!
                raw(跟踪路由前出站的数据包)               mangle(修改数据标记)   
             nat(地址转换表)                            filter(过滤表)


     raw表             mangle表             nat表              filter表

       路由前          路由前               路由前              入站

     PREROUTING        PREROUTING           PREOUTING           INPUT

       出站             路由后               路由后              转发

     OUTPUT            POSTROUTING          POSTROUTING         FORWARD

                         入站                出站                出站

                        INPUT                OUTPUT              OUTPUT

                        出站

                        OUTPUT

                         转发

                        FORWARD

  这是四个表中包含的链,默认情况下,一般对filter表操作的最多!下面说下处理动作,

   ACCEPT:允许通过  DROP:直接丢弃,不给回应  REJECT:拒绝通过,会给回应  LOG:记录日志,然后传给下一条规则。iptables是匹配到就执行匹配到的操作,停止向下匹配LOG是匹配规则之外的!
   规则链之间的顺序
   入站 INPUT → PREROUTING
   出站 OUTPUT →  POSTROUTING
   转发  PREROUTING → FORWARD → POSTROUTING
  顺序对比,匹配到了停止(LOG除外),若无任何匹配,则按该链的默认策略处理
   添加规则    -A 在链末尾追加一条规则
                     -I  在开头或者指定序号插入规则

    查看规则   -n  以数字的形式显示地址端口等
                     --line-numbers 查看规则时,显示规则的序号
    删除规则    -D  删除链内指定序号
                      -F  清空所有规则
    默认策略    -P   为指定链设置默认规则
    filter表过滤与转发
                      1,协议匹配   -P 协议名
  通用匹配       2,地址匹配   -s源地址  -d目标地址
                      3,接口匹配    -i 收数据的网卡  -o发送数据的网卡
                     
                       1,端口匹配  --sport源端口   --dport 目标端口
  隐含匹配        2,ICMP匹配   --icmp-type  ICMP类型
                        3,TCP标记      --tcp-flags 检查哪些位,那些为被设置    !取反值

                       1,状态匹配  -m state --state状态值
  显示匹配        2,MAC地址匹配   -m mac --mac-soure    MAC地址
                       3,多端口匹配       -m multiport   --sports  源端口列表
                                                     -m multiport   --dport    目标地址端口
  
IP范围匹配             -m iprange   --src-range  IP1-IP2
                              -m iprange   --dst-range  IP1-IP2
   IPtables参数就说到这里,一般常用的也不多,熟悉了就知道了!没事多练练!

    查看表规则

       iptables -nL

  修改默认表规则

       iptables -P INPUT DROP

  插入表规则

       iptables -I INPUT -p tcp --dport 80 -j ACCEPT #开放本机80端口

       iptables -I INPUT -p tcp --dport 80 -j REJECT #关闭本机80端口

       iptables -I INPUT -s 192.168.1.1 -j ACCEPT    #允许这个IP访问本机

      iptables -I INPUT -p tcp --dport 80 -s 192.168.1.1 -j DROP #拒绝这个IP访问本机80端口

      iptables  -t nat -I postrouting -s 192.168.0.0/24 -j SANT --to-source 124.126.X.X
       #将192.168.0.0段源地址转换为124.126.X.X

     iptables -t nat -I PREROUTING -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1
      #将访问在192.168.1.1 80端口转到192.168.2.1上去
  
     iptables -t filter -I INPUT -p icmp -j REGECT  #拒绝ping本机

     iptables -I FORWARD -m string --algo bm --string "/etc/passwd"  -j REJECT
           #拒绝含有/etc/passwd关键字的通过
      iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.168.1.1 --dport 80 -j DNAT --to 192.168.1.1:8080   
          #将访问本机的80端口转到8080端口上去

    保存防火墙规则

     service iptables save

     查看防火墙规则

     service iptables status

     iptables -nL --line-numbers #显示规则行号

    删除防火墙规则

     iptables -D INPUT 2  #删除INPUT中的第二条规则

  好了,关于防火墙的简单介绍就说到这了!有很多都没有说,包括一些参数也没有解释!因为iptables看着看着就懂那些参数是干嘛的了!希望大家有所收获!明白防火墙的工作流程之后,自己写防火墙规则的话也不会是不知道该怎么下手了!

  希望大家又说收获!在此祝福大家生活愉快!


本文出自 “斗月” 博客,请务必保留此出处http://douyue.blog.51cto.com/10174393/1640454

IPTABLES逻辑介绍以及部分参数

标签:防火墙   linux   技能   iptables   安全   

原文地址:http://douyue.blog.51cto.com/10174393/1640454

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!