2023學(xué)年完整公開課版iptables配置

iptables配置1.了解iptables相關(guān)名詞

2.熟悉iptables命令基礎(chǔ)及使用

iptables相關(guān)名詞01iptables相關(guān)名詞iptabels由ipchains和ipfwadm軟件演變而來，只是一個(gè)管理內(nèi)核包過濾的工具，用來添加、刪除和修改包過濾規(guī)則，而真正用來執(zhí)行過濾規(guī)則的是netfilter及其相關(guān)模塊（如iptables模塊和nat模塊）。netfilter位于網(wǎng)絡(luò)層與防火墻內(nèi)核之間，是Linux內(nèi)核中的一個(gè)通用架構(gòu)。netfilter提供三個(gè)表（tables），每個(gè)表由若干條鏈（chains）組成，每條鏈可以由若干條規(guī)則（rules）組成。iptables相關(guān)名詞●規(guī)則（rules）:設(shè)置過濾數(shù)據(jù)包的具體條件。如IP地址、端口、協(xié)議以及網(wǎng)絡(luò)接口等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，就根據(jù)規(guī)則所定義的方法來處理數(shù)據(jù)包，如放行、丟棄等動(dòng)作?！駝?dòng)作（target）:當(dāng)數(shù)據(jù)包經(jīng)過Linux時(shí)，Netfilter檢查該包符合相應(yīng)規(guī)則，則會(huì)對該數(shù)據(jù)包進(jìn)行相應(yīng)的處理。iptables動(dòng)作如表所示。動(dòng)作說明ACCEPT允許數(shù)據(jù)包通過DROP丟棄數(shù)據(jù)包REJECT丟棄數(shù)據(jù)包，并返回錯(cuò)誤信息LOG將符合該規(guī)則的數(shù)據(jù)包寫入日志QUEUE傳送給應(yīng)用和程序處理該數(shù)據(jù)包iptables相關(guān)名詞●鏈（chain）:在數(shù)據(jù)包傳送過程中，不同的情況下所要遵循的規(guī)則組合形成了鏈，規(guī)則鏈可以分為內(nèi)置鏈和用戶自定義鏈。netfilter常用的為內(nèi)置鏈，共有5個(gè)內(nèi)置鏈，如表所示。名稱說明PREROUTING數(shù)據(jù)包進(jìn)入本機(jī)，進(jìn)入路由表之前INPUT通過路由表后，目的地為本機(jī)OUTPUT由本機(jī)產(chǎn)生，向外轉(zhuǎn)發(fā)FORWARD通過路由表后，目的地不為本機(jī)POSTROUTING通過路由表后，發(fā)送至網(wǎng)卡接口之前iptables相關(guān)名詞●表（table）:接受數(shù)據(jù)包時(shí)，netfilter會(huì)提供三種數(shù)據(jù)包處理的功能：過濾、地址轉(zhuǎn)換、變更。netfilter根據(jù)數(shù)據(jù)包的處理需要，將鏈（chain）組合，設(shè)計(jì)了三個(gè)表：filter、nat、mangle表。各表包含的內(nèi)置鏈及可以定的動(dòng)作如下表。表名鏈名可使用的目標(biāo)動(dòng)作描述filterINPUTOUTPUTFORWARDACCEPTDROPREJECTLOGTOS包過濾防火墻natPREROUTINGOUTPUTPOSTROUTINGSNATMASQUERADEDNATREDIRECTIPNAT和IP偽裝manglePREROUTINGOUTPUTPOSTROUTINGINPUTTTLTOSMARK允許通過改變包的內(nèi)容進(jìn)一步修正包iptables命令基礎(chǔ)02iptables命令基礎(chǔ)iptables命令的規(guī)則要素：指定表（table）、指定操作命令（command）、指定鏈（chains）、指定規(guī)則匹配器（matcher）、指定目標(biāo)動(dòng)作（target）。命令格式如下：iptables

[-ttablename]CMD

[chain]

[rule-matcher][-jtarget]-ttablename：表示操作的表名CMD：為操作命令chain：為鏈名rule-matcher：為規(guī)則匹配器target：為目標(biāo)動(dòng)作iptables命令基礎(chǔ)常用的iptables命令參數(shù)如下表所示：參數(shù)作用-P設(shè)置默認(rèn)策略-F清空規(guī)則鏈-L查看規(guī)則鏈-A在規(guī)則鏈的末尾加入新規(guī)則-Inum在規(guī)則鏈的頭部加入新規(guī)則-Dnum刪除某一條規(guī)則-s匹配來源地址IP/MASK，加嘆號“!”表示除這個(gè)IP外-d匹配目標(biāo)地址-i網(wǎng)卡名稱匹配從這塊網(wǎng)卡流入的數(shù)據(jù)-o網(wǎng)卡名稱匹配從這塊網(wǎng)卡流出的數(shù)據(jù)-p匹配協(xié)議，如TCP、UDP、ICMP--dportnum匹配目標(biāo)端口號--sportnum匹配來源端口號iptables命令舉例03iptables命令舉例●在iptables命令后添加-L參數(shù)查看已有的防火墻規(guī)則鏈：[root@server~]#iptables-F[root@server~]#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination●在iptables命令后添加-F參數(shù)清空已有的防火墻規(guī)則鏈：iptables命令舉例[root@server~]#iptables-PINPUTDROP[root@server~]#iptables-LChainINPUT(policyDROP)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination●把INPUT規(guī)則鏈的默認(rèn)策略設(shè)置為拒絕：

防火墻策略規(guī)則的設(shè)置有兩種：允許和拒絕。當(dāng)把INPUT鏈設(shè)置為默認(rèn)拒絕后，就要在防火墻策略中寫入允許策略了，否則所有到來的流量都會(huì)被拒絕掉。另外，需要注意的是，規(guī)則鏈的默認(rèn)拒絕動(dòng)作只能是DROP，而不能是REJECT。iptables命令舉例[root@server~]#iptables-IINPUT-picmp-jACCEPT[root@server~]#ping-c400PING00(00)56(84)bytesofdata.64bytesfrom00:icmp_seq=1ttl=64time=0.301ms64bytesfrom00:icmp_seq=2ttl=64time=0.272ms64bytesfrom00:icmp_seq=3ttl=64time=0.332ms64bytesfrom00:icmp_seq=4ttl=64time=0.244ms---00pingstatistics---4packetstransmitted,4received,0%packetloss,time3000msrttmin/avg/max/mdev=0.244/0.287/0.332/0.034ms●向INPUT鏈中添加允許ICMP流量進(jìn)入的策略規(guī)則：iptables命令舉例[root@server~]#iptables-DINPUT1[root@server~]#iptables-PINPUTACCEPT[root@server~]#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationACCEPTicmp--anywhereanywhereChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestination●刪除INPUT規(guī)則鏈中剛剛加入的那條策略（允許ICMP流量），并把默認(rèn)策略設(shè)置為允許：iptables命令舉例[root@server~]#iptables-IINPUT-s/24-ptcp--dport22-jACCEPT[root@server~]#iptables-AINPUT-ptcp--dport22-jREJECT[root@server~]#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationACCEPTtcp--/24anywheretcpdpt:sshREJECTtcp--anywhereanywheretcpdpt:sshreject-withicmp-port-unreachable……省略部分輸出信息……●將INPUT規(guī)則鏈設(shè)置為只允許指定網(wǎng)段的主機(jī)訪問本機(jī)的22端口，拒絕來自其他所有主機(jī)的流量：[root@client~]#sshuser1@01Lastlogin:SunJul717:13:472019from05[user1@server~]$測試：使用IP地址在/24網(wǎng)段內(nèi)的主機(jī)訪問服務(wù)器（上面設(shè)了INPUT規(guī)則的主機(jī)IP為01），成功登錄。iptables命令舉例[root@server~]#iptables-IINPUT-ptcp-s--dport80-jREJECT[root@server~]#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationREJECTtcp--anywheretcpdpt:httpreject-withicmp-port-unreachableACCEPTtcp--/24anywheretcpdpt:sshREJECTtcp--anywhereanywheretcpdpt:sshreject-withicmp-port-unreachable……省略部分輸出信息……●向INPUT規(guī)則鏈中添加拒絕主機(jī)訪問本機(jī)80端口（Web服務(wù)）的策略規(guī)則：iptables命令舉例[root@server~]#iptables-AINPUT-ptcp--dport1000:1024-jREJECT[root@server~]#iptables-AINPUT-pudp--dport1000:1024-jREJECT[root@server~]#iptables-LChainINPUT(policyACCEPT)targetprotoptsourcedestinationREJECTtcp--anywheretcpdpt:httpreject-withicmp-port-unreachableACCEPTtcp--/24anywheretcpdpt:sshREJECTtcp--anywhereanywheretcpdpt:sshreject-withicmp-port-unreachableREJECTtcp--anywhereanywheretcpdpts:cadlock2:1024reject-withicmp-port-unreachableREJECTudp--anywhereanywhereudpdpts:cadlock2:1024reject-withicmp-port-unreachable……省略部分輸出信息……●向INPUT規(guī)則鏈中添加拒絕所有主機(jī)訪問本機(jī)1000～1024端口的策略規(guī)則：iptables命令舉例

使用iptables命令配置的防火墻規(guī)則默認(rèn)會(huì)在系統(tǒng)下一次重啟時(shí)失效，如果想讓配置的防火墻策略永久生效，還要執(zhí)行保存命令：

#serviceiptablessave[root@server~]#serviceiptablessaveiptables:Savingfirewallrulesto/etc/sysconfig/iptables:[確定][root@server~]#cat/etc/sysconfig/iptables……省略部分輸出信息