iptables防火墙 (适用于Linux centos7以前的版本) 配置文件路径 /etc/sysconfig/iptables
iptables 相当于‘防火墙’ 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统 (准确的来说 iptables 不是真正的“防火墙”)
可以用来管理IP信息包过滤和防火墙配置
先给大家讲讲这些专业名词的排序(个人这样认为)
1,(Netfileter) 容器 是表的容器,假如他是"楼",那么表则是"楼"里面的一层
2,(tables) 表 表是链的容器,同上,他是"层",链则是"房子"。(表不止一个)
3,(chains) 链 是规则(Policys)的容器、链属于表。接上,链是"房间",每一层都可能会有房子
4,(policy) 规则 比较容易理解、规则(policy)属于链(chains)。就是iptables一系列过滤信息和具体操作方法、可以理解为该如何设计这个房间之后住起来才会舒服。
(Netfileter基本属于最上层,下面则是,表,链,规则)
网上随意找了个拓扑图,还挺容易理解的
iptables工具会根据你设定的规则来决定数据包的去留,基本就是,只要你想就能让“任何东西”进不来
防火墙的规则有先后顺序,只要遇到匹配的规则则会直接通过,不继续向下执行
重点: 匹配上了拒接规则也是匹配。因此不在继续向下进行、这一点大家要注意、
(INPUT是一个规则链) -A (append) 添加、追加, 列如:iptables -A INPUT 追加规则至规则链 (这里是INPUT规则里) -j 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 (-j 一般在规则的最后一条) 例:iptables -A INPUT -p tcp --dport 6379 -j ACCEPT ( 端口6379接受tcp协议) iptables -A INPUT -p 协议 --dport 端口 -j REJECT (某端口拒绝了某协议) -D (delete)删除 删除规则 例:iptables -D INPUT --dport 80 -j REJECT (dport是目标端口) 或者是直接后面追加 规则编号 例:iptables -D 1 -R( replace) 例:iptables -R INPUT 1 -s 192.168.0.1 -j DROP 取代 现行规则,规则被取代后并不会改变顺序。(1是位置) 后面追加的则是新的规则 -l (insert) 例:iptables -l INPUT 3 --dport 80 -j ACCEPT 插入一个规则,输入规则的位置数(这里是3)输入后会让原有规则向后移动一位,(原有规则变成4自己变成3) -L (list) 例: iptables -L INPUT 列出某规则链中的所有规则 -F(flush) 列: iptables -F INPUT 删除某规则链(这里是INPUT规则链)中的所有规则 -Z (zero) 列: iptables -Z INPUT 将分包计数器归零。封包计数器是用来计算同一封包出现次数,是过滤阻断式(用于限制同一数据包的访问数量,过滤违规访问) -N (new chain新建) 例:iptables -N allowed 定义新的规则链 -X (delete chain) 例:iptables -X allowed 删除某一个规则链 -P (policy) 例:iptables -P INPUT DROP 定义过滤政策。也就是未符合过滤条件之封包,预设的处理方式。 -E(rename chain) 例:iptables -E allowed disallowed 修改某自定规则链的名称
常用封包对比参数(我称它为第二选项)
举例:iptables -A INPUT -p tcp -j ACCEPT (红色的则是属于第二选项)
-p (protocol) 指定协议 例:iptables -A INPUT -p tcp (-p all 所有协议)(-p !tcp 去除tcp之外的所有协议) -s (src source) (指定源地址,指定源端口--sport) 例:iptables -A INPUT -s 192.168.1.1 用来比对封包的来源 IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽, 例:-s 192.168.0.0/24,比对 IP 时可以使用 ! 运算子进行反向比对, 例:-s ! 192.168.0.0/24 -d (dst destination) (指定目的地址,指定目的端口--dport) 例:iptables -A INPUT -d 192.168.1.1 用来比对封包的目的地 IP,设定方式同上。 -i (in interface) (指定入口网卡) -i eth+ 所有网卡 例: iptables -A INPUT -i eth0 说明 用来比对封包是从哪片网卡进入,可以使用通配字符 + 来做大范围比对, 例:-i eth+ 表示所有的 ethernet 网卡,也以使用 ! 运算子进行反向比对, 例:-i ! eth0。 -o(out interface) (指定出口网卡) 例: iptables -A FORWARD -o eth0 说明 用来比对封包要从哪片网卡送出,设定方式同上。 --sport (source port) (源端口) 例: iptables -A INPUT -p tcp --sport 22 用来比对封包的来源端口号,可以比对单一埠,或是一个范围, 例:--sport 22:80, 表示从 22 到 80 端口之间都算是符合件, 如果要比对不连续的多个埠,则必须使用 --multiport 参数(添加多个不连接的端口,不使用则是添加连续的端口),比对埠号时,可以使用 ! 运算子进行反向比对。 --dport (destination-port) (目的端口) 例:iptables -A INPUT -p tcp --dport 22 说明 用来比对封包的目的端口号,设定方式同上。 --tcp-flags (只过滤TCP中的一些包,比如SYN包,ACK包,FIN包,RST包等等) 例: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 比对 TCP 封包的状态旗号,参数分为两个部分,第一个部分列举出想比对的旗号, 第二部分则列举前述旗号中哪些有被设,未被列举的旗号必须是空的。TCP 状态旗号包 括:SYN(同步)、ACK(应答)、 FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时,可以使用 ! 运算子行反向比对。 --syn 例: iptables -p tcp --syn 用来比对是否为要求联机至 TCP 封包,与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。 -m multiport --source-port 例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 说明 用来比对不连续的多个来源埠号,一次最多可以比对 15 个埠,可以使用 ! 运算子进行反向比对。 参数 -m multiport --destination-port 例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 说明 用来比对不连续的多个目的地埠号,设定方式同上。 参数 -m multiport --port 例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 说明 这个参数比较特殊,用来比对来源埠号和目的埠号相同的封包,设定方式同上。 注意:在本范例中,如果来源端口号为 80目的地埠号为 110,这种封包并不算符合条件。 --icmp-type 例: iptables -A INPUT -p icmp --icmp-type 8 用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。 输入 iptables -p icmp --help 来查看有哪些代码可用。 -m limit --limit 例:iptables -A INPUT -m limit --limit 3/hour 说明 用来比对某段时间内封包的平均流量,上面的例子是用来比对:每小时平均流量是 否超过一次 3 个封包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次, 默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行封数量的 比对外,设定这个参数也会在条件达成时,暂停封包的比对动作,并避免大面积洪水攻击。 --limit-burst 例:iptables -A INPUT -m limit --limit-burst 5 用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超 过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。 -m mac --mac-source 例:iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 用来比对封包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting规则炼上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。 --mark 例:iptables -t mangle -A INPUT -m mark --mark 1 用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。 -m owner --uid-owner 例:iptables -A OUTPUT -m owner --uid-owner 500 说明 用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出 来自其它主机的封包。 -m owner --gid-owner 例:iptables -A OUTPUT -m owner --gid-owner 0 用来比对来自本机的封包,是否为某特定使用者群组所产生的,使用时机同上 -m owner --pid-owner 例:iptables -A OUTPUT -m owner --pid-owner 78 用来比对来自本机的封包,是否为某特定行程所产生的,使用时机同上 -m owner --sid-owner 例:iptables -A OUTPUT -m owner --sid-owner 100 说明 用来比对来自本机的封包,是否为某特定联机(Session ID)的响应封包,使用时,同上 -m state --state 例:iptables -A INPUT -m state --state RELATED,ESTABLISHED 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。 INVALID 表示该封包的联机编号(Session ID)无法辨识或编号不正确。 ESTABLISHED 表示该封包属于某个已经建立的联机。 NEW 表示该封包想要起始一个联机(重设联机或将联机重导向)。 RELATED 表示该封包是属于某个已经建立的联机,所建立的新联机。例如:FTP-DATA 联机必定是源自某个 FTP 联机。
多使用几遍,常用的也就记住了,没必要全部记得很清楚,大概了解一下就能看得懂--help了
部分内容转载至https://blog.csdn.net/weixin_33743880/article/details/92171691
东西很多,慢慢理解就可以 加油!