2. 程式人生 > >iptables filter表

iptables filter表

阿新 發佈:2018-02-01
ping命令 過濾 open consola prot invalid 指定 fan 但是

10.15 iptables filter表小案例

iptables擴展選項(了解)

其實匹配擴展中,還有需要加-m引用模塊的顯示擴展,默認是隱含擴展,不要使用-m。

狀態檢測的包過濾:

  • -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定檢測那種狀態

  • -m multiport 指定多端口號
    --sport
    --dport
    --ports

  • -m iprange 指定IP段
    --src-range ip-ip
    --dst-range ip-ip

  • -m connlimit 連接限定
    --comlimit-above # 限定大連接個數

  • -m limit 現在連接速率,也就是限定匹配數據包的個數

    --limit 指定速率
    --limit-burst # 峰值速率,最大限定

  • -m string 按字符串限定
    --algo bm|kmp 指定算法bm或kmp
    --string "STRING" 指定字符串本身

規則:放行指定端口

使用腳本設定規則:

創建腳本:
[root@adai003 ~]# vi /usr/local/sbin/iptables.sh

#! /bin/bash
ipt="/usr/sbin/iptables"
# 定義一個變量——iptables命令(定義變量時盡量使用絕對路徑,避免環境變量的影響)
$ipt -F
# 清空原有規則
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
# 上面三行是定義其默認策略
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# -m是指定檢測狀態,--state指定數據包狀態(配合-m使用),該命令行的目的是使數據處理(通信
)更順暢
$ipt -A INPUT -s 192.168.8.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
# 上面三行命令是指定放行的包的類型  
 icmp示例
 iptables -I INPUT -p icmp --icmp-type 8 -j DROP

執行該腳本中的規則:
[root@adai003 ~]# sh /usr/local/sbin/iptables.sh

註意: 腳本中指定的IP如果和主機IP不同時不要在遠程端口直接運行該腳本!

icmp協議示例

[root@adai003 ~]#iptables -I INPUT -p icmp --icmp-type 8 -j DROP

說明: 該規則的含義是:只允許本機訪問外網,不允許外網訪問本機!

10.16-10.18 iptables nat表應用

應用1

環境:
A機器兩塊網卡ens33(192.168.8.125)、ens37(192.168.100.1),ens33可以上外網,ens37僅僅是內部網絡,B機器只有ens37(192.168.100.100),和A機器ens37可以通信互聯。

準備工作:

  • 準備兩臺虛擬機

  • A機器添加一塊網卡ens37,ens37的網絡連接方式選擇‘LAN區段模式’(內網交換機連接,該模式下Windows無法與該客戶端連接),開機後並設定IP為192.168.100.1

  • B機器關閉原有網卡連接,新增網卡ens37,開機後設定IP為192.168.100.100(網絡連接模式選擇LAN區段,並和A機器中的ens37網卡選擇相同區段)

設置ens37的IP:

  • 方法1:
    直接在命令行使用ifconfig命令

[root@adai003 ~]# ifconfig ens37 192.168.100.1/24

註: 該方法只是臨時設定IP,重啟後會丟失。

  • 方法2: 復制ens33的配置文件,然後在配置問價年內進行設置!

需求:

  • 需求1: 可以讓B機器連接外網

    [root@adai003 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
該命令是更改內核設置,打開路由轉發功能,默認值是0.
    [root@adai003 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE 
[root@adai003 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      ens33   192.168.100.0/24     0.0.0.0/0

    說明: -o 選項後面跟設備名稱,表示出口網卡,MASQUERADE是偽裝、冒充的意思。

    [root@adai003 ~]# route add default gw 192.168.100.1

    技術分享圖片

    [root@adai003 ~]# vim /etc/resolv.conf
# Generated by NetworkManager
nameserver 119.29.29.29

    然後使用ping命令檢測,網絡通暢!
    註: 此時B機器可以連通外網,但是外網機器無法訪問B機器,A機器的作用就類似於一個路由器!

    • 步驟四:配置DNS(編輯DNS配置文件)

    • 步驟三:為B設置網關為A機器ens37的IP:

    • 步驟二:在A機器的nat表中增加一條規則

    • 步驟一:A機器打開路由轉發

    • 需求2: C機器只能和A通信,讓C機器可以直接連通B機器的22端口(端口映射)

      [root@adai003 ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
該命令是更改內核設置,打開路由轉發功能,默認值是0.
      規則1:
[root@adai003 ~]# iptables -t nat -A PREROUTING -d 192.168.8.125 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

規則2:
[root@adai003 ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.8.125
      [root@adai003 ~]# route add default gw 192.168.100.1

      Finish!

      • 步驟三:為B設置網關為A機器ens37的IP:

      • 步驟二:在A機器的nat表中增加2條規則(執行該步驟前先清除nat表原有規則)

      • 步驟一:A機器打開路由轉發

      應用2

      iptables限制syn(同步)速度

      原理: 每5s內tcp三次握手大於20次的屬於不正常訪問。

      [root@adai002 ~]# iptables -A INPUT -s ! 192.168.0.0/255.255.255.0 -d 192.168.8.125 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name httpuser --rsource  

[root@adai002 ~]# iptables -A INPUT -m recent --update --seconds 5 --hitcount 20 --name httpuser --rsource -j DROP

      說明: 其中192.168.0.0/255.255.255.0 為不受限制的網段,192.168.8.125為本機IP。
      該iptables策略,可有效預防syn攻擊,也可以有效防止機器人發垃圾帖。

      應用3

      iptables針對一個網段設置規則:

      [root@adai002 ~]# iptables -I INPUT -m iprange --src-range 61.4.176.0-61.4.191.255 -j DROP

      iptables中DNAT、SNAT和MASQUERADE

      • DNAT(Destination Network Address Translation,目的地址轉換) 通常被叫做目的映射。

      • SNAT(Source Network Address Translation,源地址轉換)通常被叫做源映射。

      iptables中DNAT和SNAT工作原理:
      在任何一個IP數據包中,都會有Source IP Address與Destination IP Address這兩個字段,數據包所經過的路由器也是根據這兩個字段是判定數據包是由什麽地方發過來的,它要將數據包發到什麽地方去。而iptables的DNAT與SNAT就是根據這個原理,對Source IP Address與Destination IP Address進行修改。

      數據包在iptables中要經過的鏈(chain):

      技術分享圖片
      上圖是系統對數據包進行判定轉發的過程,在這裏,系統會根據IP數據包中的destination ip address中的IP地址對數據包進行分發。如果destination ip adress是本機地址,數據將會被轉交給INPUT鏈。如果不是本機地址,則交給FORWARD鏈檢測。

      這也就是說,我們要做的DNAT要在進入判定轉發轉發過程之前進行,也就是在PREROUTING鏈中做,比如我們要把訪問202.103.96.112的訪問轉發到192.168.0.112上:“iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112”,這調規則的作用其實就是將已經達到這臺Linux網關(防火墻)上的數據包上的destination ip address從202.103.96.112修改為192.168.0.112然後交給系統路由進行轉發。
      同理,SNAT要在數據包流出這臺機器之前的最後一個鏈也就是POSTROUTING鏈來進行操作:“iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66”,這個語句就是告訴系統把即將要流出本機的數據的source ip address修改成為58.20.51.66。這樣,數據包在達到目的機器以後,目的機器會將包返回到58.20.51.66也就是本機。如果不做這個操作,那麽你的數據包在傳遞的過程中,reply的包肯定會丟失。

      • MASQUERADE(偽裝)

      假如當前系統用的是ADSL/3G/4G動態撥號方式,那麽每次撥號,出口IP都會改變,SNAT就會有局限性。
      “iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE”
      重點在MASQUERADE這個設定值就是將動態IP偽裝成為(-o)的那塊裝置上的IP,不管現在eth0的出口獲得了怎樣的動態IP,MASQUERADE會自動讀取eth0設定的IP地址然後做SNAT出去,這樣就實現了很好的動態SNAT地址轉換。

      10.19 iptables規則備份和恢復

      備份(另存為)

      命令:iptables-save

      [root@adai003 ~]# iptables-save > /tmp/ipt.txt

      恢復

      [root@adai003 ~]# iptables-restore < /tmp/ipt.txt


      iptables filter表

      相關推薦

      iptables filter 小案例

      filter class logs cmp input nbsp inpu forward tables 案例1:放行 21 、22 、80 端口,且 22 端口只允許 192.168.5.0/24 這個 IP 段訪問 #!/bin/bash ipt="/sbin/

      iptables filter案例及iptables nat應用

      out accept 設備名 -- 策略 nbsp 案例 1.0 nat iptables filter表案例iptables小案例需求只針對filter表,預設策略INPUT鏈DROP,其他兩個鏈ACCEPT,然後針對192.168.1.0/24開通22端口,對所有網段開

      iptables filter案例/iptables nat應用

      修改 它的 登錄 strong 服務 上網 table http roo iptables filter表案例 iptables filter 表案例創建一個iptables.sh腳本 [root@Ask-02 ~]# vim /usr/local/sbin/iptabl

      10.15 iptables filter案例 10.16/10.17/10.18 iptable

      def tab 1.0 轉發規則 cto 操作 process tin mes 10.15 iptables filter表案例 10.16/10.17/10.18 iptables nat表應用 A機器有兩塊網卡ens33 192.168.15.132 ; ens

      iptables filter案例

      route add 變量 刪除 3.0 參數 絕對路徑 cab tput 清除 第1章 iptables filter表小案例案列:只針對filter表,預設策略INPUT鏈DROP,其他兩個鏈ACCEPT,然後針對192.168.133.0/24開通22端口,對所有網段開

      iptables filter

      ping命令 過濾 open consola prot invalid 指定 fan 但是 10.15 iptables filter表小案例iptables擴展選項(了解)其實匹配擴展中,還有需要加-m引用模塊的顯示擴展,默認是隱含擴展,不要使用-m。狀態檢測的包過濾:-

      七周四次課 iptables filter案例以及iptables nat應用

      iptables filter表 iptables nat表 iptables小案例將80端口,22端口和21端口放行,22端口需要指定IP段,只有指定IP段訪問才可以。其他段一概拒絕。我們可以用一個腳本來實現。 #!/bin/bashipt="/usr/sbin/iptables"

      Linux學習筆記(三十二)iptables filter案例、 iptables nat應用

      iptables filter表案例、 iptables nat表應用 一、iptables filter表案例需求:將80、20、21端口放行,對22端口指定特定的ip才放行以下為操作方法:vim /usr/local/sbin/iptables.sh //加入如下內容#! /bin/bas

      三十二、iptables filter小案例、iptables nat應用

      iptables小案例 iptables應用 三十二、iptables filter表小案例、iptables nat表應用一、iptables filter表小案例需求:只針對filter表,預設策略INPUT鏈DROP,其他兩個鏈ACCEPT,然後針對192.168.188.0/24開通22端口,

      iptables 語法、iptables filter小案例

      iptables 語法 iptables filter表小案例 1、iptables 語法 查看規則,輸入命令 iptables -nvL ,回車,見下圖,現在重啟下,再查看,見下圖,可以看到,規則沒有改變。那麽規則在哪裏保存的呢?見下圖,清空規則,使用命令 iptables -F ,見下圖,清空規

      iptables filter案例、iptables nat應用

      Linuxiptables filter表案例 案例: 需求:把80端口22端口21端口放行,22端口指定一個IP段,只有這個IP段的ip訪問的時候才可以訪問到,其他段的都拒絕。 我們先編寫一個shell腳本 vim /usr/local/sbin/iptables.sh 加入如下內容 #! /bin/bas

      iptables filter實例

      iptables filter filter表應用不指定iptables表的類型,默認使用filter表,用來做訪問控制的防火墻。例如:只允許192.168.1.0/24這個網段來訪問22端口,開發 80 和 21 端口。# vim iptables.sh#! /bin/baships="/

      iptables filter 案例、iptables nat

      訪問 eth0 lis src -- OS tro ima CP 1、小案例 #!/bin/bashipt="/usr/sbin/iptables"$ipt -F$ipt -P INPUT DROP$ipt -P OUTPUT ACCEPT$ipt -P FORWARD

      iptables filter案例 iptables nat應用

      iptables filter表案例ipt="usr/sbin/iptables" //定義變量,盡量寫全局的絕對路徑,這樣在腳本中不會有變量問題導致不可執行$ipt -F //清空之前的規則$ipt -P INPUT DROP //定義默認策略$ipt -P

      10.15 iptables filter案例 10.16/10.17/10.18 iptables nat應用

      restart user recent 不可 routing hat col back NPU 10.15 iptables filter 表小案列 -需要把80端口、22端口、21端口放行,22端口指定一個ip段,只有這個ip段的ip訪問的時候才可以訪問到,其他拒絕,這個

      iptables filter 案例、iptables nat的路由功能 、端口映射

      iptables linux filter linux iptables 具體詳解:http://www.cnblogs.com/nfyx/p/9017597.html 具體詳解:http://www.cnblogs.com/nfyx/p/9017597.htmliptable

      10.15 iptables filter案例 iptable nat應用

      應用 無法 通過 簡單 font rda udp accep 失效 這個和-t filter 打印的信息是一樣的。關於清除規則的命令中,[root@aminglinux-123 ~]# iptables -F [root@aminglinux-123 ~]# iptabl

      iptables filter的INPUT ,FORWARD,OUTPUT

      背景介紹: 前期在做機房規劃的時候忘記做其他的vlan的劃分,現在有需求新增私網的一個環境給研發作除錯用(172.16.1.0/24)。在滿足172網段互通的同時還要保證可以訪問外網,同時由於安全考慮不能訪問其他的網段機伺服器。 準備工作: a. 宿主機連線的交換機埠設定為trunk,&n

      iptables防火牆 filter控制 擴充套件匹配 nat典型應用

      NSD SECURITY DAY04 案例1:iptables基本管理 案例2:filter過濾和轉發控制 案例3:防火牆擴充套件規則 案例4:配置SNAT實現共享上網 1 案例1:iptables基本管理 1.1 問題 本案例要求練習iptables命令的使用,

      04: iptables防火牆 filter控制 擴充套件匹配 nat典型應用

      Top NSD SECURITY DAY04 1 案例1:iptables基本管理 1.1 問題 本案例要求練習iptables命令的使用,按照要求完成以下任務: 關閉firewalld,開啟iptables服務 檢視防火牆規則 追加、插入防火牆規則 刪除