iptables 防火墙基本配置和使用

iptables

iptables 意味 ip 表,看起来和 路由表,ARP 表挺像的,都是在网络传输过程中做一些查找和转换。在 Linux 上一般默认的防火墙就是 iptables ,但是在 Cent OS 7 中,防火墙变为了 firewall ,还是比较习惯用 iptables,所以把 firewall 换回了 iptables。
禁用 firewall ,安装使用 iptables。
在接下来的操作中都是默认使用 root 权限,如果不是,请加上 sudo
    

    2. 

    3. 

    4. 

    5. 

    6. 

    7. 

    8.
iptables 常用命令
    

    2. 

    3. 

    4. 

    5. 

    6. 

    7. 

    8. 

    9. 

    10. 

    11. 

    12. 

    13. 

    14. 

    15. 

    16. 

    17. 

    18. 

    19. 

    20. 

    21. 

    22. 

    23. 

    24. 

    25. 

    26.

iptables 组成

四表五链

表:

  • filter 用于过滤,访问控制、规则匹配
  • nat 用于nat功能,端口映射,地址转发
  • mangle 用于用于对特定数据包的修改
  • raw 原生的数据,raw 中的数据包不会被系统跟踪
一般前两张表用的比较多

链:

  • INPUT 匹配目的地址为本机的
  • OUTPUT 匹配向外转发的
  • FORWARD 匹配本机转发的
  • PREROUTING 路由前,用于修改目的地址(DNAT)
  • POSTROUTING 路由后,用于修改源地址(SNAT)

iptables 命令

iptables [-t 表名 ] 命令 链名 匹配 -j 操作
默认使用 filter 表

命令

  • -A (append)追加一条规则
  • -I (insert)插入一条规则,因为 iptables 的规则是从前往后匹配,找到匹配即停止,所以 drop 或 reject操作一般是放在最后,那么如果在这里操作之后再用 -A 就不起作用,此时即使用 -I
  • -L (list)显示所有的链的规则,一般查看 iptables 所有规则常用 iptables -vnL
  • --line-number 显示规则序号,一般用来删除某条规则时需要先查看其序号
  • -D (delete)删除一条规则,例如 iptables –D INPUT 3,删除 filter 表 INPUT 链第三条规则
  • -F (flush)清空规则
  • -P (policy)设置某链默认规则
  • -v (verbose)详细模式
  • -n (numeric)显示每一条规则的端口,默认显示的是服务
  • -4 (ipv4) 设定 IPv4 的规则,默认是 IPv4
  • -6 (ipv6) 设定 IPv6 的规则
  • -V (version)版本号

匹配条件

  • -i (input)进入接口 如 eth0,wlan0
  • -o (output)出去接口
  • -s (source)来源地址,例如 -s 192.168.1.0/24,可单IP
  • -d (destination)目的地址
  • -p (protocol)协议类型(tcp、udp、icmp)
  • -m (match)完全匹配 -m state 匹配状态
  • --sport 来源端口,例如 --sport 1000 ,匹配源端口1000,也可以1000:3000指定范围
  • --dport 目的端口
  • --state 状态 NEW(收到的第一个包),ESTABLISHED(建立连接的包),RELATED(连接稳定的包),INVALID(不正确的包),UNTRACKED(不被显示的包)
  • --mac 来源MAC地址匹配
  • --limit 包速率匹配
  • --multiport 多端口匹配,端口以逗号分隔

操作

  • ACCEPT 允许数据包通过
  • DROP 阻止数据包通过
  • REJECT 拒绝数据包通过,并返回报错信息
  • SNAT 应用 nat 表的 POSTROUTING 链,进行源地址转换,可单个、一组IP
  • DNAT 应用 nat 表的 PREROUTING 链,进行目的地址转换,可单个、一组IP
  • MASQUERADE 动态源地址转换,动态IP时使用
默认 iptables 配置文件位置 /etc/sysconfig/iptables

简单使用

关闭 iptables ,开启 iptables,查看 iptables 状态,重启 iptables
    

    2. 

    3. 

    4. 

    5.
iptables 的规则都是立即生效的,但是并没有保存下来,重启就会失效,如果需要长久使用,需要保存 iptables 规则。
    

    2.
在 Cent OS 7 上的 iptables 保存规则是 iptables-save > /etc/sysconfig/iptables
查看现有规则,并清空所有规则
    

    2. 

    3. 

    4. 

    5.
允许本地访问,lo 数据包,并允许 ICMP 协议的数据包(ping)和 正常本地向外连接
    

    2. 

    3. 

    4.
允许 22 (ssh) 和 80 (http) 端口的访问
    

    2. 

    3.
防止 CC,DOS 攻击,限制每个 IP 的并发连接数
    

    2.
防止 DDOS 攻击,限制每个 IP 每秒并发连接数
    

    2. 

    3.
除开放的端口外,其他端口都禁止访问
    

    2.
在公司内部局域网 10.10.155.0/24, 10.10.188.0/24 能够访问服务器上任何服务。外网可以访问公司 HTTP 服务和 VPN 服务。
    

    2. 

    3. 

    4. 

    5. 

    6. 

    7. 

    8. 

    9.

端口转发

NAT( Network Address Translation,网络地址转换 ) ,用来解决 Ipv4 地址不足的问题,可以通过少量的 公有 IP 来代表多数 私有 IP,一般通过 端口转发 来实现,在学校,公司,研究机构等场景应用较为广泛。
NAT 按照寻址方式来分有动态地址转换,静态地址转换,按照转换格式来分有源地址转换,目的地址转换。
  • 源地址转换 (Source NAT,SNAT) 用于局域网内的用户向外访问公网,当局域网内部用户访问外网时,网关将其 源地址 的私有 IP 改为公有 IP
  • 目的地址转换 (Destination,DNAT) 用于公网用户访问局域网内服务,当公网用户想访问内网服务时,网关将内网服务从 私有 IP 映射到 公有 IP 上,即可进行访问。
在使用 iptables 做 NAT 之前,先要确定一下电脑是否已经开启路由转发
    

    2.
如果为 0 则未开启,将其改为 1 即可。这个只是暂时的更改,同样的在重启之后就恢复默认值,若是想永久更改可以在 /etc/sysctl.conf 或 /etc/rc.d/rc.local 中写入 echo "1" > /proc/sys/net/ipv4/ip_forward

SNAT

在 有线网卡 eth0 上使用 动态地址转换,所有通过这个网卡的局域网用户都可以访问外网,eth0 。
    

    2.
静态地址转换
    

    2.

DNAT

通过公网端口映射内网端口来实现公网访问内网。
    

    2.
或者根据外网网卡做映射
    

    2. 

    3.
这里不用再配 SNAT ,因为系统会根据数据包的来源再返还回去。
还可以做流量劫持,比如你在路由器上,内网设备都通过 br-lan,把内网设备网站劫持到你的路由器配置页面。
    

    2.
对 HTTPS 的站无效。

端口转发

本地端口转发

将本机的 8080 端口的服务转发到 80 端口上,只对外有效,在本机内并不做这个转换。
    

    2.

负载均衡

端口转发实现负载均衡
    

    2.

默认 iptables 配置

    

    2. 

    3. 

    4. 

    5. 

    6. 

    7. 

    8. 

    9. 

    10. 

    11. 

    12.
cent OS 上 iptables 的默认配置
    

    2. 

    3. 

    4. 

    5. 

    6. 

    7.

参考链接


评论

发表评论

此博客中的热门博文

How to Build a Cocos2d-x Android App for Multiple Architectures

If you have ever tried to run a Cocos2d-x app in an Android emulator, you might be familiar with this error: INSTALL_FAILED_NO_MATCHING_ABIS. This happens because your emulator is using one architecture while your app is compiled for a different architecture. Specifically, most people use x86 Android emulators, because they’re faster than their ARM counterparts. In Cocos2d-x 3.15.1, the default architecture is armeabi. Let’s explore how to fix this. The Fix We need to tell our project to compile for other architectures. In order to do so, we need to edit two files. First, head over to your  application.mk . Open it up and find this line. APP_ABI := armeabi Change it to the following. APP_ABI := armeabi armeabi-v7a x86 Now find your  gradle.properties , and locate the following line. PROP_APP_ABI=armeabi Add the other architectures, separated by colons, and we’re good to go! PROP_APP_ABI=armeabi:armeabi-v7a:x86 Time to Recompile Open up Terminal and navigate...
阅读全文

Android跨平台编译 —— libevent

此文大量引用参考  https://www.dplord.com/2017/10/10/android-ndk-compile-libevent/ 前言     前言都在  Android跨平台编译 —— BOOST     PS:有一些基础知识介绍,还是挺重要的。      准备工作     编译环境 mac os x     ndk版本 ndk 16rb     libevent版本 2.1.8     编译工具 cmake     假设我们已经在android studio上安装了ndk和cmake。     首先需要下载libevent ,这里有个问题,如果直接从官网上下载tar包,解压之后是没有CMakeLists.txt文件的,所以无法使用cmake进行编译。所以我们需要从github上直接下载,地址 https://github.com/libevent/libevent      去clone下来,然后checkout到 release-2.1.8-stable 这个tag上。     环境已经准备就绪。      编译 步骤1    首先打开根目录下的CMakeLists.txt文件,有几处改动 diff --git a/CMakeLists.txt b/CMakeLists.txt index b4a34f3d..c32721d1 100644 --- a/CMakeLists.txt +++ b/CMakeLists.txt @@ -105,7 +105,7 @@ option(EVENT__BUILD_SHARED_LIBRARIES      "Define if libevent should be built with shared libraries instead of...
阅读全文

开源 C++ 库列表

此页面的目的是构建开源 C++ 库的比较列表,使得人们在需要特定功能的实现时,不必浪费时间在网上( DuckDuckGo 、谷歌、必应等)搜索。 若你知道可能对其他人有用的库,请在此添加到它的链接。能包含者无限制,除了必须能便捷地下载库源码。 以“原态”提供此页面——希望这有用,但不提供任何担保。过时、误导或错误的链接可能出现于此。若你注意到这些错误,则改正它会很有意义。 Boost  - 大量通用库的汇集( Boost 许可) GSL  -  Guideline Support Library 实现,为 Bjarne Stroustrup, Herb Sutter 和 Co 在《 C++ 核心方针》中推荐 BDE  -  来自 Bloomberg L.P. 的 Bloomberg Development Environment 核心库( Apache 许可) Dlib  - 网络、线程、图形用户界面、数据结构、线性代数、机器学习、 XML 及文本分析、数值优化、贝叶斯网络和大量其他任务( Boost 许可) JUCE  - 扩展性的成熟跨平台 C++ 工具套( GPL 许可) Loki  - 设计模式 Reason  -  xml 、 xpath 、正则表达式、线程、接头、 http 、 sql 、日期时间、流、编码与解码、文件系统、压缩( GPL 许可) yomm2  - C++17 的开放式多方法( Boost 许可) Folly  -  Facebook 开源库。设计带有构思中的实践性和效率设计的 C++11 组件库。 Abseil  - Google 设计以补足 C++ 标准库的开源 C++ 库代码汇集。 cxxomfort  - C++ 特性逆向移植( C++11 到 C++03 及 C++1y 提案到 C++11/C++03 )。 libsourcey  - 高速网络化和多媒体编码的跨平台 C++11 库。 HTTP 、 WebSockets 、 TURN 、 STUN 、 ...
阅读全文