深入解析iptables防火墙配置与实战应用_Linuxiptables技术实务：防火墙、频宽管理、连线管制资源-CSDN文库

需积分: 5 102 浏览量 2024-10-11 09:44:58 上传评论收藏 1.52MB PDF 举报

资源推荐

资源详情

资源评论

《iptables 防火墙应用与技术》系列分享专栏

简介

iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或LAN的代理服务器，则有利于在Linux系统上更好地控制IP信息包

过滤和防火墙配置。

文章

Iptables 之我见（鼓励跟贴,完成此文）

NAT服务器上巧用iptables之iptables技巧实例

iptables防火墙打造安全网络

用iptables抗御SYN Flood攻击

Iptables 之简单命令（初学者常用）

RHCE课程-RH253Linux服务器架设笔记十-Iptables防火墙

默认Iptables防火墙规则的小实验[附脚本]

RHCE心得18——Iptables学习心得

iptables网络服务的搭建和配置

iptables之7层过滤（封QQ、MSN、P2P等）

IPTABLES防火墙&&Layer7应用层过滤策略

linux下设置iptables实现NAT功能

RedHat 5.4 RHCE iptables & nat学习笔记

centos服务器iptables脚本

iptables的详细介绍及配置方法

再谈iptables防火墙的连接状态

深入浅出Netfilter/iptables防火墙框架（基础篇）

iptables从入门到精通

深入浅出Netfilter/iptables防火墙框架（入门篇）

利用shell和iptables实现自动拒绝恶意试探连接SSH服务

自动甄别黑白名单的iptables安全脚本

shell结合iptables自动拒绝恶意连接ssh

iptables实战系列：公共网络服务防火墙

实例简释iptables + l7-filter配置及使用

用一台linux主机做iptables防火墙

iptables实战系列：通过NAT转发实现私网对外发布信息

Iptables和代理服务器联合控制访问的配置

构建高安全电子商务网站之Linux服务器iptables规则列表全攻略[连载之电子商务系统架构]

RHEL5.7下iptables防火墙配置（上）

安全的Web主机iptables防火墙脚本

iptables企业应用

iptables官方手册整理

nagios 实时监控 iptables 状态

iptables详解

Iptables 之我见（鼓励跟贴,完成此文）

IPTABLES 是linux系统中集成的一个防火墙系统，是我个人感觉它是linux中设置比较灵活而又难度较大的一个系统。下面是我在使用IPTABLES过程中积累的一些认识和知识的积

累。如果您有更好的或者说更多的应用，请跟贴。好东西大家分享。我始终相信 “技术无极限，沟通是关键”。好东西大家支持。共同学习，共同进步。向所有提供资料和跟贴的

同仁表示感谢。

1、先说说表（1）Filter tables (过滤表) －包含 INPUT、OUTPUT、FORWARD 用于处理输入、输出和转发包。Filter表是缺省的表。

（2）Nat 表－包含PREROUTING(路由前)、POSTROUTING(路由后)、OUTPUT(输出) 用于处理网络地址翻译。

（3）mangle表（矫正表）

2、简单的IPTABLES 命令Iptables -F (清除所以规则)

Iptables -X (清除所有自定义规则)

Iptables –L (列出当前所以规则)

Iptables –P (改变内建规则表的默认策略)

Iptables –Z(将规则表计数器清零)

3、 IPTABLES 命令规则Iptables –t filter –A INPUT –p tcp –dport 23 –j REJECT

红色部分定义使用的表

兰色部分定义匹配的规则

绿色部分定义采取的措施

采取的措施－『ACCEPT(接受，等于不进行过滤) / DROP(丢弃) / REJECT(弹回)』

-s －根据源地址进行匹配的参数

-d －根据目的地址进行匹配的参数

在使用 “！”的时候，需要在两端加空格

根据协议进行匹配的-p 参数

Icmp 、tcp、udp

4、一些常用举例和说明在调试iptables规则时，你也许需要反复修改你的脚本来实现某些特定的功能，这时建议在你的脚本里添加这样几行，以防止重复设置规则：

# 清除所有规则

iptables -F -t filter

iptables -X -t filter

iptables -Z -t filter

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

# 设置内建规则表的默认策略

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

“-t”选项是“--table”的简写，它指明了你要对哪类规则表进行操作，默认的是指filter。

以下为举例说明：

1.禁止/ 接受icmp协议－多用与ping－ [ iptables -A INPUT -p icmp -j DROP/ ACCEPT ]2. 指定端口

指定数据包进入的接口　-i 或 --in-interface

指定数据包送出的接口　-o 或 --out-interface

INPUT规则表中只允许指定-i接口，OUTPUT规则表中只允许指定-o接口，FORWARD

表可以指定这两种接口。

允许从eth1进入的数据包――[ iptables -A INPUT -i eth1 -j ACCEPT ]

允许从eth0接口送出的数据包――[ iptables -A OUTPUT -o eth0 -j ACCEPT ]

转发从eth1进入，eth0送出的数据包 ―― [ iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT ]

3. TCP/UDP扩展

指定源端口　--sport 或 --source-port

指定目的端口　--dport 或 --destination-port

允许从eth0进入访问到目标端口为21的tcp/udp数据包 ――

[iptables -A INPUT -i eth0 -p tcp/udp --dport 21 -j ACCEPT ]

4. 启动外部对内部转址

凡对 210.0.2.55:80 连线者, 则转址至 192.168.1.2:80

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 210.0.2.55 --dport 80 -j DNAT --to- destination 192.168.1.2:80

…….请跟贴

大家跟贴时，请不要把相同应用重复发帖。让我们共同完成一个IPTABLES 应用教程。

NAT服务器上巧用iptables之iptables技巧实例

NAT服务器上巧用iptables

iptables技巧实例：

作为nat服务器，必须制定一些规则来控制客户机上网的行为，下面我介绍一些常用的实例。需注意的是，为了能保证新加如的规则有效，而不受原有规则的影响，这里都是使用-

I命令在第1条规则前插入。切勿使用-A命令，否则会因iptable以编号靠前的规则为准，而覆盖了后加人的新规则。

一、禁止客户机访问不健康网站

为了保证网络的安全。需要禁止客户机访问某些不健康网站。iptables支持使用域名和ip地址两种方法来指定禁止的网站。如果使用域名的方式指定站，iptable

就会通过dns服务器查询该域名对应的所有ip地址，并将它们加人到规则中，所以使用域名指定网站时，iptables的执行速度会慢。

[例1] 添加iptables规则禁止用户访问域名为www.aaa.com的网站。然后查看filter表的FORWARD链规则列表。

iptables -I FORWARD -d www.aaa.com -j DROP

iptables -t filter -L FORWARD

[例2] 添加iptables规则禁止用户访问ip地址为10.10.10.10的网站。然后查看filter表的FORWARD链规则列表。

iptables -I FORWARD -d 10.10.10.10 -j DROP

iptables -t filter -L FORWARD

二、禁止某些客户机上网

在网络管理中会因各种原因需要禁止部分客户机上网，这时可以通过iptables

来控制。

【例1】添加iptables规则禁止ip地址为10.10.10.10的客户机上网。然后查看filter表的FORWARD链规则列表。

iptables -I FORWARD -s 10.10.10.10 -j DROP

iptables -t filter -L FORWARD

【例1】添加iptables规则禁止192.168.2.0子网里的所有客户机上网。然后查看filter表的FORWARD链规则列表。

iptables -I FORWARD -s 192.168.2.0/24 -j DROP

iptables -t filter -L FORWARD

三、禁止客户机访问某些服务

端口是tcp/ip协议里的一个重要的概念，因为在网络中许多应用程序可能会在同一时刻进行通信，当多个应用程序在同一台计算机上进行网络通信时，就要有一种方法来区分各个

应用程序。tcp/ip协议使用“端口”来区分系统中不同的服务。如 web服务使用的是tcp协议80端口，ftp使用的是20和21号端口等。由于不同的服务使用的不同端口与外界进行通信，

因此一台计算机可以互不干扰地为客户机提供多种不同的服务。计算机中可以使用的端口号从0~65535，其中tcp和udp协议使用的端口号是彼此独立的。

在网络管理过程中。经常需要禁止客户机访问internet上的某些服务。要实现这个功能，只要将禁止服务使用的端口号封闭即可。

【例1】禁止192.168.1.0子网里所有的客户机使用ftp协议下载(即封闭tcp协议的21号端口)。然后查看filter表的FORWARD联规则列表。

iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP

iptables -t filter -L FORWARD

【例2】禁止192.168.1.0子网里所有的客户机使用telnet协议链接远程计算机（即封闭tcp协议的23号端口)。然后查看filter表的FORWARD联规则列表。

iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP

iptables -t filter -L FORWARD

四、强制访问指定站点

在某些特殊场合（如领导强制要求全体员工访问某个站点），需要强制访问指定站点，即无论用户在浏览器中输入任何网址，都会被自动重定向到某个网站。使用DNAT目标网路

地址转换功能可以很好的实现这个功能。

【例1】强制所有的客户机访问210.21.118.68 这台web服务器，然后查看PREROUTING链规则列表。

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 210.21.118.68:80

iptables -t nat -L PREROUTING

注意强制访问指定的站点技术事项：

（1）只能使用网站的ip地址，不能使用网站的域名。

（2）不适用于使用虚拟主机技术的网站，应为这种网站的ip地址是由多个网站共用的。

五、禁止客户机使用QQ

封锁QQ是许多网络管理员最为头痛的问题，特别是新版的QQ比较难封锁，其实只要知道QQ使用的服务器地址和端口号就可以封闭了。那如何得知QQ使用的服务器地址和端口

号呢？其实很简单，只要进入QQ安装目录，使用记事本或其他编辑器打开以QQ号码命名的子目录下的config.db文件，即可看到QQ使用的服务器的地址和端口号。如下图：

从该文件可以看到。首先要封锁QQ使用的tcp或udp协议的8000端口，其次还要封锁提供给新版的QQ 使用 tcp 的 80 端口服务器的 IP 地址，这些服务器对应的域名分别是 tcpcon

n.tencent.com tcpconn2.tencent.com tcpconn3.tencent.com 和 tcpconn4.tencent.com .最后要封锁提供给vip会员使用的服务器http.tencent.com和http2.tencent.com.

iptable -I FORWARD -p TCP --dport 8000 -j DROP

iptable -I FORWARD -p UDP --dport 8000 -j DROP

iptable -I FORWARD -d tcpconn.tencent.com -j DROP

iptable -I FORWARD -d tcpconn2.tencent.com -j DROP

iptable -I FORWARD -d tcpconn3.tencent.com -j DROP

iptable -I FORWARD -d tcpconn4.tencent.com -j DROP

iptable -I FORWARD -d http.tencent.com -j DROP

iptable -I FORWARD -d http2.tencent.com -j DROP

六、禁止使用icmp协议

虽然ICMP协议在TCP/IP网络中可以提供测试网络的联通性和报告错误信息功能，但ICMP协议是一个无链接协议，也就是说只要发送端完成ICMP包文的封装和发送，这个ICMP

iptables防火墙打造安全网络

安全，在网络中一直是一个亘古不变的话题。只有网络存在就会存在安全问题，你就会面临被攻击的风险。在Linux2.4内核之后使用iptables/netfilter网络架构实现报过滤的防火墙

。在一定程度上取代硬件防火墙的常用功能，打造一个安全的网络环境

所谓“包过滤”技术，也就是通过匹配数据的“五元组”---源ip、目的ip、源port、目的port和协议（ip，tcp，udp，icmp等）。一般的网络防火墙也就是通过对这些数据进行匹配，来

保证内网安全的。

iptables与netfilter

一、首先要明确这两个概念：

1.linux的防火墙是linux的内核实现的，而不是系统中的服务程序实现的，linux的内核是使用netfilter架构实现这个功能的。

2.iptables只是netfilter的管理工具而已。通过对iptables的管理来实现防火墙的策略。

二、iptables中的“三项纪律”和“五大注意”

1.三项纪律：nat filter以及mangle

2.五大注意：PREROUTING、FORWARD、POSTROUTING、INPUT、OUTPUT

其框架图如下：

--------PREROUTING---→[ROUTING]---->FORWARD-----→POSTROUTING

mangle | mangle ↑ mangle

nat | filter | nat

| |

↓ |

INPUT OUTPUT

| mangle | mangle

↓ filter | nat filter

|------------→Local-----------→|

其中filter、nat、mangel为规则表，其他五个为规则链。其中规则包含在链中，而规则链包含在规则表中。nat针对地址转换、filter针对包过滤（用得最多的也就是它了）、mangel

针对策略路由和流量整形（有点QOS的味道），规则链的分配如下：

* filter：INPUT、FORWARD、OUTPUT

* nat ：PREROUTING、POSTROUTING、OUTPUT

* mangel：PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD

三、iptables的语法以及命令概述

1.iptables [-t 表] <操作命令>[规则号码][匹配条件][-j执行动作]

2.操作命令为A、D、I、R、P、F、Z

-A：追加一条规则 -D：删除规则 -I：插入规则号码 -N:修改表名

-R：替代一条规则 -P：设置默认规则 -F：清空规则 -Z：计数归零

3.查看-[vnx]L

v：详细信息 n：显示ip地址以及端口号 x：在v的基础上禁止单位换算（k）

-L 以列表的形式显示出来

4.匹配条件

-i：流入接口 -o：流出接口 -s：源地址 -d：目的地址 -m 匹配

--sport：源端口 --dport：目的端口 -p：协议（注意是小写哦）

5.处理动作

ACCEPT: 允许（相当于cisco-acl中的permit）

REJECT: 拒绝（相当于cisco-acl中的deny）

DNAT : 目的地址转换与PREROUTING表、-i结合使用

SNAT : 源地址转换与POSTROUTING表、-o结合使用

MASQUERADE：源地址伪装

5.附加模块（一定要跟-m结合使用）

state：按包状态匹配

limit：按包速率匹配（可以防止SYN FLOOD跟DOS攻击哦）

剩余115页未读，继续阅读

评论收藏

内容反馈

天涯学馆

粉丝: 2627
资源: 436

深入解析iptables防火墙配置与实战应用

实战LINUX+SHELL编程与服务器管_part1、2

Linux相关PPt....

鸟哥LINUX私房菜 第四版

linux企业运维实战资源 python自动化运维

Linux管理员指南

鸟哥猪哥的linux私房菜

LINUX课件13讲教程

鸟哥Linux私房菜

RHCE Linux Study Guide 经典教材.rar

鸟哥linux

linux相关资源.docx

2022 年全国职业院校技能大赛(中职组)网络安全赛项赛题网络安全竞赛试题9.docx

ECS运维指南之Linux系统诊断.rar

Linux系统管理员培训材料.rar

linux-lab-master.zip

解决Win 10与不兼容VirtualBox操作过程文档+（附带软件）.zip

计算机网络知识点总结(谢希仁第八版).pdf

计算机网络第八版（谢希仁）课后习题答案

Xshell软件(配色方案&amp;高亮关键字/突出显示集)的相关文件

湖南科技大学《计算机网络》配套课件（PDF版）

windows server 2022镜像ISO

广联达3216锁终极授权 2024年

《计算机网络自顶向下方法第7版》中文PDF+复习题问题中文版答案

计算机网络自顶向下方法第八版答案

PPT模板（科技风、商务风）

postman 离线登录版

《计算机网络：自顶向下方法》第八版 PPT 第一章 计算机网络和因特网

quickping下载

2023国赛 网络建设与运维正式赛卷

最新资源

鸟哥LINUX私房菜第四版

Xshell软件(配色方案&高亮关键字/突出显示集)的相关文件

《计算机网络：自顶向下方法》第八版 PPT 第一章计算机网络和因特网

2023国赛网络建设与运维正式赛卷