没有合适的资源?快使用搜索试试~ 我知道了~
iptables 详解iptables 详解
需积分: 0 6 下载量 171 浏览量
2022-12-02
14:10:58
上传
评论
收藏 9.28MB DOCX 举报
温馨提示
试读
99页
iptables 详解
资源推荐
资源详情
资源评论
1
IPTables 详解(含 NAT)
1 iptables 概念 ...................................................................................................................................................................................2
1.1 防火墙相关概念 ...............................................................................................................................................................2
1.2 iptables 基础.......................................................................................................................................................................3
1.3 链的概念 .............................................................................................................................................................................5
1.4 表的概念 .............................................................................................................................................................................5
1.5 表链关系 .............................................................................................................................................................................6
1.6 数据经过防火墙的流程..................................................................................................................................................8
1.7 规则的概念.........................................................................................................................................................................9
2 iptables 实际操作之规则查询 .................................................................................................................................................10
2.1 命令小节...........................................................................................................................................................................14
3 iptables 规则管理........................................................................................................................................................................15
3.1 增加规则...........................................................................................................................................................................16
3.2 删除规则...........................................................................................................................................................................19
3.3 修改规则...........................................................................................................................................................................20
3.4 保存规则...........................................................................................................................................................................22
3.5 其他通用方法..................................................................................................................................................................23
3.6 命令小结...........................................................................................................................................................................23
4 iptables 匹配条件总结之一......................................................................................................................................................26
4.1 匹配条件的更多用法....................................................................................................................................................26
4.2 扩展匹配条件..................................................................................................................................................................31
4.3 小结....................................................................................................................................................................................34
5 iptables 匹配条件总结之二(常用扩展模块) .................................................................................................................35
5.1 iprange 扩展模块............................................................................................................................................................35
5.2 string 扩展模块................................................................................................................................................................36
5.3 time 扩展模块..................................................................................................................................................................37
5.4 connlimit 扩展模块.........................................................................................................................................................38
5.5 limit 扩展模块 ..................................................................................................................................................................39
5.6 小结....................................................................................................................................................................................42
6 iptables 扩展匹配条件之’–tcp-flags’ ....................................................................................................................................44
6.1 小结....................................................................................................................................................................................47
7 iptables 扩展之 udp 扩展与 icmp 扩展................................................................................................................................48
7.1 udp 扩展............................................................................................................................................................................48
7.2 icmp 扩展 ..........................................................................................................................................................................49
7.3 小结....................................................................................................................................................................................52
8 iptables 扩展模块之 state 扩展...............................................................................................................................................52
9 iptables 的黑白名单机制 ..........................................................................................................................................................56
10 iptables 自定义链......................................................................................................................................................................58
10.1 小结 .................................................................................................................................................................................62
11 iptables 之网络防火墙 ............................................................................................................................................................63
11.1 环境准备 ........................................................................................................................................................................64
11.2 网络防火墙测试...........................................................................................................................................................69
2
11.3 小结 .................................................................................................................................................................................72
12 iptables 动作总结之一 ............................................................................................................................................................73
12.1 动作 REJECT ..................................................................................................................................................................74
12.2 动作 LOG........................................................................................................................................................................75
13 iptables 动作总结之二 ............................................................................................................................................................77
13.2 实验环境准备 ...............................................................................................................................................................79
13.3 动作:SNAT..................................................................................................................................................................83
13.4 动作 DNAT.....................................................................................................................................................................86
13.5 动作 MASQUERADE ...................................................................................................................................................89
13.6 动作 REDIRECT.............................................................................................................................................................89
13.7 小结 .................................................................................................................................................................................90
14 iptables 小结之常用套路........................................................................................................................................................90
15 iptables 日志管理......................................................................................................................................................................91
15.1 iptables 日志记录命令参数.......................................................................................................................................91
15.2 配置 syslogd 的配置文件/etc/syslog.conf...........................................................................................................92
15.3 CentOS 配置方法 .........................................................................................................................................................92
15.4 使用 IPtables 滚动日志..............................................................................................................................................94
16 NAT 补充 .....................................................................................................................................................................................95
16.1 NAT 过程.........................................................................................................................................................................95
16.2 添加日志 ........................................................................................................................................................................97
17 利用 iptables 实现基于端口的网络流量统计 .................................................................................................................98
1 iptables 概念
1.1 防火墙相关概念
此处先描述一些相关概念。
从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。
主机防火墙:针对于单个主机进行防护。
网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的
本地局域网。
网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙
主内(个人)。
从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成
本高。
软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。
那么在此处,就来聊聊 Linux 的 iptables
iptables 其实不是真正的防火墙,可以把它理解成一个客户端代理,用户通过 iptables 这个
代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这
3
个框架的名字叫 netfilter
netfilter 才是防火墙真正的安全框架(framework),netfilter 位于内核空间。
iptables 其实是一个命令行工具,位于用户空间,用这个工具操作真正的框架。
netfilter/iptables(下文中简称为 iptables)组成 Linux 平台下的包过滤防火墙,与大多数的
Linux 软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成
封包过滤、封包重定向和网络地址转换(NAT)等功能。
Netfilter 是 Linux 操作系统核心层内部的一个数据包处理模块,它具有如下功能:
➢ 网络地址转换(Network Address Translate)
➢ 数据包内容修改
➢ 以及数据包过滤的防火墙功能
所以说,虽然使用 service iptables start 启动 iptables”服务”,但是其实准确的来说,iptables
并没有一个守护进程,所以并不能算是真正意义上的服务,而应该算是内核提供的功能。
1.2 iptables 基础
知道 iptables 是按照规则来办事的,就来说说规则(rules),规则其实就是网络管理员预定
义的条件,规则一般的定义为”如果数据包头符合这样的条件,就这样处理这个数据包”。规则
存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如
TCP、UDP、ICMP)和服务类型(如 HTTP、FTP 和 SMTP)等。当数据包与规则匹配时,iptables
就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)
等。配置防火墙的主要工作就是添加、修改和删除这些规则。
这样说可能并不容易理解,来换个容易理解的角度,从头说起.
当客户端访问服务器的 web 服务时,客户端发送报文到网卡,而 tcp/ip 协议栈是属于内核
的一部分,所以,客户端的信息会通过内核的 TCP 协议传输到用户空间中的 web 服务中,而
此时,客户端报文的目标终点为 web 服务所监听的套接字(IP:Port)上,当 web 服务需要响
应客户端请求时,web 服务发出的响应报文的目标终点则为客户端,这个时候,web 服务所监
听的 IP 与端口反而变成了原点,说过,netfilter 才是真正的防火墙,它是内核的一部分,所以,
如果想要防火墙能够达到”防火”的目的,则需要在内核中设置关卡,所有进出的报文都要通过
这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是,就
出现了 input 关卡和 output 关卡,而这些关卡在 iptables 中不被称为”关卡”,而被称为”链”。
4
其实上面描述的场景并不完善,因为客户端发来的报文访问的目标地址可能并不是本机,
而是其他服务器,当本机的内核支持 IP_FORWARD 时,可以将报文转发给其他服务器,所以,
这个时候,就会提到 iptables 中的其他”关卡”,也就是其他”链”,他们就是 “路由前”、”转
发”、”路由后”,他们的英文名是:PREROUTING、FORWARD、POSTROUTING。
也就是说,当启用了防火墙功能时,报文需要经过如下关卡,也就是说,根据实际情况的
不同,报文经过”链”可能不同。如果报文需要转发,那么报文则不会经过 input 链发往用户空
间,而是直接在内核空间中经过 forward 链和 postrouting 链转发出去的。
所以,根据上图,能够想象出某些常用场景中,报文的流向:
5
➢ 到本机某进程的报文:PREROUTING –> INPUT
➢ 由本机转发的报文:PREROUTING –> FORWARD –> POSTROUTING
➢ 由本机的某进程发出报文(通常为响应报文):OUTPUT –> POSTROUTING
1.3 链的概念
这些”关卡”在 iptables 中为什么被称作”链”呢?防火墙的作用就在于对经过的报文匹配”规
则”,然后执行对应的”动作”,所以,当报文经过这些关卡的时候,则必须匹配这个关卡上的规
则,但是,这个关卡上可能不止有一条规则,而是有很多条规则,当把这些规则串到一个链条
上的时候,就形成了”链”,所以,把每一个”关卡”想象成如下图中的模样,这样来说,把他们称
为”链”更为合适,每个经过这个”关卡”的报文,都要将这条”链”上的所有规则匹配一遍,如果
有符合条件的规则,则执行规则对应的动作。
1.4 表的概念
再想想另外一个问题,对每个”链”上都放置了一串规则,但是这些规则有些很相似,比如,
A 类规则都是对 IP 或者端口的过滤,B 类规则是修改报文,那么这个时候,是不是能把实现
剩余98页未读,继续阅读
资源评论
iamfoolberg
- 粉丝: 4
- 资源: 17
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功