Linux 防火墙iptables学习

Linux 网络数据包处理流程

image.png

iptables 用法

  • 注意事项
    iptables 设置是有顺序的,如果数据包满足前面制定的规则,那么后面的规则将不被采用,所以对于舍弃的数据包尽可能的放在接收数据包的前面,这样可以避免本来要舍弃的数据被接收。
    1. filter
      内建三个链,INPUT 、OUTPUT 、FORWARD;对数据包进行DROP、ACCEPT、LOG、REJECT等操作。
    2. nat
      仅用于NAT,用来转换源或者目的地址,用来解决ipv4地址空间不够问题,搭建局域网等,只有NAT主机具有公网ip地址,局域网内的其他主机通过重定向源或目的地址来实现外网的访问,当然也提高可内网主机的安全性,可通过防火墙禁止外网主机主动联机内网主机。

注意事项:
属于一个流的数据包只经过nat表一次。如果第一个包被允许做NAT或者Masqueraded, 那么余下的数据包会自动得做相同的操作。这也是为什么不推荐在nat表中做过滤的原因。

  • DNAT
    改变目的地址,以使包能重路由到某台主机。

  • SNAT
    改变包的源地址,可以用来复用ipv4地址。

  • MASQUERADE
    ip地址是动态的,类似于DHCP,与DNAT和SNAT固定的ip地址不同。

    1. mangle
      可以使用mangle匹配改变包的TOS 等特性,注意事项:不要在这个表中做任何过滤。mangle 表仅有的操作:
  • TOS

  • TTL
    可以让所有数据包只有一个特殊的TTL。 某些ISP可能会通过TTL来判断计算机是否共享网络,可以用来欺骗ISP

  • MARK

    1. raw
  1. INPUT
    网络数据包的目的地是本地Linux主机。
  2. OUTPUT
    网络数据包的原是本地Linux 主机。
  3. FORWARD
    由一个本地Linux 主机的一个网卡接收到的数据发到另一个网卡。
  4. PREROUTING
    路由前
  5. POSTROUTING
    路由后
  6. 自定义链
  • 状态机制
    状态机制只是一种连接状态跟踪机制,能提供更严密的安全机制。

    NEW
    INVAILD
    不能识别属于哪个 连接或者没有任何状态的数据包,通常的措施是DROP。
    ESTABLISHED
    只要发送的数据有应答,即标记为ESTABLISHED状态,无论是发往防火墙还是由防火墙转发。ICMP等数据包也看作是,只有所发出的数据包有应答信息。
    RELATED
    前提是已经有一个端口实现ESTABLISHED状态,然后这个ESTABLISHED再建立另外一个连接,这个新的连接就是RELATED。 典型的是FTP协议,一个控制端口和一个数据端口。

所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的: 如果本地发送一个数据包,那么会在OUTPUT链里标记状态为NEW,当本地接收到回应的包时,会在PREROUTING中标记为ESTABLISHED状态。

  • 常用命令
    1. 观察规则
      iptables [-t tables] -L [-nv]
      -t : 省略此项,默认是filter; 还可使nat、 filter
      -L : 列出当前tables的规则
      -n : 不进行IP 和 HOSTNAME 的 反查,显示速度比较快
      -v : 显示详细信息
      --line-numbers 查看规则时显示相应的序号


    2. 删除规则
      其中的filter可以换成其他表。
      iptables -t filter -F #删除所有已定的规则
      iptables -t filter -X #除掉所有用户“自定义”的链(tables)
      iptables -t filter -Z #所有链的计数与流量统计清零
      -D 删除链内指定序号或内容的规则

    3. 默认策略
      iptables [-t nat] -P [INPUT, OUTPUT, FORWARD] [DROP, ACCEPT]
      -P : 定义策略policy
      DROP :偷偷丢弃数据包
      ACCEPT: 接收数据包
      当数据包不在制定的规则中,则采用默认策略。 一般严格设置的话,将输入的数据包全部丢弃,输出的数据包和转发的数据包全部接收。

      iptables -P INPUT DROP
      iptables -P OUTPUT ACCEPT
      iptables -P FORWARD ACCEPT
      
  1. TCP连接

  2. UDP

  3. ICMP
    ICMP包有很多类型,但只有四种类型有应答包,它们是回显请求和应答(Echo request and reply),时间戳请求和应答(Timestamp request and reply),信息请求和应答(Information request and reply),还有地址掩码请求和应答(Address mask request and reply),这些包有两种状态,NEW和ESTABLISHED 。


    ICMP 1

ICMP的另一个非常重要的作用是,告诉UDP、TCP连接或正在努力建立的连接发生了什么,这时ICMP应答被认为是RELATED的。主机不可达和网络不可达就是这样的例子。当试图连接某台机 子不成功时(可能那台机子被关上了),数据包所到达的最后一台路由器就会返回以上的ICMP信息,它们就 是RELATED的,如下图:


ICMP 2

参考文献

鸟哥的Linux 私房菜 服务器架设篇
iptables 指南 1.1.19

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 195,719评论 5 462
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,337评论 2 373
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 142,887评论 0 324
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,488评论 1 266
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,313评论 4 357
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,284评论 1 273
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,672评论 3 386
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,346评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,644评论 1 293
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,700评论 2 312
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,457评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,316评论 3 313
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,706评论 3 299
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 28,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,261评论 1 251
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,648评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,859评论 2 335

推荐阅读更多精彩内容