Iptables原理

Iptables原理

现在防火墙主要分以下三种类型：包过滤、应用代理、状态检测

包过滤防火墙：现在静态包过滤防火墙市面上已经看不到了，取而代之的是动态包过滤技术的防火墙哈~

代理防火墙：因一些特殊的报文攻击可以轻松突破包过滤防火墙的保护，比如大家知道的SYN攻击、ICMP洪水攻击,所以以代理服务器作为专门为用户保密或者突破访问限制的数据转发通道的应用代理防火墙出现了哈~其使用了一种应用协议分析的新技术。

状态检测防火墙：其基于动态包过滤技术发展而来，加入了一种状态检测的模块，进一点发展了会话过滤功能，会话状态的保留是有时间限制的，此防火墙还可以对包的内容进行分析，从而避免开放过多的端口。

netfilter/iptables IP数据包过滤系统实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分，其作用是定义、保存相应的规则，而iptables是一种工具，用来修改信息的过滤规则及其他配置，我们可以通过iptables来设置一些适合我们企业需求环境的规则哈~，而这些规则会保存在内核空间之中。

netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。实际上netfilter是表的容器，表是链的容器，而链又是规则的容器。

filter表

650) this.width=650;" height=132>

nat表

650) this.width=650;" height=130> mangle表

650) this.width=650;" height=206>

iptables内置链

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机

FORWARDING:通过路由表后，目的地不为本机

OUTPUT:由本机产生，向外转发

POSTROUTIONG:发送到网卡接口之前

netfilter五条链相互关系，即iptables数据包转发流程图

650) this.width=650;" height=218>

Iptables工作流程图

iptables拥有三个表和五条链组成

650) this.width=650;" height=204> NAT工作原理

650) this.width=650;" height=214>

Iptables详细参数表

650) this.width=650;" height=421>

Iptables基本语法

iptables [-t 表名] -命令 -匹配 -j 动作/目标

iptables内置了filter、nat和mangle三张表，我们可以使用-t参数来设置对哪张表生效哈~也可以省略-t参数，则默认对filter表进行操作。

具体命令参数可以通过man iptables查询哈~

650) this.width=650;" height=341> 配置SNAT命令基本语法

iptables -t nat -A POSTROUTING -o 网络接口 -j SNAT --to-source IP地址

配置DNAT命令基本语法

iptables -t nat -A PREROUTING -i 网络接口 -p 协议 --dport 端口 -j DNAT --to-destination IP地址

企业环境及需求

1、企业环境

230台客户机，IP地址范围为192.168.0.1~192.168.0.254，子网掩码为255.255.255.0

Mail服务器：IP地址为192.168.0.1 子网掩码为255.255.255.0

FTP服务器：IP地址为192.168.0.2 子网掩码为255.255.255.0

WEB服务器：IP地址为192.168.0.3 子网掩码为255.255.255.0

公司网络拓扑图如下：

650) this.width=650;" height=320>

2、配置默认策略

所有内网计算机需要经常访问互联网，并且员工会使用即时通信工具与客户进行沟通，企业网络DMZ隔离区搭建有Mail、FTP和Web服务器，其中Mail和FTP服务器对内部员工开放，仅需要对外发布Web站点，并且管理员会通过外网进行远程管理，为了保证整个网络的安全性，需要添加iptables防火墙并配置相应的策略

需求分析

企业的内部网络为了保证安全性，需要首先删除所有规则设置，并将默认规则设置为DROP，然后开启防火墙对于客户端的访问限制，打开WEB、MSN、QQ及MAIL的相应端口，并允许外部客户端登录WEB服务器的80、22端口。

解决方案

1、配置默认策略

默认iptables已经被安装好了

650) this.width=650;" height=72>

（1）删除策略

iptables -F：清空所选链中的规则，如果没有指定链则清空指定表中所有链的规则

iptables -X：清除预设表filter中使用者自定链中的规则

iptables -Z：清除预设表filter中使用者自定链中的规则

650) this.width=650;" height=143>

（2）设置默认策略

设置默认策略为关闭filter表的INPPUT及FORWARD链开启OUTPUT链，nat表的三个链PREROUTING、OUTPUT、POSTROUTING 全部开启哈~默认全部链都是开启的，所以有些命令可以不操作，另外mangle表本文没用到，所以不做处理，mangle主要

用在数据包的特殊变更处理上，比如修改TOS等特性。

650) this.width=650;" height=210>

650) this.width=650;" height=244>

2、设置回环地址

有些服务的测试需要使用回环地址，为了保证各个服务的正常工作，需要允许回环地址的通信，RHCE课程-RH253Linux服务器架设笔记二-NFS服务器配置己有涉及,如果不设置回环地址，有些服务不能启动哈~。

iptables -A INPUT -i lo -j ACCEPT

650) this.width=650;" height=157>

3、连接状态设置

为了简化防火墙的配置操作，并提高检查的效率，需要添加连接状态设置

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

连接跟踪存在四种数据包状态

NEW:想要新建连接的数据包

INVALID:无效的数据包，例如损坏或者不完整的数据包

ESTABLISHED:已经建立连接的数据包

RELATED:与已经发送的数据包有关的数据包

650) this.width=650;" height=146>

4、设置80端口转发

公司网站需要对外开放，所以我们需要开放80端口

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

650) this.width=650;" height=155>

5、DNS相关设置

为了客户端能够正常使用域名访问互联网，我们还需要允许内网计算机与外部DNS服务器的数据转发。

开启DNS使用UDP、TCP的53端口

iptables -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

650) this.width=650;" height=187>

6、允许访问服务器的SSH

管理员会通过外网进行远程管理，所以我们要开启SSH使用的TCP协议22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

650) this.width=650;" height=187>

7、允许内网主机登录MSN和QQ相关设置

QQ能够使用TCP80、8000、443及UDP8000、4000登录，而MSN通过TCP1863、443验证。因此只需要允许这些端口的FORWARD 转发即可以正常登录。

iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT

iptables -A FORWARD -p udp --dport 8000 -j ACCEPT

iptables -A FORWARD -p udp --dport 4000 -j ACCEPT

注意：当然，如果公司要限制这样即时通信工具的使用，只要禁止这些端口的转发就可以了哈~特别注意，马化腾这家伙忒坏~嘿嘿~，端口不固定，QQVIP会员专用通道什么的，代理登录等等哈~，所以我们如果需要封杀就要收集全登录端口及QQ 服务器地址，根据本人总结，最好在企业实际配置中技术与行政管理相结合，这样达到的效果最好~0(^_^)0

650) this.width=650;" height=315>

8、允许内网主机收发邮件

客户端发送邮件时访问邮件服务器的TCP25端口。接收邮件时访问，可能使用的端口则较多，UDP协议以及TCP协议的端口：110、143、993及995

smtp:

[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

pop3:

[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 110 -j ACCEPT

imap:

[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 143 -j ACCEPT

[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 143 -j ACCEPT

imaps:

[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 993 -j ACCEPT

[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 993 -j ACCEPT

pop3s:

[root@rhel5 ~]# iptables -A FORWARD -p tcp --dport 995 -j ACCEPT

[root@rhel5 ~]# iptables -A FORWARD -p udp --dport 995 -j ACCEPT

650) this.width=650;" height=456>

9、NAT端口映射设置

由于局域网的地址为私网地址，在公网上不合法哈~所以必须将私网地址转为服务器的外部地址进行地址映射哈~连接外网接口为ppp0

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

MASQUERADE和SNAT作用一样哈~相样是提供源地址转换的操作，但是MASQUERADE是针对外部接口为动态IP地址来设置滴，不需要使用--to-source指定转换的IP地址。如果网络采用的是拨号方式接入互联网，而没有对外的静态IP地址（主要用在动态获取IP地址的连接，比如ADSL拨号、DHCP连接等等），那么建议使用MASQUERADE哈~

注意：MASQUERADE是特殊的过滤规则，其只可以映射从一个接口到另一个接口的数据哈~

650) this.width=650;" height=135>

10、内网机器对外发布WEB网站

内网WEB服务器IP地址为192.168.0.3，我们需要进行如下配置哈~，当公网客户端访问服务器时，防火墙将请求映射到内网的192.168.0.3的80端口

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

650) this.width=650;" height=172>

11、保存与恢复iptables配置

保存：iptables-save

iptables-save [-c] [-t 表名]

-c：保存包和字节计数器的值。可以使在重启防火墙后不丢失对包和字节的统计

-t：用来保存哪张表的规则，如果不跟-t参数则保存所有的表

可以使用重定向命令来保存这些规则集

iptables-save > /etc/iptables-save

恢复：iptables-restore

iptables-restore [-c] [-n]

-c：如果加上-c参数则表示要求装入包和字节计数器

-n：表示不覆盖己有的表或表内的规则，默认情况下是清除所有己存在的规则

使用重定向来恢复由iptables-save保存的规则集

iptables-restore > /etc/iptables-save

如果要在服务或系统重启后依然生效

service iptables save

650) this.width=650;" height=118 ?454?> 12、最终iptables配置如下

注意：

SNAT将源网络地址进行转换，只能用在nat表的POSTROUTING链中，只要连接的第一个符合条件的包被SNAT了哈~，那么这个连接的其他所有的数据包都会自动地被SNAT。与SNAT对应，DNAT将目的地址进行转换，只能用在nat表的PREROUTIONG 和OUTPUT链中，或者是被这两条链调用的链里面。包含DNAT的链不能被除此之外的其他链调用，比如POSTROUTING链。附：

我们可以通过设置禁止访问具体域名和IP地址哈~

禁止访问QQ主页：

[root@rhel5 ~]# iptables -A FORWARD -d [url]https://www.sodocs.net/doc/ca16491593.html,[/url] -j DROP

禁止访问指定IP地址：

[root@rhel5 ~]# iptables -A FORWARD -d 119.147.15.17 -j DROP

650) this.width=650;" height=378>

我们可以通过查找QQ的安装目录来获取QQ服务器的地址和端口号哈~

650) this.width=650;" height=393 ?454?> 虽然有乱码，但是还是可以看出来滴~利用域名过滤就可以了哈

IPTABLES 规则(Rules)

二、IPTABLES 规则(Rules)
牢记以下三点式理解 iptables 规则的关键：
? ? ?
Rules 包括一个条件和一个目标(target) 如果满足条件，就执行目标(target)中的规则或者特定值。 如果不满足条件，就判断下一条 Rules。
目标值（Target Values）
下面是你可以在 target 里指定的特殊值： ACCEPT – 允许防火墙接收数据包 ? DROP – 防火墙丢弃包 ? QUEUE – 防火墙将数据包移交到用户空间 ? RETURN – 防火墙停止执行当前链中的后续 Rules， 并返回到调用链(the calling chain)中。 如果你执行 iptables --list 你将看到防火墙上的可用规则。 下例说明当前系统没 有定义防火墙，你可以看到，它显示了默认的 filter 表，以及表内默认的 input 链, f orward 链, output 链。 # iptables -t filter --list Chain INPUT (policy ACCEPT) target prot opt source destination
?
Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source 查看 mangle 表： # iptables -t mangle --list 查看 NAT 表： # iptables -t nat --list 查看 RAW 表：
destination
destination
# iptables -t raw --list /!\注意：如果不指定-t 选项，就只会显示默认的 filter 表。因此，以下两种命令形 式是一个意思： # iptables -t filter --list (or) # iptables --list 以下例子表明在 filter 表的 input 链, forward 链, output 链中存在规则：

IPTABLES学习心得

IPTABLES学习心得 Blog:https://www.sodocs.net/doc/ca16491593.html, Iptables是管理Netfilter的唯一工具，Netfilter直接嵌入在Linux内核。他可以为个人工作站创建一个防火墙，也可以为一个子网创建防火墙，以保护其他的系统平台（市场上有很大一部分硬件防火墙也是使用iptables系统的）。 Netfilter在内核中过滤，没有守护进程，在OSI模型的第2、3、4层插入策略。过滤的速度非常快，因为他只读取数据包头，不会给信息流量增加负担，也无需进行验证。Netfilter提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。实际上netfilter 是表的容器，表是链的容器，而链又是规则的容器。 Netfilter表和Netfilter链： 表说明： Filter：这个表主要执行数据包过滤。 Nat：主要进行网络地址转换。 Managle：用于修改一些特殊的规则。 链说明： PREROUTING：路由之前，刚到达的数据包。（nat） INPUT：通过路由，目的为地为本机的数据包。(filter) FORWARD：需要通过本地系统进行转发的数据包。（filter） OUTPUT：由本机产生，向外转发，处于POSTROUTING之前的数据包。（nat和filter）POSTROUTIONG：通过路由后，即将离开系统的数据包。(nat) Netfilter的数据包流程： Iptables 基本语法：

iptables 内置了filter、nat 和mangle 三张表，我们可以使用-t 参数来设置对哪张表生效，也可以省略-t 参数，则默认对filter 表进行操作。 图中：这句的意思就是：来自（源地址）192.168.0.1的INPUT链的数据包直接丢弃。Iptables进程服务命令： service iptables save 保存iptables设置，对iptables规则编辑后一定要保存。 service iptables restart 保存设置以后不重启则设置不生效，要设置生生效请重启。service iptables status 检查iptables的设置。类似于iptable –L命令。 Iptables基本的链操作命令： -L 列出某个链或者表中的规则：service iptables status 把这个命令和-L比较下iptables –L：显示filter表中的规则等同于iptables –t filter -L iptables –t nat –L ：显示nat表的中的设置： -F 删除某个链或者表中的规则： iptables –F (iptables –t filter –F) 删除filter表中的所有规则； iptables –t nat –F 删除nat表中的所有规则； iptables –t nat –F POSTROUTING 删除nat表中POSTROUTING链的所有规则； -A添加一条规则（在当前的规则后添加，也就是排在所有规则后）： iptables -A INPUT –s 192.168.0.1 –j DROP 和实例图中的功能相同，丢弃来自192.168.0.1的数据包，这里省略了-t filter。 添加该语句后，保存设置并重新启动iptalbes 服务，并通过-L的命令查看，就会发现刚添加的这条规则排列在所有规则后。 -----------iptables的匹配规则是按顺序排列的。 -I在制定位置插入一条规则： （如果有回环规则（iptables –A INPUT –I lo –j ACCEPT，则回环永远是第一条）iptables –I 作为第一条规则插入。 iptables X 作为第X条规则插入，X这里代表规则顺序号。 iptables –A INPUT –p tcp –s 192.168.0.1 --dport 22 –j ACCEPT 允许192.168.0.1 通过22端口访问该主机，把它作为第一条规则插入iptables规则列表。-----------iptables的匹配规则是按顺序排列的。 -P 分配连接策略。 iptables –P INPUT DROP 禁止任何输入的数据包。这句慎用。

iptables操作手册

1iptables与firewalld的关系 RHEL7.0以后，使用firewalld服务取代了iptables服务，但是依然可以使用iptables服务，只是默认不开启了，iptables和firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具，是操作系统上的一种服务，将定义好的规则交给内核中的netfilter（网络过滤器）来读取，从而实现防火墙的功能，firewalld和iptables除了可以可以在inbond和outbond方向做策略限制以外，还能实现snat和dnat功能。 注意：firewalld和iptables同时只能运行一种服务，否则会出现不可预知的情况 2iptables安装 RHEL7.0以后，iptables默认不开启，需要安装iptables服务 安装完成后

3实验场景 3.1源地址转换 需求： 源地址1（172.16.202.15）需要访问公网目的地址（192.168.111.245），源地址2（172.16.202.16）不需要访问公网。

内网两台服务器，分别为源地址1（172.16.202.15）和源地址2（172.16.202.16），公网出口处有一台centos 7.1的双网卡服务器，一个接口接内网（172.16.202.14），一个接口接外网（192.168.111.63）。 源地址1上首先需要保证和iptables服务器能够互通，并且有去往192.168.111.245的路由，路由下一跳需要指向iptables内网接口（172.16.202.14），由iptables服务器做源nat，把源地址（172.16.202.15）nat成公网接口地址（192.168.111.63），从而可以访问目的地址（192.168.111.245）。 一、首先在源地址1服务器上配置去往192.168.111.245的路由 ip route add 192.168.111.245 via 172.16.202.14 //临时添加路由，重启网卡或者系统后，路由会丢失，建议做路由固化路由固化：在/etc/sysconfig/network-scripts目录下，新建一个route配置文件，vi route-eth0，新增一条路由，192.168.111.245/32 via 172.16.202.14，重启网卡即可生效 二、iptables服务器上，配置snat策略 iptables -t nat -A POSTROUTING -s 172.16.202.15/32 -d 192.168.111.245/32 -j SNAT --to 192.168.111.63 注释： -t table table to manipulate (default: `filter') //

iptables的详细中文手册

一句一句解说 iptables的详细中文手册 (2009-06-02 22:20:02) 总览 用iptables -ADC 来指定链的规则，-A添加-D删除-C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名[选项] iptables -[NX] chain 用-NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。 TABLES 当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。 -t table 这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入

利用Iptables实现网络黑白名单防火墙怎么设置

利用Iptables实现网络黑白名单防火墙怎么设置 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。这篇文章主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧 具体步骤 二、Iptables网络黑白名单(防火墙)实现细节 因为考虑到一些权限的问题所以在实现方法上采用的是创建一个systemserver来运行这些方法。并提供出manager到三方应用，这样在调用时可以排除一些权限的限制。同时本文只是做一个简单的参考概述，所以在后文中只提供了增加黑白名单的方法和iptables规则，并没有提供相应的删除规则等，原理类似大家可自行补充添加。

2.1、创建systemserver 2.1.1、在/system/sepolicy/service.te中添加 type fxjnet_service, system_api_service, system_server_service, service_manager_type; 2.2.2、在/system/sepolicy/service_contexts中添加如下， fxjnet u:object_r:fxjnet_service:s0 2.2.3、在frameworks/base/core/java/android/content/Context.java中添加 也可以不添加这个，只不过为了后面调用方便所以添加了。如果跳过此步，那么后面出现Context.FXJNET_SERVICE的地方都用字串代替即可。 public static final String FXJNET_SERVICE="fxjnet";

iptables命令详解_共进电子

Iptables规则是如何练成的 本章将详细地讨论如何构建Iptables规则。Iptables 包含三个表（filter、nat 、mangle），默认使用filter表，每个表包含若干条链（PREROUTING，POSTROUTING，OUTPUT，INPUT和FORWARD）,每条规则就添加到相应的链上。规则就是指向标，在一条链上，对不同的连接和数据包阻塞或允许它们去向何处。插入链的每一行都是一条规则。我们也会讨论基本的matche及其用法，还有各种各样的target。 流程图 1. 基础 我们已经解释了什么是规则，在内核看来，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件（就是符合matche语句），我们就运行target 或jump指令。书写规则的语法格式是： iptables [-t table] command [chain] [match] [-j target/jump] 注意target指令必须在最后。如果你不想用标准的表，就要在[table]处指定表名。一般情况下没有必要指定使用的表，因为iptables 默认使用filter表来执行所有的命令。也没有必要非得在这里指定表名，实际上几乎可在规则的任何地

方。当然，把表名在开始处已经是约定俗成的标准。 尽管命令总是放在开头，或者是直接放在表名后面，我们也要考虑考虑到底放在哪儿易读。command告诉程序该做什么，比如：插入一个规则，还是在链的末尾增加一个规则，还是删除一个规则，下面会仔细地介绍。 Chain 指定表的哪条规则链。 match细致地描述了包的某个特点，以使这个包区别于其它所有的包。在这里，我们可以指定包的来源IP 地址，网络接口，端口，协议类型，或者其他什么。下面我们将会看到许多不同的match。 最后是数据包的目标所在。若数据包符合所有的match，内核就用target来处理它，或者说把包发往target。比如，我们可以让内核把包发送到当前表中的其他链（可能是我们自己建立的），或者只是丢弃这个包而没有什么处理，或者向发送者返回某个特殊的应答。下面有详细的讨论。 2. Tables 选项-t用来指定使用哪个表，它可以是下面介绍的表中的任何一个，默认的是filter表。 Table 2-1. Tables Table（表名）Explanation （注释） nat nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NA T。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们 的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做 NA T或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说， 余下的包不会再通过这个表，一个一个的被NA T，而是自动地完成。这就是 我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作 用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链 改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前 改变其源地址。 mangle这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如TTL，TOS（服务类型）或MARK。注意MARK并没有真正地改动数据包， 它只是为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这 种标记对包进行过滤或高级路由。注意，mangle表不能做任何NAT，它只是 改变数据包的TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中 操作的。 filter filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作。FORW ARD链过滤所有不是本地产生的并且目

关于 iptables 入站 出站以及NAT实例

关于 iptables 入站出站以及NAT实例 本文是自己工作上的iptables笔记总结，适合的可以直接拿去用，不适合的，适当修改即可！ iptbales默认ACCEPT策略，也称通策略，这种情况下可以做拦截策略，还有种叫堵策略，然后开放通的规则。（我偏向堵策略，自己需要开放什么在开，以下例子也是在此基础上的） iptables 一些参数名称： 四表五链：fifter表、NAT表、Mangle表、Raw表。 INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链 INPUT链–处理来自外部的数据。 OUTPUT链–处理向外发送的数据。 FORWARD链–将数据转发到本机的其他网卡设备上。 PREROUTING链–处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址（destination ip address），通常用于DNAT(destination NAT)。（NAT表需要开启linux路由 net.ipv4.ip_forward = 1） POSTROUTING链–处理即将离开本机的数据包。它会转换数据包中的源IP 地址（source ip address），通常用于SNAT（source NAT）。 OUTPUT链–处理本机产生的数据包。 iptables 新建时情况所有记录 iptables -F iptables -X iptables -F -t mangle iptables -t mangle -X iptables -F -t nat iptables -t nat -X 开放22 SSH端口 iptables -A INPUT -p tcp -p tcp --dport 22 -j ACCEPT （允许外部访问本机的22端口） iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT （有进就有出，IP包是来回的）

Linux下iptables

Linux防火墙iptables学习笔记（一）入门要领 要在网上传输的数据会被分成许多小的数据包，我们一旦接通了网络，会有 很多数据包进入，离开，或者经过我们的计算机。 首先我们要弄明白，防火墙将怎么对待这些数据包。这些数据包会经过一些相应的规则链，比如要进入你的计算机的数据包会首先进入INPUT链，从我们的计算机发出的数据包会经过OUTPUT链，如果一台计算机做一个网络的网 关（处于内网和外网两个网络连接的两台计算机，这两台计算机之间相互通讯的数据包会经过这台计算机，这台计算机即相当于一个路由器），可能会有很多数据经过这台计算机，那么这些数据包必经FORWARD链，FORWARD链即数据转发链。明白了这些“链”的概念我们才能进一步学习使用iptables。 现在我们再来分析一下iptables规则是如何工作的，假如我们要访问网站https://www.sodocs.net/doc/ca16491593.html,，我们要对https://www.sodocs.net/doc/ca16491593.html,发出请求，这些数据包要经过OUTPUT链，在请求发出前，Linux的内核会在OUTPUT链中检查有没有相应的规则适合这个数据包，如果没有相应的规则，OUTPUT链还会有默认的规则，或者允许，或者不允许（事实上，不允许有两种，一种是把请求拒绝，告诉发出请示的程序被拒绝；还有一种是丢弃，让请求发出者傻等，直到超时）。如果得到允许，请求就发出了，而https://www.sodocs.net/doc/ca16491593.html,服务器返回的数据包会经过INPUT链，当然，INPUT链中也会有相应的规则等着它。 下面我们介绍几个iptable的命令 iptables-L[-t filter] 这条命令是显示当前有什么已经设置好的防火墙规则，可能的显示结果如下：Chain INPUT(policy ACCEPT)target prot opt source destination Chain FORWARD(policy ACCEPT)target prot opt source destination Chain OUTPUT(policy ACCEPT)target prot opt source destination 从这里我们可以看出，iptables有三个链分别是INPUT OUTPUT和FORWARD. 其中 INPUT是外部数据要进过我们主机的第一外关卡(当然你前面也可以再加硬件防火墙). OUTPUT是你的主机的数据送出时要做的过绿卡 FORWARD是转发你在NAT时才会用到 要设置iptables主要是对这三条链进行设置,当然也包括-nat的另外三个链我们以后再说 你要用iptables你就得启到它启动命令service iptables restart iptables的默认设置为三条链都是ACCEPT如下: iptables-P INPUT ACCEPT iptables-P OUTPUT ACCEPT iptables-P FORWARD ACCEPT 以上信息你可以用iptables-L看到 总体来说iptables可以有二种设置

2018Linux防火墙iptables配置详解

2018-Linux防火墙iptables配置详解 一、开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口. 如果你在安装linux时没有选择启动防火墙,是这样的 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 什么规则都没有. (2)清除原有规则. 不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则. [root@tp ~]# iptables -F清除预设表filter中的所有规则链的规则 [root@tp ~]# iptables -X清除预设表filter中使用者自定链中的规则 我们在来看一下

iptables命令大全

数据包经过防火墙的路径 图1比较完整地展示了一个数据包是如何经过防火墙的，考虑到节省空间，该图实际上包了三种情况： 来自外部，以防火墙（本机）为目的地的包，在图1中自上至下走左边一条路径。 由防火墙（本机）产生的包，在图1中从“本地进程”开始，自上至下走左边一条路径 来自外部，目的地是其它主机的包，在图1中自上至下走右边一条路径。 图1 如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.

图2 禁止端口的实例 禁止ssh端口 只允许在192.168.62.1上使用ssh远程登录，从其它计算机上禁止使用ssh #iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT #iptables -A INPUT -p tcp --dport 22 -j DROP

?禁止代理端口 #iptables -A INPUT -p tcp --dport 3128 -j REJECT ?禁止icmp端口 除192.168.62.1外，禁止其它人ping我的主机 #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT #iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP 或 #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT #iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP 注：可以用iptables --protocol icmp --help查看ICMP类型 还有没有其它办法实现? ?禁止QQ端口 #iptables -D FORWARD -p udp --dport 8000 -j REJECT 强制访问指定的站点

Linux防火墙 iptables详细介绍

周旭光unixzhou@https://www.sodocs.net/doc/ca16491593.html, Linux防火墙iptables 周旭光 unixzhou@https://www.sodocs.net/doc/ca16491593.html, 2011年5月10日 目录 1、Linux防火墙基础 (2) 1、iptables的规则表、链结构 (2) 1.1 规则表 (2) 1.2 规则链 (2) 2、数据包的匹配流程 (2) 2.1 规则表之间的优先级 (2) 2.2 规则链之间的优先级 (2) 2.3 规则链内部各防火墙规则之间的优先顺序 (3) 2、管理和设置iptables规则 (3) 2.1 iptables的基本语法格式 (3) 2.2 管理iptables规则 (3) iptables命令的管理控制项 (3) 2.3 条件匹配 (5) 2.3.1 通用（general）条件匹配 (5) 2.3.2 隐含（implicit）条件匹配 (6) 2.3.3 显示（explicit）条件匹配 (6) 2.4 数据包控制 (7) 3、使用防火墙脚本 (8) 3.1 导出、导入防火墙规则 (8) 3.2 编写防火墙脚本 (8)

1、Linux防火墙基础 1、iptables的规则表、链结构 1.1 规则表 iptables管理4个不同的规则表，其功能由独立的内核模块实现。 filter表：包含三个链INPUT , OUTPUT , FORWARD nat表：PREROUTING , POSTROTING , OUTPUT mangle表：PREROUTING , POSTROUTING , INPUT , OUTPUT , FORWARD raw表：OUTPUT , PREROUTING 1.2 规则链 INPUT链当收到访问防火墙本机的数据包（入站）时，应用此链中的规则 OUTPUT链当防火墙本机向外发送数据包（出站）时，应用此链中的规则 FORWARD链收到需要通过防火墙发送给其他地址的数据包，应用此链 PREROUTING链做路由选择之前，应用此链 POSTROUTING链对数据包做路由选择之后，应用此链中的规则 2、数据包的匹配流程 2.1 规则表之间的优先级 Raw mangle nat filter 2.2 规则链之间的优先级 入站数据流向：来自外界的数据包到达防火墙，首先呗PREROUTING规则链处理（是否被修改地址），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标地址是防火墙本机，那么内核将其传递给INPUT 链进行处理，通过以后再交给上次的应用程序进行响应 转发数据流向：来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后进行路由选择，如果数据包的目标地址是其他外部地址，则内核将其传递给FPRWARD链进行处理，然后再交给POSTROUTIING 规则链（是否修改数据包的地址等）进行处理。 出站数据流向：防火墙本身向外部地址发送数据包，首先被OUTPUT规则链处理，之后进行路由选择，然后

Linux防火墙的配置实例

Linux防火墙的配置实例 我们该如何利用Linux操作系统自带的防火墙来提高网络的管理控制功能呢?具体的来说，我们可以分三步走。一是先在Linux服务器上开一个后门，这个后门是专门给我们网络管理员管理服务器用的。二是把所有的进站、出站、转发站接口都关闭，此时，只有通过我们上面开的后门，管理员才能够远程连接到服务器上，企图任何渠道都不能连接到这台主机上。三是根据我们服务器的用途，把一些需要用到的接口开放出去。 1) 永久性生效，重启后不会复原 开启： chkconfig iptables on 关闭： chkconfig iptables off 2) 即时生效，重启后复原 开启： service iptables start 关闭： service iptables stop 清除原有规则. 不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则. [root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则 [root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则 我们在来看一下 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 什么都没有了吧,和我们在安装linux时没有启动防火墙是一样的.(提前说一句,这些配置就像用命令配置IP一样,重起就会失去作用),怎么保存. [root@tp ~]# /etc/rc.d/init.d/iptables save

iptables配置

netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和 iptables 组成。 netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables包含4个表，5个链。其中表是按照对数据包的操作区分的，链是按照不同的Hook点来区分的，表和链实际上是netfilter的两个维度。 4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。 filter：一般的过滤功能 nat:用于nat功能（端口映射，地址映射等） mangle:用于对特定数据包的修改 raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能 5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。 PREROUTING:数据包进入路由表之前

Windows和Linux防火墙实例

一、Windows系统中的防火墙实例 Windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量（请求的流量），也没有对应于已指定为允许的未请求的流量（异常流量）。Windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击的恶意用户和程序。这里以对目前常用的Windows XP Service Pack 2自带防火墙为实例，介绍它的基本配置及应用。 打开Windows XP的访问控制面板，这里包括Windows自带防火墙。Windows XP SP2与之前的Windows系列相比，自带防火墙新增了以下主要特性： 1、默认对计算机的所有连接启用。 2、应用于所有连接的全局配置选项。 3、用于全局配置的新增对话框集。 4、全新的操作模式。 5、启动安全性。 6、本地网络限制。 7、异常流量可以通过应用程序文件名指定。 8、对Internet协议第6版（IP V6）的内建支持，配置对话框可同时配置IPv4和IPv6流量。 9、采用Netsh和组策略的新增配置选项。 打开自带防火墙，可以看到对话框中包含“常规”、“异常”和“高级”三个选项卡，如图7-9所示。完成这些选项卡的设置，便可以实现对Windows防火墙的基本安全配置。新的Windows防火墙对话框包含以下选项卡： 图7-9 Windows防火墙的“常规”选项卡 在“常规”选项卡上，主要有以下几个可选项： （1）“启用（推荐）” 选择这个选项可以对“高级”选项卡上所选择的所有网络连接启用Windows防火墙，这也是默认功能。Windows防火墙启用后将仅允许请求的和例外的传入流量。例外的网

linux下各种服务进程之iptables详解

linux下IPTABLES配置详解 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口. 如果你在安装linux时没有选择启动防火墙,是这样的 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

iptables系统配置防火墙和NAT功能的实例学习

iptables系统配置防火墙和NAT功能的实例学习 来源: ChinaUnix博客日期：2007.11.01 11:55(共有0条评论) 我要评论 关于Slackware 9.1.0 的配置说明 ********************************************************* * * *******关于防火墙系统恢复操作和启动方法说明******************* * * ********************************************************* 该系统主要作用就是对内部服务器作静态nat映射和端口访问控制。 在防火墙中，系统启动时已经自动启动了以上防火墙脚本，启动位置为：/etc/rc.d/rc.local文件中，sh /etc/rc.d/nat_firewall.sh #在系统启动时自动启动该脚本 如果需要手动启用防火墙和静态nat映射功能，操作以下步骤即可。 cd /etc/rc.d/ ./portnat.sh 如果用户不需要对内部服务器作任何端口控制，只需要作静态nat映射，只要执行以下文件，即可恢复不设防火墙状态。 cd /etc/rc.d/ ./no_firewall.sh ********************************************************** * * ****关于Slackware 9.1.0 系统配置防火墙和NAT功能的配置说明***** ****（nat_firewall.sh） * **********************************************************

iptables使用方法

IP6tables使用方法（man手册）

名称 ip6tables – Ipv6包过滤管理 摘要 ip6tables [-t table] –[AD] chain rule-specification [options] ip6tables [-t table] –I chain [rulenum] rule-specification [options] ip6tables [-t table] –R chain rulenum rule-specification [options] ip6tables [-t table] –D chain rulenum [options] ip6tables [-t table] –[LFZ] [chain] [options] ip6tables [-t table] –N chain ip6tables [-t table] –X [chain] ip6tables [-t table] –P chain target [options] ip6tables [-t table] –E old-chain-name new-chain-name 描述 ip6tables通常是用来建立、维护、检查linux内核IPv6包过滤表的。 可能定义了几个不同的表。每个表都包含了一些内置的链和用户定义的链。 每个链都是匹配一组包的规则的列表。每个规则都说明了如何匹配一

个包。这是一个target的调用，这个target在相同的表中或许会跳转到用户定义的链。 目的 防火墙规则说明了包的规则和目标。如果一个包没有匹配，用链中的下一个规则检查；如果不匹配，下一个规则用target的值说明，target的值可能命名了一条用户定义的链，或者指定了ACCEPT、DROP、QUEUE或RETURN 值中的一个。 ACCEPT意思是让包通过，DROP的意思是在底层把包丢弃。QUEUE的意思是把传送到用户空间。RETURN的意思是停止正在遍历的链，返回先前链的下一个规则。如果到达内置链的最后或者匹配上了带RETURN值的target 内置链的规则，被链策略指定的target决定了包的命运。 表 目前有两个独立的用于nat的表没有实现。 -t，--table表名 该选项指出包匹配的表名，该表就是命令操作的那个表。如果内核被配置为自动加载模块，如果这个表不存在，内核就要加载对应于这个表的模块。有如下表： filter：如果没有-t 选项，该表是默认的表。它包含了内置的链INPUT （用于进入防火墙的包）、FORWARD（用于经防火墙转发的包）和OUTPUT（防