|
回顾内容
% n; W. i7 N4 c还记得上次我们聊的 iptables 内容吗?回顾一下上次的内容,Linux 内核通过 netfilter 这个安全框架来实现防火墙机制,iptables 是用户操作 netfilter 实现功能的命令行工具,他们两个组合起来就是 Linux 防火墙 iptables 。
[; j8 c p( V; w1 y4 R' mIptables 包含四表五链,其中四表就好比四个不同的“功能部门”,如:“海关、警察、税务、城管”,五链就好比五个位置的“关卡”,一般情况下一个“部门”要在多个“关卡”派驻人员,一个“关卡”内也会驻守多个部门的人。
Linux安全——iptalbes(二)
* @: ?% }/ t: n. f8 h
上图中我们可以看到mangle“部门”在每个“关卡”都派驻了人员,而OUTPUT“关卡”则每个“部门”都派人蹲守。
* @- z" i; k+ L: h6 R4 B8 h) e- j表(部门)功能: . \" a7 M$ i: q! [
Filter 表——过滤数据包8 D. l* G# x+ ]4 y5 V/ y
Nat 表——网络地址转换8 O. y3 B6 p4 _4 F
Mangle 表——修改数据包服务类型、TTL 值(用来实现 QOS 功能); Z: q$ n2 i' Q ]# ]- f8 q
Raw 表——数据包状态跟踪! S; |/ e0 R% h" b( ]" @
链(关卡)的位置:
Linux安全——iptalbes(二)
. J! F; w6 A3 a: _, ]8 M
规则查看 5 Z$ P! @ f! h& f3 L* t
理论说多了就睡着了,我们先来操作下看看 iptables 到底长什么样吧。因为 iptables 是防火墙功能,而实现防火墙功能的主要是 filter 表,我们就从 filter 表开始看。
Linux安全——iptalbes(二)
4 Y$ C: D& A1 h# W0 \' w! ?& K* {2 g
我们可以使用 iptables -t filter -L 命令来查看 filter 表中的规则,命令选项 -t 是指定要操作的表,-L 是列出表中的规则,这句命令解释起来就是“列出 filter 表在每个链上所制定的所有规则”。
9 ^0 V+ o' O- K1 s: ~* J图中绿色括号括起来的就是每个链上的规则内容,蓝色下划线标注的是 filter 表对应的链,有 INPUT、FORWARD、OUTPUT 三个链每个链上都有不同的规则,正如前面所介绍的不同的链位于数据流向上的不同位置,所以需要在不同的链上设置不同规则来达到你所需要的防火墙目的。比如,我们需要禁止某个 IP 地址访问我们的主机,我们则需要在INPUT链上定义规则(明白为什么不?看看前文),又如果我们想要禁止本机往外发数据包我们又该在那个链上写那?所以具体规则制定要结合具体场景和需求。
3 k; J; y+ R; N/ O* H# r我们继续看命令,一般情况下我们看数据流向习惯性的是从那个 IP 地址到那个 IP 地址,而大家会发现刚才图中是用 anywhere 来表示的,是对,iptalbes 默认会为我们进行名称解析,名称解析的效率一般会低而且不适合我们的习惯,这时候我们可以使用 -n 选项,表示不对 IP 地址进行名称解析。$ l5 C0 v8 h0 h. v% v& Y
同时如果你觉得 -L 展示的信息还不够详细的话我们可以使用-v选项,查看更多更详细的信息内容。- X' S- x0 g1 m- N) a
Linux安全——iptalbes(二)
+ f& ]7 { n2 v, J" i ]
是不是展示的内容就多了很多,我们来简单解释下这些内容:
" N! ^, z8 a. T, b% S/ dPkts ——对应规则匹配到底报文个数;
1 O: o3 ^6 `. a0 t& o- f, F" }Bytes ——对应规则匹配报文大小;+ o( ?: |7 {: ~/ j5 \
Target ——规则对应的操作;+ E ]3 `- ?- P3 _0 w$ a3 K
Prot ——规则对应的协议;
, v- B' w$ y Y7 c F& n, uOpt ——规则对应的选项;
4 G- P4 ~* @, a. f) t$ xIn ——表示数据包由哪个网卡流入,我们可以设置那个网卡来的报文才被匹配;( R# y E: `# @) W' m
Out ——表示数据包由哪个网卡流出,我们以设置那个网卡露出的报文才被匹配;9 x# C9 s) q8 \
Source ——表示源地址;
/ O6 S% I# O' d% H$ h, G( a ~+ ?* l1 GDestination ——表示目标地址;
( N# C% `, F' M* ^' u* f% ]3 G l(其实如果觉得内容还不够详细,可以使用 -vv 选项会有更详细的信息展示,当然是不是还有 -vvv 那可以试下)
: }% v: s$ x1 _ \! V) e4 U! C上图中还有画蓝色线的部分,其中 policy ACCEPT 表示当前链的默认策略,也就是说 INPUT 链上的默认策略是 ACCEPT 放行的。2 [: f( P1 @8 h% q2 b
Packets 表示当前链的默认策略所匹配到的数据包数量,0 就表示默认策略没有匹配到数据包。
% }; b' P* u2 u7 HBytes 表示当前链默认策略匹配到数据包的大小(总和)。
4 Z5 G2 O. d4 o4 X& r(当匹配到的包达到一定数量时,匹配到的包大小会自动转换单位,也就是说会自动转换成 100K bytes、10M bytes)
) q4 r2 Q8 d, w' ~1 r其实我们是可以省略 -t filter 这个选项的,因为当没有 -t 这个选项时 iptables 默认就是 filter 表,所以当我们直接 iptables -nvL 时就会直接出现上图的内容。4 h8 k- `; y% V5 h9 p
我们还可以只查看指定表中的指定链,比如我们只想查看 filter 表中 INPUT 链上的规则,我们就可以用 iptables -nvL INPUT,这里的链一定要是大写的。
& m* Q% h8 S* k$ `4 [如果规则设置很多那我们就需要查看一个有序号的列表,不然让你统计下现在到底做了多少条规则你都会头疼,使用 iptables --line -nvL INPUT 就可以查看有序列号的规则。
/ l/ o0 N( v0 N3 l# t
Linux安全——iptalbes(二)
$ L/ \ J3 f8 X4 ?$ V
我们再用同样的方法来看下其他几张表的内容
& H) D, k. \: GIptables -t raw -nvL
4 j# A3 o% T1 \
Linux安全——iptalbes(二)
8 }) h5 w4 I/ ]9 p9 [Raw 表对应的 PREROUTING 和 OUTPUT 链& x6 a. }. _% i" o, Q' ]4 \ {
Iptables -t mangle -nvL
9 J7 j7 @! {: b
Linux安全——iptalbes(二)
C7 U3 s) Q H! \% e0 a3 V9 N; ]4 S5 C! \0 i
! V$ ^4 ?+ W( }0 s' {Mangle 表对应所有五个链 b0 _6 J2 P5 }( t
Iptalbes -t nat -nvL; Q' C' {: d9 e$ F, D
Linux安全——iptalbes(二)
$ y. t2 Y3 K1 q! x1 E/ T* g+ I
Nat 表对应 PROROUTING、POSTROUTING、OUTPUT 三个链
, i; n" i8 M3 Q" X; }+ J其实我们会发现前面看到的 filter 表中是有规则存在的,其实那些规则是系统启动 iptables 时默认设置的规则。为了保持环境的干净我们还是先把这些默认添加的规则清理了吧。
8 C$ k+ K/ |1 z' j. E使用 iptables -F 命令清空filter表中的所有规则;
& M0 K8 N* \ z/ h* j
Linux安全——iptalbes(二)
* G" m9 j3 {, t1 |+ {总结下这次的命令:. L/ j! M, e7 ^3 ]$ Y: }
iptables --line -t 表名 -nvL 链名0 v8 n1 |2 S* k5 M7 u% {
查看指定表的中指定链上的规则,显示详细信息 -v,不进行地址解析-n,并显示规则的序号。
9 ]( c1 Q7 P9 W `6 \+ H不加表名默认 filter 表,不加链名默认所有链
3 t0 N2 j+ W5 G# i- o' |iptables -nvL9 t- ^" {) ?- d) ^. m' g4 O. D
查看 filter 表对应的所有链上的规则& k: T, c4 V% \1 ~. h7 u
iptables -F4 P3 k" |( F9 d' ]! ]$ _
清空 filter 表上的所有规则
2 e* e( e1 _! H z" E- \相关阅读:; a* M) @5 i: a y' U: I
Linux安全—iptables(一)' f9 w c. b! R: i5 V
! H4 F2 k: g- H) e0 t官网:www.yeslab.net
# W9 Q& D( F) k& J N9 {400-004-8626
/ T! B& \! ?+ Z/ j4 b- d" o2 p; @4 a
Linux安全——iptalbes(二)
* }5 D) B4 x& C0 B1 v/ j1 G R% O/ J/ i4 a# l* v3 s
% B' g( v N' r. m! X" }" w6 @ |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
