|
回顾内容 $ k0 Y4 N! X$ V% n+ ]% t+ i- a/ ?5 j
还记得上次我们聊的 iptables 内容吗?回顾一下上次的内容,Linux 内核通过 netfilter 这个安全框架来实现防火墙机制,iptables 是用户操作 netfilter 实现功能的命令行工具,他们两个组合起来就是 Linux 防火墙 iptables 。- O+ R6 G: W. N6 T& J$ G( e/ r
Iptables 包含四表五链,其中四表就好比四个不同的“功能部门”,如:“海关、警察、税务、城管”,五链就好比五个位置的“关卡”,一般情况下一个“部门”要在多个“关卡”派驻人员,一个“关卡”内也会驻守多个部门的人。
Linux安全——iptalbes(二)
. e$ t& T2 [+ a" e2 D0 Z3 V ~! s上图中我们可以看到mangle“部门”在每个“关卡”都派驻了人员,而OUTPUT“关卡”则每个“部门”都派人蹲守。4 E }6 Q- n7 d& u) X4 Q/ B
表(部门)功能: 0 }9 p& B; I" B9 f, |
Filter 表——过滤数据包4 P8 U. L M7 `- Y6 S, }5 p
Nat 表——网络地址转换
2 C0 w: ~# F# \5 `Mangle 表——修改数据包服务类型、TTL 值(用来实现 QOS 功能); S& A8 a) g9 K! v4 H" l+ P/ h
Raw 表——数据包状态跟踪% G9 f/ B+ b& u: ~) j( e- F+ k, {
链(关卡)的位置:
Linux安全——iptalbes(二)
' \, U/ L+ ]1 w+ I/ Z
规则查看 - A M( |5 G$ P( P( x9 A/ A
理论说多了就睡着了,我们先来操作下看看 iptables 到底长什么样吧。因为 iptables 是防火墙功能,而实现防火墙功能的主要是 filter 表,我们就从 filter 表开始看。
Linux安全——iptalbes(二)
- T: W, n8 U1 j3 [0 T' r8 Q9 f
我们可以使用 iptables -t filter -L 命令来查看 filter 表中的规则,命令选项 -t 是指定要操作的表,-L 是列出表中的规则,这句命令解释起来就是“列出 filter 表在每个链上所制定的所有规则”。
/ t" T( X" _5 A% ?% V图中绿色括号括起来的就是每个链上的规则内容,蓝色下划线标注的是 filter 表对应的链,有 INPUT、FORWARD、OUTPUT 三个链每个链上都有不同的规则,正如前面所介绍的不同的链位于数据流向上的不同位置,所以需要在不同的链上设置不同规则来达到你所需要的防火墙目的。比如,我们需要禁止某个 IP 地址访问我们的主机,我们则需要在INPUT链上定义规则(明白为什么不?看看前文),又如果我们想要禁止本机往外发数据包我们又该在那个链上写那?所以具体规则制定要结合具体场景和需求。4 j1 V' b; J# [1 o% ^# K
我们继续看命令,一般情况下我们看数据流向习惯性的是从那个 IP 地址到那个 IP 地址,而大家会发现刚才图中是用 anywhere 来表示的,是对,iptalbes 默认会为我们进行名称解析,名称解析的效率一般会低而且不适合我们的习惯,这时候我们可以使用 -n 选项,表示不对 IP 地址进行名称解析。4 t( w$ h' f( g8 s; Q3 Y- Q
同时如果你觉得 -L 展示的信息还不够详细的话我们可以使用-v选项,查看更多更详细的信息内容。: q# V! P! @) X+ E! `
Linux安全——iptalbes(二)
/ w' N+ M, J+ w4 s! {, C是不是展示的内容就多了很多,我们来简单解释下这些内容:
5 Q0 }: o$ |: G; OPkts ——对应规则匹配到底报文个数;
K/ G$ p3 r7 L* X% `/ YBytes ——对应规则匹配报文大小;
( A4 F b9 l1 QTarget ——规则对应的操作;( M$ C8 r! C' t
Prot ——规则对应的协议;
( I/ A3 O% l$ d1 d* tOpt ——规则对应的选项;
& m- q" e1 X3 T: S; M) WIn ——表示数据包由哪个网卡流入,我们可以设置那个网卡来的报文才被匹配;: l) y9 }. V: k* r+ ?9 P" u
Out ——表示数据包由哪个网卡流出,我们以设置那个网卡露出的报文才被匹配;- u E5 X* x1 w
Source ——表示源地址;0 w, W- L2 s8 t9 }9 n$ S
Destination ——表示目标地址;
3 U% v! d' g) u4 |- I, K. F% _(其实如果觉得内容还不够详细,可以使用 -vv 选项会有更详细的信息展示,当然是不是还有 -vvv 那可以试下)
8 h2 Q, o$ J2 i) w* W9 a. c! z上图中还有画蓝色线的部分,其中 policy ACCEPT 表示当前链的默认策略,也就是说 INPUT 链上的默认策略是 ACCEPT 放行的。
* i$ w# n" b' V6 l- r* Z6 `Packets 表示当前链的默认策略所匹配到的数据包数量,0 就表示默认策略没有匹配到数据包。6 E9 t# l' v* s4 r" K$ z# r: x1 B
Bytes 表示当前链默认策略匹配到数据包的大小(总和)。" Y6 I+ K2 J9 ?" ^' ^# e
(当匹配到的包达到一定数量时,匹配到的包大小会自动转换单位,也就是说会自动转换成 100K bytes、10M bytes)0 v& g( F0 l8 A+ v0 [
其实我们是可以省略 -t filter 这个选项的,因为当没有 -t 这个选项时 iptables 默认就是 filter 表,所以当我们直接 iptables -nvL 时就会直接出现上图的内容。1 ^& ]. {7 m' Q( s4 i- u8 A
我们还可以只查看指定表中的指定链,比如我们只想查看 filter 表中 INPUT 链上的规则,我们就可以用 iptables -nvL INPUT,这里的链一定要是大写的。) t, K) _3 _/ k- V
如果规则设置很多那我们就需要查看一个有序号的列表,不然让你统计下现在到底做了多少条规则你都会头疼,使用 iptables --line -nvL INPUT 就可以查看有序列号的规则。* m6 y# w2 ]8 S% U. }; T! v
Linux安全——iptalbes(二)
0 }# h! Z) f4 Z4 i' F! | S6 E
我们再用同样的方法来看下其他几张表的内容1 G# s* L5 G% ~5 I8 X8 J
Iptables -t raw -nvL3 ]: k' Y! f! }# ?& O- `( g
Linux安全——iptalbes(二)
. H" o) K4 `+ }* Q
Raw 表对应的 PREROUTING 和 OUTPUT 链
$ T3 ^- j3 C7 W" xIptables -t mangle -nvL
/ p) g/ u9 I# ?7 ?; D
Linux安全——iptalbes(二)
* J' ]4 c( N4 I: ]# z% p1 T2 p: K# \% f+ y
6 b3 L( Q. a) L: X2 p1 n( v8 @Mangle 表对应所有五个链
6 H! c$ ?3 C) L2 S- Z( w: @Iptalbes -t nat -nvL& [# o6 W& l* I. s! h/ z
Linux安全——iptalbes(二)
0 |; ~7 p1 c; b. V% L3 lNat 表对应 PROROUTING、POSTROUTING、OUTPUT 三个链
, B7 Q! ~ b9 y+ }7 j其实我们会发现前面看到的 filter 表中是有规则存在的,其实那些规则是系统启动 iptables 时默认设置的规则。为了保持环境的干净我们还是先把这些默认添加的规则清理了吧。
5 l! N6 `4 a- v, A3 a使用 iptables -F 命令清空filter表中的所有规则;+ z% y/ U, R& n" x* F, v
Linux安全——iptalbes(二)
" s$ w+ k' O7 [总结下这次的命令:
. q) B9 o. i4 {iptables --line -t 表名 -nvL 链名8 X8 o# X) M, K! V5 T* i; l+ o
查看指定表的中指定链上的规则,显示详细信息 -v,不进行地址解析-n,并显示规则的序号。% I& b* u4 p9 A |0 A5 a5 s6 N
不加表名默认 filter 表,不加链名默认所有链% N. b5 e- F" e' s* J; n+ I8 v
iptables -nvL! q( q# ]9 { t* G% }. M
查看 filter 表对应的所有链上的规则
' D0 f7 h9 R% l' ^; q* r, l) yiptables -F% h7 S* i/ k7 O4 L
清空 filter 表上的所有规则
T7 H3 ^$ |. Y9 [. T相关阅读:9 k9 }2 V# F \- D
Linux安全—iptables(一)
! O) G" F5 m! \8 @! b3 Y6 n/ U& X1 Z7 m0 l; F" P
官网:www.yeslab.net' p f# A7 @: O4 v8 ?2 P6 t7 A
400-004-8626
. n+ y* \7 f; j( o
Linux安全——iptalbes(二)
' a# S% V, ], Q$ w! y6 F! f
+ X" r$ v. Y/ O H" d& J1 N( G- D5 _ e8 `. Z$ C) n: R6 d6 B0 c
|
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
