当前位置: 首页 > news >正文

Linux系统安全——iptables相关总结

news 来源:原创 2024/9/21 22:05:18

目录

1.查看iptables规则

2.删除规则

3.插入规则

4.黑白名单

5.添加回环网卡

6.清空规则

7.基本匹配条件

8.扩展匹配条件

9.tcp

10.icmp

11.显式扩展

11.1multiport扩展

11.2iprange扩展

11.3mac

11.4string扩展

11.5time

11.6连接最大数

11.7limit 限制流量

11.8state状态

11.8.1实现功能

老用户可以访问  新用户不可以访问

延伸

11.9target

12.规则保存

12.1开机自动加载

12.2测试

12.3备份工具

13.自定义链

14.永久开启路由转发功能

15.SNAT

16.DNAT

 

在使用iptables时注意要先关闭firewalldsystemctl stop firewalld.service

1.查看iptables规则

iptables -vnL

选项含义
-v查看时显示更多详细信息
-n所有字段以数字形式显示
-L查看规则列表

例,拒绝来自192.168.241.22的源地址  直接丢弃

iptables  -t  filter -A INPUT -s 192.168.241.22 -j DROP

其中-t filter是指filter表,常用的还可以替换为-t  nat表

-A
-D编号规则-jtarget
-I规则
-R编号规则

target

选项含义
DROP已读不回
REJECT回不合适
ACCEPT允许
LOG生成日志
SNAT使用snat;source 修改源ip
DNAT使用dnat; 修改目的ip

例,拒绝来自192.168.241.22的源地址  不回复  241网段的主机都无法访问

iptables -A INPUT -s 192.168.241.0/24 -j REJECT

tcpdump -i ens33 icmp -nn 在22主机上抓包只能看到去的包,看不到回的包

注意:配错策略无法远程登录服务器

登录本地  查看规则编号

iptables -vnL  --line-numbers

2.删除规则

iptables -D INPUT 2 

删除第二条规则

3.插入规则

iptables -I INPUT 编号 -s 192.168.241.22 -j DROP

iptables -I INPUT -s 192.168.241.1 -j ACCEPT   允许本地

iptables -A INPUT -s 192.168.241.0/24 -j REJECT  拒绝所有241网段的主机

4.黑白名单

修改默认规则为白名单后自己也无法访问

iptables -P INPUT DROP

访问127.0.0.1也不行

5.添加回环网卡

iptables -I INPUT 2 -i lo -j ACCEPT

6.清空规则

iptables -F 不包括默认规则  清空全部规则

iptables -P INPUT DROP 修改INPUT链的默认规则为拒绝,清空规则后又无法登录(因为此时的INPUT链的默认规则是拒绝)

手动白名单

iptables -A INPUT -s 192.168.241.1 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -j REJECT  最后再添加拒绝所有,比较安全,也不会影响自己本机登录

7.基本匹配条件

-s, --source address[/mask][,...]:源IP地址或者不连续的IP地址
-d, --destination address[/mask][,...]:目标IP地址或者不连续的IP地址
-p, --protocol protocol:指定协议,可使用数字如0(all)protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp,mh or“all“ 

 iptables -I INPUT 2 -p icmp -s 192.168.91.241 -j REJECT  禁止icmp协议,ssh协议可以继续使用


-i, --in-interface name:报文流入的接口;只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链
-o, --out-interface name:报文流出的接口;只能应用于数据报文流出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链

8.扩展匹配条件

rpm -ql iptables |grep time  
man iptables  看不到扩展
man iptables-extensions  扩展模块

隐式扩展     -p   tcp 指定了特殊的协议无需再次使用-m 选项   
显示扩展    必须加   -m  选项

9.tcp

iptables -I INPUT 3 -s 192.168.241.22 -p tcp --dport 80 -j REJECT  指定端口号

iptables -I INPUT 3 -s 192.168.241.22 -p tcp --dport 80:82 -j REJECT 连续的端口号

tcp的标记位

--tcp-flags

--syn:用于匹配第一次握手,相当于:--tcp-flags SYN、ACK、FIN、RST、SYN

10.icmp

A可以ping B   B不可以ping  A

iptables -A INPUT -s 192.168.241.22 -j REJECT    双方都不可以ping

iptables -A INPUT -s 192.168.241.22 -p icmp --icmp-type 8 -j REJECT  拒绝请求包

iptables -A INPUT -s 192.168.241.22 -p icmp --icmp-type 0 -j REJECT  拒绝回复包

拒绝请求包要好用

11.显式扩展

11.1multiport扩展

混合端口,以离散的方式定义多个端口

yum install epel-release.noarch -y  安装额外源

systemctl start redis 开启redis

ss -natp | grep 6379

vim /etc/redis.conf

在第61行 bind 0.0.0.0 修改绑定地址

redis-cli -h 192.168.241.11 主机二登录

拒绝源地址为192.168.241.22访问本机80和6379端口

iptables -A INPUT -s 192.168.241.22 -p tcp -m multiport --dports 80,6379 -j REJECT

11.2iprange扩展

ip地址范围,之前只能指定网段

iptables -A INPUT -m iprange --src-range 192.168.241.22-192.168.241.24 -j REJECT

指定源地址为192.168.241.22-192.168.241.24 三个地址无法访问当前主机

11.3mac

根据mac地址

iptables -A INPUT -m mac --mac-source 00:0c:29:51:4b:b5 -j REJECT

只有源mac没有目标mac

11.4string扩展

根据字符串过滤

vim /var/www/html/index.html  www.google.com

vim /var/www/html/index.html  www.baidu.com

www.google.com

curl 192.168.241.11/index.html

www.baidu.com

iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62 --string "google" -j REJECT

11.5time

时间是UTC时间  世界协商时间

date -u

man iptables-extensions

iptables -A INPUT -m time --timestart 16:00 --timestop 18:00 -j REJECT

11.6连接最大数

gcc flood connect.c -o flood

./flood 192.168.241.11

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 2 -j REJECT

11.7limit 限制流量

iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 10/minute --limit-burst 5 -j ACCEPT

每分钟允许10个   前5个不限制

iptables -A INPUT -p icmp -j REJECT

11.8state状态

  • NEW:无论是我发出的第一个包还是收到的第一个包  都叫NEW
  • ESTABLISHED:NEW 之后都叫ESTABLISHED,除了第一个
  • RELATED:ftp 权限端口会自动打开数据端口
  • NVALID:无效的连接,如flag标记不正确
  • UNTRACKED:未进行追踪的连接,如:raw表中关闭追踪
  • cat /proc/net/nf_conntrack    默认连接跟踪功能需要开启 state功能

11.8.1实现功能

老用户可以访问  新用户不可以访问

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

已在ping的可以继续ping,ping停止的话不可以再ping,xshell也不可以连

iptables -A INPUT -m state --state NEW -j REJECT 新用户拒绝

lsmod | grep comn 内核模块可以看到,调用state状态时可以看到

cat /proc/sys/net/netfilter/nf_conntrack_max 记录的用户数为65536

echo 1 > /proc/sys/net/netfilter/nf_conntrack_max  修改最大记录数

tail /var/log/messages  查看日志

iptables -A INPUT -m state --state ESTABLISHED ACCEPT

iptables -A INPUT -m state --state NEW -j REJECT

延伸

报错Feb  5 09:41:49 localhost kernel: nf_conntrack: table full, dropping packet

A不能访问我,我可以访问A    单向通讯
iptables -A INPUT -s 192.168.91.101 -j REJECT    不行都不可以了
iptables -A INPUT -s 192.168.91.101 -m state --state NEW -j REJECT    第一个包是请求包只要禁止请求包即可

11.9target

log
iptables -I INPUT -s 192.168.91.101 -p tcp -m multiport --dports 80,21:23 -m state --state NEW -j LOG --log-prefix "hello:"

12.规则保存

iptables-save 此条命令会将所有规则打印在屏幕上

iptables-restore 支持标准输入

iptables-save > /data/iprule

iptables-restore < /data/iprule

iptables -A INPUT -s 192.168.241.1 -j ACCEPT

iptables -A INPUT -s 192.168.241.0/24 -j ACCEPT

iptables -A INPUT -j REJECT

将这三条规则加入到规则表中

iptables-save > /data/iprule   备份

iptables-restore  < /data/iprule 导入

12.1开机自动加载

vim ~/.bashrc

vim /etc/rc.d/rc.local

iptables-restore < /data/iprule

chmod +x /etc/rc.d/rc.local

12.2测试

iptables -F

/etc/rc.d/rc.local

iptables -vnL

12.3备份工具

yum install iptables-services.x86_64 -y

rpm -ql iptables-service

/etc/sysconfig/iptables 存放系统自带的规则

systemctl start iptables-services

systemctl enable iptables-services

13.自定义链

将规则分类  web链 db链  java链

iptables -N web 自定义链

iptables -vnL 可以看到自己定义的链

iptables -E web WEB 修改名称

iptables -A INPUT -s 192.168.241.0/24 -j WEB

input链调用将自定义链和INPUT链修改也可以保存

删除自定义链

iptables -F INPUT

iptables -F WEB  删除

iptables -X WEB 清空自定义链的规则

curl http://ip.sh 查看本机主机访问公网时使用的ip

14.永久开启路由转发功能

vim /etc/sysctl.conf

net.ipv4.ip_forward = 1   将此写入配置文件

15.SNAT

iptables -t nat -A POSTROUTING -s 192.168.241.0/24 -o ens36 -j SNAT --to 12.0.0.1

将源地址为192.168.241.0网段的私网地址全部转化为网关地址

iptables -t nat -A POSTROUTING -s 192.168.241.0/24 -o ens36 -j MASQUERADE

如果地址不固定可以设置

16.DNAT

iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.10 -p tcp --dport 80 -j DNAT --to 192.168.241.22

iptables -t nat -A POSTROUTING -o ens36 -s 192.168.241.0/24 -j SNAT --to 12.0.0.254

有去有回踩可以ping通  所以要加SNAT

iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.241.11:8080

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • LeetCode_20_简单_有效的括号
  • 个人简历补充
  • 【C++笔记】第一阶段:C++基础入门
  • 算法-矩阵置零
  • Security6.2 中的SpEL 表达式应用(权限注解使用)
  • 代码随想录三刷day02
  • Tomcat(3)IDEA集成Tomcat新建web应用
  • python+django+vue汽车票在线预订系统58ip7
  • 网络安全(黑客)自学day1
  • Discuz! X收藏列表页调用封面图片详细教程
  • 【开源软件的影响力有多大?】
  • 嵌入式基础
  • 2024前端面试准备之Vue3篇
  • 60秒表达力训练法:快速提高表达能力,摆脱嘴笨带来的困扰
  • 蓝桥杯刷题--python-8(2023 填空题)
  • 《剑指offer》分解让复杂问题更简单
  • Android开源项目规范总结
  • Flex布局到底解决了什么问题
  • HTTP请求重发
  • PHP 小技巧
  • Puppeteer:浏览器控制器
  • React系列之 Redux 架构模式
  • WinRAR存在严重的安全漏洞影响5亿用户
  • 百度贴吧爬虫node+vue baidu_tieba_crawler
  • 大型网站性能监测、分析与优化常见问题QA
  • 浮动相关
  • 回顾2016
  • 理解IaaS, PaaS, SaaS等云模型 (Cloud Models)
  • 巧用 TypeScript (一)
  • 如何在GitHub上创建个人博客
  • 腾讯优测优分享 | 你是否体验过Android手机插入耳机后仍外放的尴尬?
  • - 转 Ext2.0 form使用实例
  • 树莓派用上kodexplorer也能玩成私有网盘
  • # Python csv、xlsx、json、二进制(MP3) 文件读写基本使用
  • #我与Java虚拟机的故事#连载05:Java虚拟机的修炼之道
  • #我与Java虚拟机的故事#连载16:打开Java世界大门的钥匙
  • (1)svelte 教程:hello world
  • (2024,RWKV-5/6,RNN,矩阵值注意力状态,数据依赖线性插值,LoRA,多语言分词器)Eagle 和 Finch
  • (21)起落架/可伸缩相机支架
  • (C#)if (this == null)?你在逗我,this 怎么可能为 null!用 IL 编译和反编译看穿一切
  • (笔试题)合法字符串
  • (动态规划)5. 最长回文子串 java解决
  • (附源码)springboot猪场管理系统 毕业设计 160901
  • (四)opengl函数加载和错误处理
  • (转)es进行聚合操作时提示Fielddata is disabled on text fields by default
  • .Net Core/.Net6/.Net8 ,启动配置/Program.cs 配置
  • .NET Core/Framework 创建委托以大幅度提高反射调用的性能
  • .NET Core日志内容详解,详解不同日志级别的区别和有关日志记录的实用工具和第三方库详解与示例
  • .net Stream篇(六)
  • .net 发送邮件
  • .NET 使用 XPath 来读写 XML 文件
  • .NET企业级应用架构设计系列之开场白
  • @CacheInvalidate(name = “xxx“, key = “#results.![a+b]“,multi = true)是什么意思
  • [ CTF ]【天格】战队WriteUp- 2022年第三届“网鼎杯”网络安全大赛(青龙组)
  • [20150321]索引空块的问题.txt