溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容主要講解“Iptables防火墻基本匹配條件是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“Iptables防火墻基本匹配條件是什么”吧!
@[TOC] 應用匹配條件時,經常會用到以下幾個參數。
-p:指定要操作的協議類型,不指定-p參數聲明是那種協議,默認是all,也就是所有協議。
-s:指定源地址。
-d:指定目標地址。
--sport:指定源端口.
--dport:指定目標端口。
-i:指定從哪個網卡進入的報文。
-o:指定從哪個網卡出去的報文。
-m:
-j:指定策略的動作。
僅允許 192.168.20.21 訪問 192.168.20.20 的80端口,其余的來源客戶端都拒絕訪問。
明確需求后,下面來分析應該如何實現。
這條需求分包含兩種不同的條件,首先是允許192.168.20.21訪問目標端口,然后是拒絕其他所有的客戶端訪問。
首先來思考允許的條件如何實現:
1、允許某個來源訪問本機的特定服務,這種訪問屬于數據的流入,那么就會經過PREROUTING和INPUT兩個鏈,允許或者拒絕這些操作都是在filter表實現的,PREROUTING鏈沒有filter,因此首先就可以得出結論,這條規則會在INPUT鏈的filter表中進行添加。
2、允許192.168.20.21這個地址,那么就需要指定來源的IP,然后根據來源IP的請求,還需要指定目標端的地址。
3、限制來源地址僅訪問本機的某個服務,那么就需要指定服務具體的協議以及端口號。
4、最后指定匹配完這些條件后,執行的動作,也就是ACCEPT。
然后來思考拒絕的條件如何實現:
1、首先明確拒絕其余來源訪問本機的某個服務,那么一定是在INPUT鏈的filter表中添加具體的規則。
2、最后聲明拒絕其他的來源地址。
注意:由于不是全部拒絕,還有一個來源地址192.168.20.21是允許訪問TCP的80端口的,因此在寫入拒絕規則時,不能在使用-I參數添加到表的最頂端,應該通過-A參數添加到表的最后一行,追加進去。
1.允許192.168.20.21訪問192.168.20.20的80端口 [root@jxl-1 ~]# iptables -t filter -I INPUT -s 192.168.20.21 -d 192.168.20.20 -p tcp --dport 80 -j ACCEPT 2.拒絕其余來源IP訪問本機的80端口 [root@jxl-1 ~]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP
注意第二條拒絕所有的時候一定要使用-A參數追加到最后一行,否則所有的來源都將不可訪問。
INPUT鏈中一共有2條規則,第一條規則的動作是允許,允許192.168.20.21訪問192.168.20.20的tcp 80端口,第二條規則的動作是拒絕,拒絕全部IP訪問本機的80端口。
[root@jxl-1 ~]# iptables -L -n -v --line-number Chain INPUT (policy ACCEPT 9483 packets, 17M bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT tcp -- * * 192.168.20.21 192.168.20.20 tcp dpt:80 2 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 9619 packets, 15M bytes) num pkts bytes target prot opt in out source destination
只有來源地址為192.168.20.21的IP,才能訪問到192.168.20.20的TCP 80端口的服務。
**需求:**由本機發出的TCP協議的報文都允許,發出的其他協議報文都拒絕。
明確需求后,下面來分析應該如何實現,和案例一類似,分為兩種規則,一是允許某一個協議,二是拒絕其余所有的協議。
首先要明確在哪一個鏈的哪一個表中添加Iptables防火墻規則,看需求中的關鍵字“由本機發出”,由本機發出都需要經過POSTROUTING和OUTPUT鏈,這種過濾規則一定會在OUPUT鏈進行添加,引起POSTROUTING鏈沒有filter表。
明確完再哪一張表和哪一個鏈添加規則后,就非常容易了。
1)先來添加允許TCP協議報文流出的Iptables防火墻規則。
2)然后來添加拒絕剩余的其他報文,一定要將拒絕的規則添加在允許規則的下面,否則允許的規則將永不生效。
可以先將之前添加的規則清空,以免受到干擾。
[root@jxl-1 ~]# iptables -t filter -F
1.允許本機的TCP協議報文流出 [root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -j ACCEPT 2.拒絕本機所有協議報文流出 [root@jxl-1 ~]# iptables -t filter -A OUTPUT -p all -j DROP
在OUTPUT鏈可以看到兩條規則,第一條規則允許TCP協議報文流出,第二條規則拒絕所有協議的報文流出。
[root@jxl-1 ~]# iptables -L -n -v --line-number Chain INPUT (policy ACCEPT 5138 packets, 8863K bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 6703 10M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 2 1 76 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
由于拒絕了除TCP協議以外的所有協議,因此再使用ICMP協議時就產生了拒絕的現象,但是使用TCP協議就沒有任何影響。
需求: 禁止其他主機從ens192發送來的ping請求。
首先來進行分析,案例三就非常簡單了,只有一種條件,那就是禁止其他的主機從本機的ens192網卡發送來的數據報文,從字面意思可以清楚的知道這是一條數據流入的規則。
那么一定是在INPUT鏈的filter表添加相應的規則策略。
[root@jxl-1 ~]# iptables -t filter -I INPUT -i ens192 -p icmp -j DROP
在INPUT鏈中已經添加上了這條規則,凡是來自ens192網卡并且協議是icmp的報文都會被拒絕。
[root@jxl-1 ~]# iptables -L -n -v --line-number Chain INPUT (policy ACCEPT 2680 packets, 4308K bytes) num pkts bytes target prot opt in out source destination 1 0 0 DROP icmp -- ens192 * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 2752 packets, 4004K bytes) num pkts bytes target prot opt in out source destination
在其他主機ping防火墻主機的ens192網卡,發現不通,但是ens224網卡就通。
拒絕所有協議進入本機的規則配置
iptables -t filter INPUT -j DROP
--dport參數聲明多個連續的端口號
--dport 20:22 表示20-22三個端口都可以進行匹配。
到此,相信大家對“Iptables防火墻基本匹配條件是什么”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
