欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Iptables防火墻基本匹配條件應用詳解

 更新時間:2022年08月10日 15:06:18   作者:jiangxl  
這篇文章主要為大家介紹了Iptables防火墻基本匹配條件應用詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪

引言

@[TOC] 應用匹配條件時,經常會用到以下幾個參數(shù)。

  • -p:指定要操作的協(xié)議類型,不指定-p參數(shù)聲明是那種協(xié)議,默認是all,也就是所有協(xié)議。
  • -s:指定源地址。
  • -d:指定目標地址。
  • --sport:指定源端口.
  • --dport:指定目標端口。
  • -i:指定從哪個網卡進入的報文。
  • -o:指定從哪個網卡出去的報文。
  • -m
  • -j:指定策略的動作。

基本匹配條件案例一

**需求:**

僅允許 192.168.20.21 訪問 192.168.20.20 的80端口,其余的來源客戶端都拒絕訪問。

明確需求后,下面來分析應該如何實現(xiàn)。

這條需求分包含兩種不同的條件,首先是允許192.168.20.21訪問目標端口,然后是拒絕其他所有的客戶端訪問。

  • 首先來思考允許的條件如何實現(xiàn):

1、允許某個來源訪問本機的特定服務,這種訪問屬于數(shù)據(jù)的流入,那么就會經過PREROUTING和INPUT兩個鏈,允許或者拒絕這些操作都是在filter表實現(xiàn)的,PREROUTING鏈沒有filter,因此首先就可以得出結論,這條規(guī)則會在INPUT鏈的filter表中進行添加。

2、允許192.168.20.21這個地址,那么就需要指定來源的IP,然后根據(jù)來源IP的請求,還需要指定目標端的地址。

3、限制來源地址僅訪問本機的某個服務,那么就需要指定服務具體的協(xié)議以及端口號。

4、最后指定匹配完這些條件后,執(zhí)行的動作,也就是ACCEPT。

  • 然后來思考拒絕的條件如何實現(xiàn):

1、首先明確拒絕其余來源訪問本機的某個服務,那么一定是在INPUT鏈的filter表中添加具體的規(guī)則。

2、最后聲明拒絕其他的來源地址。

注意:由于不是全部拒絕,還有一個來源地址192.168.20.21是允許訪問TCP的80端口的,因此在寫入拒絕規(guī)則時,不能在使用-I參數(shù)添加到表的最頂端,應該通過-A參數(shù)添加到表的最后一行,追加進去。

1)實現(xiàn)該需求的防火墻規(guī)則如下

1.允許192.168.20.21訪問192.168.20.20的80端口
[root@jxl-1 ~]# iptables -t filter -I INPUT -s 192.168.20.21 -d 192.168.20.20 -p tcp --dport 80 -j ACCEPT
2.拒絕其余來源IP訪問本機的80端口
[root@jxl-1 ~]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

注意第二條拒絕所有的時候一定要使用-A參數(shù)追加到最后一行,否則所有的來源都將不可訪問。

2)查看設置的防火墻規(guī)則

INPUT鏈中一共有2條規(guī)則,第一條規(guī)則的動作是允許,允許192.168.20.21訪問192.168.20.20的tcp 80端口,第二條規(guī)則的動作是拒絕,拒絕全部IP訪問本機的80端口。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 9483 packets, 17M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.20.21        192.168.20.20        tcp dpt:80
2        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 9619 packets, 15M bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測試結果

只有來源地址為192.168.20.21的IP,才能訪問到192.168.20.20的TCP 80端口的服務。

基本匹配條件案例二

**需求:**由本機發(fā)出的TCP協(xié)議的報文都允許,發(fā)出的其他協(xié)議報文都拒絕。

明確需求后,下面來分析應該如何實現(xiàn),和案例一類似,分為兩種規(guī)則,一是允許某一個協(xié)議,二是拒絕其余所有的協(xié)議。

首先要明確在哪一個鏈的哪一個表中添加Iptables防火墻規(guī)則,看需求中的關鍵字“由本機發(fā)出”,由本機發(fā)出都需要經過POSTROUTING和OUTPUT鏈,這種過濾規(guī)則一定會在OUPUT鏈進行添加,引起POSTROUTING鏈沒有filter表。

明確完再哪一張表和哪一個鏈添加規(guī)則后,就非常容易了。

1)先來添加允許TCP協(xié)議報文流出的Iptables防火墻規(guī)則。

2)然后來添加拒絕剩余的其他報文,一定要將拒絕的規(guī)則添加在允許規(guī)則的下面,否則允許的規(guī)則將永不生效。

可以先將之前添加的規(guī)則清空,以免受到干擾。

[root@jxl-1 ~]# iptables -t filter -F

1)實現(xiàn)該需求的防火墻規(guī)則如下

1.允許本機的TCP協(xié)議報文流出
[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -j ACCEPT
2.拒絕本機所有協(xié)議報文流出
[root@jxl-1 ~]# iptables -t filter -A OUTPUT -p all -j DROP

2)查看設置的防火墻規(guī)則

在OUTPUT鏈可以看到兩條規(guī)則,第一條規(guī)則允許TCP協(xié)議報文流出,第二條規(guī)則拒絕所有協(xié)議的報文流出。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 5138 packets, 8863K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     6703   10M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        1    76 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

3)測試結果

由于拒絕了除TCP協(xié)議以外的所有協(xié)議,因此再使用ICMP協(xié)議時就產生了拒絕的現(xiàn)象,但是使用TCP協(xié)議就沒有任何影響。

基本匹配條件案例三

需求: 禁止其他主機從ens192發(fā)送來的ping請求。

首先來進行分析,案例三就非常簡單了,只有一種條件,那就是禁止其他的主機從本機的ens192網卡發(fā)送來的數(shù)據(jù)報文,從字面意思可以清楚的知道這是一條數(shù)據(jù)流入的規(guī)則。

那么一定是在INPUT鏈的filter表添加相應的規(guī)則策略。

1)實現(xiàn)該需求的防火墻規(guī)則如下

[root@jxl-1 ~]# iptables -t filter -I INPUT -i ens192 -p icmp -j DROP

2)查看設置的防火墻規(guī)則

在INPUT鏈中已經添加上了這條規(guī)則,凡是來自ens192網卡并且協(xié)議是icmp的報文都會被拒絕。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 2680 packets, 4308K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  ens192 *       0.0.0.0/0            0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 2752 packets, 4004K bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測試結果

在其他主機ping防火墻主機的ens192網卡,發(fā)現(xiàn)不通,但是ens224網卡就通。

拒絕所有協(xié)議進入本機的規(guī)則配置

iptables -t filter INPUT -j DROP

--dport參數(shù)聲明多個連續(xù)的端口號

--dport 20:22
表示20-22三個端口都可以進行匹配。

以上就是Iptables防火墻基本匹配條件應用詳解的詳細內容,更多關于Iptables防火墻匹配條件的資料請關注腳本之家其它相關文章!

相關文章

最新評論