iptables包过滤与网络地址转换


iptables

功能

4个表rawmanglenat,filter(后两个表用的多)

iptables -t filter -nvL    # -t显示哪个表

三个链(Chain):INPUT,FORAWRD(转发规则链),OUTPUT

特点

  • 比较老,逐渐被取代
  • 基于命令行
  • 难度最高

用法

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

# 注意事项:
不指定表名时,默认指filter表
不指定链名时,默认只表内是所有链
除非设置链的默认策略。否则必须指向匹配条件
选项、链名、控制类型使用大写字母,其余均为小写

几种控制类型

ACCEPT  # 允许流量通过
REJECT    # 明确拒绝(比如ping时候的"主机不可达")
DROP        # 对方不知道你是否在线(显示超时)
LOG        # 记录日志信息

规则优先顺序:自上而下

包过滤

用法

iptables -L    # 显示所有的策略
iptables -F       # "清空所有"策略
iptables -F FORWARD    # 清空FORWARD表所有规则
iptables -P INPUT DROP     # 默认禁止所有流量策略,不能reject

## 参数
-I   # 插入到最前面(用的较多)
-A   # 插入到最后面(用的较少)
-D     # 删除
-p   # 允许的协议
--dport     # 本机端口(属于隐含匹配,要配合通用匹配使用)
-s    # 来源地址
-d      # 目的地址
-i      # 入站网卡
-o      # 出站网卡
-j    # 本身为意义,后面跟动作

-L    # 列出所有规则条目
-n:    # 以数字形式显示地址、端口等信息
-v:    # 以更详细的方式显示规则信息
--lines-numbers: # 查看规则时,显示规则的序号
-mac-source MAC地址    # MAC地址匹配(属于显式匹配)


iptables -I  INPUT -p icmp -j ACCEPT  #只允许外部到内部的ping

iptables -I INPUT -s 192.168.10.0/24 -d 0.0.0.0 -p tcp  --dport 22 #允许来自某个网段的访问,端口为22

-D #删除某一条
iptables -D INPUT 1  #删除第一条(后面跟行号)

iptables -I INPUT -p tcp --port 22 -j REJECT  #禁止外部所有22端口的流量

iptables -I INPUT -p tcp --port 22:200 -j REJECT  #禁止外部所有20到200端口的流量

# 保存规则(永久生效)
service iptables save

# 导出当前规则状态
iptables-save > /usr/share/1.txt
# 从文件导入规则
iptables-restore < /usr/share/1.txt

网络地址转换(NAT)

NAT表

# 查看NAT表规则 
iptables -t nat -nvL

路由后规则(POSTROUTING)

## 设置规则
# -s 是给内网的谁做转换, --to-source是转为网关的地址
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.0/24 -j SNAT --to-source 12.34.56.78 

# 如果网关地址是动态的,就这样
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.0/24 -j SNAT --to-source -j MASQUERADE

## 配置FORWARD链的转发限制


目标地址转换(DNAT)

情景:外网机器访问内网机器

使用链:路由前规则(PREROUTING)

# 查看NAT表规则 
iptables -t nat -nvL

# 设置规则,访问内网主机的8080端口(网关的80映射到内网主机的8080)
iptables -t nat PREROUTING -i eth1 -d 12.34.56.78 -p tcp --dport 80 -J DNAT --to-destination 192.168.1.1:8080

firewalld 防火墙

zone  #区域
sbit    #安全位
public    #默认策略,当前使用
Runtime  # 当前生效,重启后失效
Premanent # 当前暂时不生效,但是永久生效
--premanent       # 建议添加这个

firewall-cmd -reload     #重启

firewall-cmd --get-default-zone    #查看当前区域

firewall-cmd --set-default-zone=drop    #切换默认区域到丢包

firewall-cmd --permanent --zone=drop --change-interface=en0167777  #重启之后,把这个网卡区域换为drop
firewall-cmd --permanent get-zone-of-interface=en0167777  #重启之后,查看

##紧急模式
firewall-cmd --panic-on    #切断所有网络连接,包括ping的数据包
firewall-cmd --panic-off    #关闭紧急模式

##查询服务
firewall-cmd --zone=public --query-service=http    #查看是否允许http
firewall-cmd --zone=public --query-service=ssh

##添加允许服务
firewall-cmd --zone=public --add-servcice=http    #允许从外访问http服务

firewall-cmd --zone=public --add-servcice=https    #重启才可以 firewall-cmd --reload
firewall-cmd --zone=public --add-servcice=https

##禁止服务
firewall-cmd --zone=public --remove-servcice=https

firewall-cmd --permanent --zone=public --add-servcice=https
firewall-cmd --permanent --zone=public --query-servcice=https    


##添加端口号
firewall-cmd --zone=public --add-port=8080/tcp    #把这个端口添加到tcp协议组,允许
firewall-cmd --zone=public --add-port=80-90/tcp    #端口端


##端口转发(隐藏原始端口)
firewall-cmd --permanent --zone=public --add-forward-port=888:porto:tcp:toport=22:toaddr=192.168.10.10    #转发888到22
firewall-cmd --reload


##复规则(复规则)
##精准匹配
firewall-cmd --permanent --zone=public --add-rich-rule="rule family"="ipv4" source address="192.168.10.0/24" service name="ssh" reject"

firewall-cmd reload


文章作者: 剑胆琴心
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 剑胆琴心 !
评论
 上一篇
nbtscan nbtscan
当我们处于局域网中 用来探测内网存活主机 kali中已经安装了: root@xps:~# whereis nbtscan nbtscan: /usr/bin/nbtscan /usr/share/man/man1/nbtscan.1
2020-08-17
下一篇 
masscan masscan
masscan号称是世界上最快的扫描软件,可以在3分钟内扫描整个互联网端口,但是这个是由条件的4核电脑,双端口10G网卡 项目地址: https://github.com/robertdavidgraham/masscan 安装Linu
2020-08-13
  目录