引言

@[TOC] 應(yīng)用匹配條件時(shí)，經(jīng)常會(huì)用到以下幾個(gè)參數(shù)。

• -p：指定要操作的協(xié)議類型，不指定-p參數(shù)聲明是那種協(xié)議，默認(rèn)是all，也就是所有協(xié)議。
• -s：指定源地址。
• -d：指定目標(biāo)地址。
• --sport：指定源端口.
• --dport：指定目標(biāo)端口。
• -i：指定從哪個(gè)網(wǎng)卡進(jìn)入的報(bào)文。
• -o：指定從哪個(gè)網(wǎng)卡出去的報(bào)文。
• -m：
• -j：指定策略的動(dòng)作。

基本匹配條件案例一

**需求：**

僅允許 192.168.20.21 訪問(wèn) 192.168.20.20 的80端口，其余的來(lái)源客戶端都拒絕訪問(wèn)。

明確需求后，下面來(lái)分析應(yīng)該如何實(shí)現(xiàn)。

這條需求分包含兩種不同的條件，首先是允許192.168.20.21訪問(wèn)目標(biāo)端口，然后是拒絕其他所有的客戶端訪問(wèn)。

• 首先來(lái)思考允許的條件如何實(shí)現(xiàn)：

1、允許某個(gè)來(lái)源訪問(wèn)本機(jī)的特定服務(wù)，這種訪問(wèn)屬于數(shù)據(jù)的流入，那么就會(huì)經(jīng)過(guò)PREROUTING和INPUT兩個(gè)鏈，允許或者拒絕這些操作都是在filter表實(shí)現(xiàn)的，PREROUTING鏈沒(méi)有filter，因此首先就可以得出結(jié)論，這條規(guī)則會(huì)在INPUT鏈的filter表中進(jìn)行添加。

2、允許192.168.20.21這個(gè)地址，那么就需要指定來(lái)源的IP，然后根據(jù)來(lái)源IP的請(qǐng)求，還需要指定目標(biāo)端的地址。

3、限制來(lái)源地址僅訪問(wèn)本機(jī)的某個(gè)服務(wù)，那么就需要指定服務(wù)具體的協(xié)議以及端口號(hào)。

4、最后指定匹配完這些條件后，執(zhí)行的動(dòng)作，也就是ACCEPT。

• 然后來(lái)思考拒絕的條件如何實(shí)現(xiàn)：

1、首先明確拒絕其余來(lái)源訪問(wèn)本機(jī)的某個(gè)服務(wù)，那么一定是在INPUT鏈的filter表中添加具體的規(guī)則。

2、最后聲明拒絕其他的來(lái)源地址。

注意：由于不是全部拒絕，還有一個(gè)來(lái)源地址192.168.20.21是允許訪問(wèn)TCP的80端口的，因此在寫(xiě)入拒絕規(guī)則時(shí)，不能在使用-I參數(shù)添加到表的最頂端，應(yīng)該通過(guò)-A參數(shù)添加到表的最后一行，追加進(jìn)去。

1）實(shí)現(xiàn)該需求的防火墻規(guī)則如下

1.允許192.168.20.21訪問(wèn)192.168.20.20的80端口
[root@jxl-1 ~]# iptables -t filter -I INPUT -s 192.168.20.21 -d 192.168.20.20 -p tcp --dport 80 -j ACCEPT
2.拒絕其余來(lái)源IP訪問(wèn)本機(jī)的80端口
[root@jxl-1 ~]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

注意第二條拒絕所有的時(shí)候一定要使用-A參數(shù)追加到最后一行，否則所有的來(lái)源都將不可訪問(wèn)。

2）查看設(shè)置的防火墻規(guī)則

INPUT鏈中一共有2條規(guī)則，第一條規(guī)則的動(dòng)作是允許，允許192.168.20.21訪問(wèn)192.168.20.20的tcp 80端口，第二條規(guī)則的動(dòng)作是拒絕，拒絕全部IP訪問(wèn)本機(jī)的80端口。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 9483 packets, 17M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.20.21        192.168.20.20        tcp dpt:80
2        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 9619 packets, 15M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

3）測(cè)試結(jié)果

只有來(lái)源地址為192.168.20.21的IP，才能訪問(wèn)到192.168.20.20的TCP 80端口的服務(wù)。

基本匹配條件案例二

**需求：**由本機(jī)發(fā)出的TCP協(xié)議的報(bào)文都允許，發(fā)出的其他協(xié)議報(bào)文都拒絕。

明確需求后，下面來(lái)分析應(yīng)該如何實(shí)現(xiàn)，和案例一類似，分為兩種規(guī)則，一是允許某一個(gè)協(xié)議，二是拒絕其余所有的協(xié)議。

首先要明確在哪一個(gè)鏈的哪一個(gè)表中添加Iptables防火墻規(guī)則，看需求中的關(guān)鍵字“由本機(jī)發(fā)出”，由本機(jī)發(fā)出都需要經(jīng)過(guò)POSTROUTING和OUTPUT鏈，這種過(guò)濾規(guī)則一定會(huì)在OUPUT鏈進(jìn)行添加，引起POSTROUTING鏈沒(méi)有filter表。

明確完再哪一張表和哪一個(gè)鏈添加規(guī)則后，就非常容易了。

1）先來(lái)添加允許TCP協(xié)議報(bào)文流出的Iptables防火墻規(guī)則。

2）然后來(lái)添加拒絕剩余的其他報(bào)文，一定要將拒絕的規(guī)則添加在允許規(guī)則的下面，否則允許的規(guī)則將永不生效。

可以先將之前添加的規(guī)則清空，以免受到干擾。

[root@jxl-1 ~]# iptables -t filter -F

1）實(shí)現(xiàn)該需求的防火墻規(guī)則如下

1.允許本機(jī)的TCP協(xié)議報(bào)文流出
[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -j ACCEPT
2.拒絕本機(jī)所有協(xié)議報(bào)文流出
[root@jxl-1 ~]# iptables -t filter -A OUTPUT -p all -j DROP

2）查看設(shè)置的防火墻規(guī)則

在OUTPUT鏈可以看到兩條規(guī)則，第一條規(guī)則允許TCP協(xié)議報(bào)文流出，第二條規(guī)則拒絕所有協(xié)議的報(bào)文流出。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 5138 packets, 8863K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     6703   10M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        1    76 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0  

3）測(cè)試結(jié)果

由于拒絕了除TCP協(xié)議以外的所有協(xié)議，因此再使用ICMP協(xié)議時(shí)就產(chǎn)生了拒絕的現(xiàn)象，但是使用TCP協(xié)議就沒(méi)有任何影響。

基本匹配條件案例三

需求： 禁止其他主機(jī)從ens192發(fā)送來(lái)的ping請(qǐng)求。

首先來(lái)進(jìn)行分析，案例三就非常簡(jiǎn)單了，只有一種條件，那就是禁止其他的主機(jī)從本機(jī)的ens192網(wǎng)卡發(fā)送來(lái)的數(shù)據(jù)報(bào)文，從字面意思可以清楚的知道這是一條數(shù)據(jù)流入的規(guī)則。

那么一定是在INPUT鏈的filter表添加相應(yīng)的規(guī)則策略。

1）實(shí)現(xiàn)該需求的防火墻規(guī)則如下

[root@jxl-1 ~]# iptables -t filter -I INPUT -i ens192 -p icmp -j DROP

2）查看設(shè)置的防火墻規(guī)則

在INPUT鏈中已經(jīng)添加上了這條規(guī)則，凡是來(lái)自ens192網(wǎng)卡并且協(xié)議是icmp的報(bào)文都會(huì)被拒絕。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 2680 packets, 4308K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  ens192 *       0.0.0.0/0            0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 2752 packets, 4004K bytes)
num   pkts bytes target     prot opt in     out     source               destination  

3）測(cè)試結(jié)果

在其他主機(jī)ping防火墻主機(jī)的ens192網(wǎng)卡，發(fā)現(xiàn)不通，但是ens224網(wǎng)卡就通。

拒絕所有協(xié)議進(jìn)入本機(jī)的規(guī)則配置

iptables -t filter INPUT -j DROP

--dport參數(shù)聲明多個(gè)連續(xù)的端口號(hào)

--dport 20:22
表示20-22三個(gè)端口都可以進(jìn)行匹配。

以上就是Iptables防火墻基本匹配條件應(yīng)用詳解的詳細(xì)內(nèi)容，更多關(guān)于Iptables防火墻匹配條件的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論