Linux细节 - Liunx防火墙/etc/sysconfig/iptables 详解

最新推荐文章于 2024-03-12 01:35:59 发布
原创 最新推荐文章于 2024-03-12 01:35:59 发布 · 3.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙 #tcp #input #filter #output

本文详细介绍了Linux内核防火墙配置文件的解析,包括输入、转发和输出链的设置,以及针对ICMP、TCP、UDP等协议的规则制定。 
#头两行是注释说明
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
#使用filter表
*filter
#下面四条内容定义了内建的INPUT、FORWAARD、ACCEPT链,还创建了一个被称为RH-Firewall-1-INPUT 的新链
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
#将所有流入的数据写入到日志文件中
-A INPUT -j LOG --log-level crit
#下面这条规则将添加到INPUT链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。
-A INPUT -j RH-Firewall-1-INPUT
#下面这条规则将添加到FORWARD链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1 //链上。
-A FORWARD -j RH-Firewall-1-INPUT
#下面这条规则将被添加到RH-Firewall-1-input链。它可以匹配所有的数据包,其中流入接口(-i)//是一个环路接口(lo)。
#匹配这条规则的数据包将全部通过(ACCEPT),不会再使用别的规则来和它们进行比较
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#下面这条规则是拒绝所以的icmp包-p 后是协议如:icmp、tcp、udp。端口是在-p后面--sport源端口,--dport目的端口。-j 指定数据包发送的
#目的地址如:ACCEPT、DROP、QUEUE等等
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#-m state --state ESTABLISHED,RELATED这个条件表示所有处于ESTABLISHED或者
RELATED状态的包,策略都是接受的。
# -m state --state NEW 这个条件是当connection的状态为初始连接(NEW)时候的策略。
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP -s 222.221.7.84
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

iptalbes 是状态检测防火墙!

linuxiptables配置文件及命令详解详解
weixin_30690833的博客
09-14 2317
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
iptables 完整入门与实战技巧:Linux 防火墙配置详解
2503_91655817的博客
04-21 2122
iptablesLinux 内核自带的包过滤系统,用于控制进出服务器的数据包。通过配置规则,它可以:拒绝恶意访问限制端口访问防止暴力破解实现简单的 NAT 或转发iptables是一把双刃剑,用得好可以帮你把网络安全控制得非常细致;用得不好也可能导致自己连不上服务器。配置前一定备份当前规则;实验时保留 SSH 端口,避免锁死自己;推荐将规则写成脚本或保存为文件,方便恢复。如果你对iptables更深层的功能(如 NAT、端口转发、限速等)感兴趣,可以告诉我,我可以出一篇。
linux iptables 配置文件
08-04
linux iptables 防火墙配置文件
iptables配置文档
06-11
实现禁止或者启用某个端口可以访问某台linux服务器,细致化控制可以控制到IP地址;
iptables配置文件 下载
06-19
CentOS iptables linux配置文件,主要针对把CentOS当成客户端的linux iptable设置
iptables配置文件解析
weixin_33717298的博客
07-19 302
#头两行是注释说明 # Firewall configuration written by system-config-securitylevel# Manual customization of this file is not recommended. #使用filter表*filter #下面四条内容定义了内建的INPUT、FORWAARD、ACCEPT...
linux防暴力白名单怎么添加,Linux防火墙--iptables--白名单配置
weixin_28879085的博客
05-06 804
1.服务器22端口和1521端口开通给指定IP[root@node2 sysconfig]# iptables -t filter -nL INPUTChain INPUT (policy ACCEPT)target prot opt source destinationACCEPT all -- 0.0.0.0/0 0.0.0...
Linux防火墙详解
huaz_md的博客
03-12 2249
netfilter是一个工作在Linux内核的网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP,UDP,ICMP等)提取出来进行分析,来决定该连接为放行还是抵挡的机制,主要用于分析OSI七层协议的2,3,4层# 总结:# 放行服务:firewall-cmd --permanent --zone=public --add-service=服务名# 放行服务端口。
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 3301
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilteriptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
linux系统对外开放3306、8080等端口,防火墙设置详解
01-20
 linux系统的端口设置在/etc/sysconfig/iptables文件中配置。使用编辑器打开该文件。内容如下: # Firewall configuration written by system-config-firewall # Manual customization of this file is not ...
iptables配置文件模板
不会写后端的前端不是一个好运维。
04-11 4342
iptables配置文件模板
iptables 配置
q996966912的博客
10-20 379
如果想要永久生效,我们要编辑/etc/sysctl.conf文件,设置net.ipv4.ip_forward = 1,然后用sysctl -p命令使配置文件生效。 我们使用-t nat参数指明使用nat表,因为iptables默认使用filter表。 nat表同filter表一样有三条缺省的"链"(chains): POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址 PREROUTING:定义进行目的地址转换的规则,可以把外部访问重定向到其他主机上 OUTPUT:定义对本地产生的数据.
查看linux iptables 配置文件,Linux iptables 配置详解
weixin_29752389的博客
05-13 4198
Linux iptables 配置详解[日期:2012-12-29]来源:Linux社区作者:Linux[字体:大 中 小]一、配置一个filter表的防火墙1. 查看本机关于 iptables 的设置情况# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (polic...
iptables命令详解和举例(完整版)
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 19万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUTOUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,m
/etc/sysconfig/iptables详解
杨小扬的专栏
03-15 1万+
一、iptables概念 Linux内核集成的IP信息包过滤系统,linux的包过滤功能,即linux防火墙,它由netfilteriptables两个组件组成。 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据...
linux系统下修改SSH端口及iptables设置方法
pdw2009的专栏
07-21 1万+
说明: 修改SSH的端口很大程度上能杜绝被黑客扫描,增加系统的安全系数,最近有客户修改完端口没有设置防火墙开启修改后的端口导致修改后链接不上VPS,下面教大家安全修改并在iptables里开启相应的端口: 实现: 1.修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用22端口,修改为: Port 22 Port 1234 /e
关于centos7下/etc/sysconfig/目录没有iptables问题
liu_shi_jun的专栏
10-22 700
在新买的centos7服务器中想打开防火墙,采用传统centos6的方式用service iptables restart/stop/status 之后报错: 而在/etc/sysconfig/目录下也没有iptables文件。 这是因为centos7与centos6的区别。 解决办法: 不管防火墙关没关,都是用systemctl stop firewalld 关闭防火墙。 然后使用yum ins...
liunx CMake Error at /usr/lib/x86_64-linux-gnu/cmake/pcl/PCLConfig.cmake:62 (message): PCL can not be found on this machines
最新发布
05-15
<think>好的,我现在需要解决用户在Linux系统上遇到的CMake找不到PCL库的问题。用户提到了引用中的错误信息,特别是PCLConfig.cmake文件报错,指出PCL无法在机器上找到。我需要结合用户提供的引用和之前的回答来整理解决方案。 首先,用户之前的问题是关于Windows系统的,现在转向Linux,所以需要调整步骤。用户提供的引用包括错误信息、CMakeLists配置、编译安装步骤以及符号链接的尝试。这些引用显示用户可能尝试过不同版本的PCL(如1.9、1.10、1.11.1),并且可能遇到依赖项如Eigen的问题。 我需要先确定在Linux下常见的导致PCL找不到的原因。通常,这可能包括PCL未正确安装、环境变量未设置、CMake路径配置错误,或者依赖项缺失。根据引用[3],用户尝试从源码编译安装PCL,但可能依赖项没有正确安装。引用[4]提到创建符号链接,可能路径不正确。 接下来,我应该分步骤解决。第一步是验证PCL是否安装正确。在Linux中,通常通过包管理器安装PCL可能更方便,但用户可能从源码安装,导致路径问题。需要检查PCL的安装路径,确认CMake能找到对应的.cmake文件。 第二步是设置正确的PCL_DIR环境变量,指向包含PCLConfig.cmake的目录。在引用[2]中,用户尝试设置PCL_DIR为Windows路径,但在Linux下路径应类似/usr/lib/cmake/pcl或/usr/local/share/pcl-1.x。 第三步是处理依赖项,如Eigen、VTK、Boost等。引用[3]提到PCLConfig找不到Eigen,说明编译安装时可能依赖项未正确安装或版本不兼容。需要确保所有依赖项已安装,并且版本符合PCL的要求。 另外,用户之前的问题中提到的VTK依赖在Linux下同样重要,需要确保VTK已安装。引用[4]中的符号链接可能试图修复头文件路径问题,但需要正确指向实际安装的路径。 最后,可能需要更新CMakeLists.txt,正确使用find_package,并包含必要的组件。同时,处理可能的路径权限问题,比如使用sudo安装或调整目录权限。 总结解决方案步骤: 1. 确认PCL正确安装,检查安装路径。 2. 设置PCL_DIR环境变量指向正确的CMake配置目录。 3. 安装缺失的依赖项,如Eigen、VTK、Boost等。 4. 在CMakeLists.txt中正确配置find_package和路径。 5. 处理可能的符号链接或路径错误。 6. 示例CMake配置和验证步骤。 需要确保步骤适用于Linux,与之前的Windows方案区分开,并引用用户提供的错误信息和尝试过的解决方法来针对性回答。</think>--- ### Linux系统下CMake无法找到PCL库的精准解决方案 --- #### 核心问题定位(基于引用[1][3][4]) 1. **PCL安装不完整**:源码编译安装时未正确配置依赖项(如Eigen、VTK)或安装路径错误[^3] 2. **环境变量缺失**:`PCL_DIR`未指向包含`PCLConfig.cmake`的目录[^1] 3. **符号链接错误**:手动创建的软链接未正确指向实际头文件路径[^4] --- ### 分步解决方案 #### 1. 验证PCL安装状态 ```bash # 检查标准安装路径 ls /usr/include/pcl-1.10 # Ubuntu官方包路径 ls /usr/local/include/pcl-1.12 # 源码默认安装路径 # 检查CMake配置文件位置 find /usr -name "PCLConfig.cmake" 2>/dev/null # 预期输出示例:/usr/lib/x86_64-linux-gnu/cmake/pcl/PCLConfig.cmake ``` #### 2. 修复环境变量配置(关键步骤) ```bash # 临时设置环境变量(针对当前终端) export PCL_DIR=/usr/lib/x86_64-linux-gnu/cmake/pcl # 根据实际路径调整 # 永久配置(添加到~/.bashrc) echo "export PCL_DIR=/usr/lib/x86_64-linux-gnu/cmake/pcl" >> ~/.bashrc source ~/.bashrc ``` #### 3. 安装缺失依赖(针对引用[3]) ```bash # 安装基础依赖 sudo apt-get install -y libpcl-dev libeigen3-dev libboost-all-dev libvtk7.1-qt # 修复头文件路径(针对手动编译安装的情况) sudo ln -s /usr/include/eigen3/Eigen /usr/include/Eigen # 解决Eigen路径问题 ``` #### 4. 修正CMakeLists配置(针对引用[2]) ```cmake cmake_minimum_required(VERSION 3.10) project(pcl_demo) # 显式指定组件(必须包含common模块) find_package(PCL 1.10 REQUIRED COMPONENTS common) # 现代CMake配置方式(避免使用link_directories) add_executable(${PROJECT_NAME} main.cpp) target_include_directories(${PROJECT_NAME} PRIVATE ${PCL_INCLUDE_DIRS}) target_link_libraries(${PROJECT_NAME} PRIVATE ${PCL_LIBRARIES}) target_compile_options(${PROJECT_NAME} PRIVATE ${PCL_DEFINITIONS}) ``` #### 5. 源码编译修复(针对引用[3]) ```bash # 推荐编译参数(Ubuntu 20.04+) cd pcl mkdir build && cd build cmake .. -DCMAKE_BUILD_TYPE=Release \ -DBUILD_GPU=OFF \ -DBUILD_apps=OFF \ -DPCL_ENABLE_SSE=OFF \ -DCMAKE_INSTALL_PREFIX=/usr/local make -j$(nproc) sudo make install ``` --- ### 完整验证流程 1. **创建测试程序** (`main.cpp`) ```cpp #include <pcl/point_types.h> #include <iostream> int main() { pcl::PointCloud<pcl::PointXYZ>::Ptr cloud(new pcl::PointCloud<pcl::PointXYZ>); std::cout << "PCL version: " << PCL_VERSION_PRETTY << std::endl; return 0; } ``` 2. **构建测试项目** ```bash mkdir build && cd build cmake .. make ./pcl_demo # 应输出PCL版本信息 ``` --- ### 高级问题排查 | 错误现象 | 解决方案 | |---------|----------| | `Could NOT find PCL (missing: common)` | 执行`sudo apt install libpcl-dev`[^1] | | `Eigen::Core not found` | 创建符号链接:`sudo ln -s /usr/include/eigen3/Eigen /usr/include/Eigen`[^3] | | `vtkRenderingOpenGL not found` | 安装VTK:`sudo apt install libvtk7-qt-dev` | --- ### 多版本共存管理 ```bash # 使用update-alternatives管理多个PCL版本 sudo update-alternatives --install /usr/lib/cmake/pcl pcl-config /usr/lib/cmake/pcl-1.10 100 sudo update-alternatives --install /usr/lib/cmake/pcl pcl-config /usr/lib/cmake/pcl-1.12 200 sudo update-alternatives --config pcl-config ``` --- ### 扩展方案:Docker环境隔离 ```Dockerfile # 使用官方PCL镜像 FROM ubuntu:20.04 RUN apt-get update && \ apt-get install -y libpcl-dev libeigen3-dev && \ rm -rf /var/lib/apt/lists/* ``` --- ### 引用文献说明 - 官方APT安装的PCL配置文件默认路径为`/usr/lib/x86_64-linux-gnu/cmake/pcl` - [^3] 源码编译时必须安装`libeigen3-dev`等依赖项 - [^4] 手动创建符号链接仅适用于特定安装场景 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值