操作iptables时应特别注意规则的顺序

最新推荐文章于 2024-02-20 17:04:35 发布
最新推荐文章于 2024-02-20 17:04:35 发布
阅读量8.1k 收藏 1
点赞数 1
分类专栏: Oracle 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangtongcn/article/details/63316538
版权

oracle在centos本机能够正常访问,关闭防火墙也能够远程访问,但是一旦开启防火墙则不能远程访问

尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,但是仍然不能远程访问

尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,保存返回,然后service iptables restart,仍然不能远程访问。

观察iptables的执行时规则:iptables -L -n,发现如下:


手动添加方形规则在reject-with icmp-host-prohibited,从规则上看,该reject是拒绝所有icmp

iptables执行规则时,是从从规则表中从上至下顺序执行的,如果没遇到匹配的规则,就一条一条往下执行,如果遇到匹配的规则后,那么就执行本规则,执行后根据本规则的动作(accept, reject, log等),决定下一步执行的情况。

那么1521的请求就很有可能被此规则匹配了。


重新编辑vi /etc/sysconfig/iptables,将自己的规则置于reject规则之前:


保存重启:service iptables restart

问题解决。

jiangtongcn
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shell脚本实现监控iptables规则是否被修改
09-15
主要介绍了Shell脚本实现监控iptables规则是否被修改,本文直接给出实现代码,需要的朋友可以参考下
linux增加iptables防火墙规则的示例
09-15
主要介绍了linux增加iptables防火墙规则的示例,大家在使用的时候要把规则后的中文注释去掉
详解网络知识:iptables规则
最新发布
华为云官方博客
02-20 985
本文主要为大家详解介绍iptables规则
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
操作系统安全:iptables工具.pptx
06-01
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;NATTable的操作;MangleTable的操作;RAWTable的操作;Netfilter的结构图
管理和设置iptables规则
INK
05-11 2015
管理和设置iptables规则 iptables的基本语法格式 Iptables[-t 表名] 命令选项 [链名] [目标条件] [-j 目标动作或跳转] 说明:表名,链名用于指定iptables命令所操作的表和链,命令选项用于指定 管理iptables规则的方式 (比如 插入 增加 删除 查看等)条件匹配用于指定对符合什么样的条件的数据进行处理 目标动作或跳转用于指定数据包的处理方式 (比如: 允许通过 拒绝 丢弃 跳转[jump] 给其他链进行处理) 常用命令: -A
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
iptables添加ACCEPT规则注意顺序需要REJECT规则之前
runnerchen1的专栏
03-04 6814
1. 查看 iptables --line -nvL INPUT 得到第一列的num序号 2. 允许100.xxx.xxx.10机器访问本机8888端口,此处num应该比REJECT规则序号小,否则ACCEPT生效 iptables -I INPUT num -s 100.xxx.xxx.10-p tcp --dport 8888-j ACCEPT ...
关于 iptables ACCEPT DROP REJECT 的相关说明
ideal-lingyun
01-02 548
关于 iptables ACCEPT DROP REJECT 的相关说明
iptables常用使用场景分析
dhRainer的博客
10-26 1319
iptables常用使用场景分析0x 01 前言0x 02 准备工作1.删除旧表和规则2.设置默认的chain策略默认ACCEPT默认DROP0x 03 场景分析场景一,屏蔽风险源IP场景三,DDoS攻击的防护场景四,按需管理iptables的日志场景五,过滤包中的字符0x 04 规则表的保存Ubuntu/Debian类RHEL/CentOS/fedora类0x 05 参考 0x 01 前言 ip...
iptables详解(14):iptables小结之常用套路
ss810540895的博客
10-21 137
如果报文已经被前面规则匹配到,IPTABLES则会对报文执行对应的动作,通常是ACCEPT或者REJECT,报文被放行或拒绝以后,即使后面的规则也能匹配到刚才放行或拒绝的报文,也没有机会再对报文执行相应的动作了(前面规则的动作为LOG时除外),所以,针对相同服务的规则,更严格的规则应该放在前面。如果将sshd的规则放在前面,当报文是访问web服务时,sshd的规则也要白白的验证一遍,由于访问web服务的频率更高,白白耗费的资源就更多。比如,你了两条规则,一条针对sshd服务,一条针对web服务。
Linux服务器防火墙Iptables命令使用详解
cn_yaojin
01-11 575
原文地址:https://blog.csdn.net/han156/article/details/78449253   iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用P...
iptables 实战】08 iptables 常用规则
程序员笔记
10-04 163
说明:iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时。说明:“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的,新的嘛!
iptables操作
dap769815768的博客
03-28 436
系统:Ubuntu 20.04 iptables生效的顺序:排在前面的会覆盖掉后面的。比如先增加一条REJECT规则,又增加了一个ACCEPT规则,如果这两个规则是对同一个条件设置的,那么后者会覆盖前者。 1.给filter表增加一条drop规则: # -t表示table,默认是filter表,因此这里可以省略掉-t这个参数 # -A表示Add,-j表示操作类型,-p表示协议,--dport表示目的端口 # 如果本地收到一个tcp数据包,数据包的访问端口是8081的话,那么直接丢弃掉 iptable
iptables学习
weixin_46428609的博客
08-26 416
3.8 Linux IPTABLES中默认是阻止所有端口访问的,如果要开放服务的网络访问,一般要开通相关IP或端口访问。1. iptables -t filter -A与iptables -t filter -I的区别。3.4 当在云主机上操作iptables注意不要因为修改iptables导致与云主机的连接断开。3.7 一般情况下,filter表中,一般只限制INPUT链中对一些来源IP或端口进行限制。-A会追加到当前表的最后,-I会添加到当前表的第一行。只能清除添加的规则,默认规则是不受影响的。
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1055
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
iptables规则匹配是有顺序
jesseszr的博客
10-17 612
因此,如果需要加新ip地址,则需要在加完ip后重新设置一下。假设要只允许1个ip访问,设置以下两条规则,如果顺序为。
iptables)火墙策略读取的先后顺序 + 引入数据包状态
ly_qiu的博客
06-30 695
实验环境 本实验使用了两台虚拟机,workstation(添加策略) + rhel8(进行访问测试) dnf install httpd -y进行安装后,打开服务 此时ssh可访问,apache也可以 测试步骤 1)设置apache可被访问,iptables不可以 iptables -A INPUT -p tcp --dport 80 -j ACCEPT 设置httpd可以 iptables -A -i lo -j ACCEPT 设置回环接口允许,即本地可访问 此时80接口是允许的,回环接口
iptables 配置出站规则需要注意的事项
07-14
在配置 iptables 的出站规则时,有几个注意事项需要考虑: 1. 了解网络需求:在设置出站规则之前,要明确了解你的网络需求。确定需要允许哪些出站连接,以及需要禁止哪些出站连接。 2. 默认策略:iptables 有三种默认策略,即 ACCEPT、DROP 和 REJECT。在设置出站规则之前,应该确定默认策略是允许还是拒绝出站连接。一般情况下,建议将默认策略设置为拒绝 (DROP),然后根据需要添加允许的规则。 3. 顺序规则iptables规则的处理是按照从上到下的顺序进行的。如果一个数据包匹配到一条规则,并且该规则的动作是 ACCEPT 或 DROP,那么后续的规则将不会再被应用。因此,在配置出站规则时,应该根据优先级和逻辑关系合理地安排规则顺序。 4. 具体端口和 IP:在设置出站规则时,要明确指定要允许或禁止的端口和 IP 地址。这样可以精确控制出站连接的目标。 5. 安全性考虑:在配置出站规则时,要考虑网络安全因素。只允许必要的出站连接,并限制访问范围,以减少潜在的风险。 6. 持久化保存规则:默认情况下,iptables 规则是临时生效的,重启系统后会失效。为了使规则永久生效,可以使用 iptables-persistent 工具将规则保存到文件中,并在系统启动时加载规则。 7. 测试与验证:在配置出站规则后,建议进行测试和验证,确保规则按预期生效,并且不会影响正常的网络通信。 总之,配置出站规则需要根据实际需求和安全考虑,合理设置规则顺序和动作,并进行测试与验证,以确保网络的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值