20个Linux防火墙应用技巧

最新推荐文章于 2022-04-09 11:02:52 发布
最新推荐文章于 2022-04-09 11:02:52 发布
阅读量542 收藏 1
点赞数
分类专栏: llinux 文章标签: 防火墙

  1、显示防火墙的状态

  以root权限运行下面的命令:

# iptables -L -n -v

参数说明:

  ● -L:列出规则。
  ● -v:显示详细信息。此选项会显示接口名称、规则选项和TOS掩码,以及封包和字节计数。
  ● -n:以数字形式显示IP地址和端口,不使用DNS解析。

  如果希望输出的结果中显示行号,可以运行:

#iptables -L -n -v --line-numbers

这样,就可以按照行号在防火墙中添加、删除规则。

要显示输入或输出链规则,可以运行:

# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
2、停止、开启和重启防火墙

  如果你使用的是RHEL/Fedora/CentOS系统,可以运行:

# service iptables stop
# service iptables start
# service iptables restart

我们也可以使用iptables命令停止防火墙并删除所有规则: 
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT

参数说明:

  ● -F:删除所有的规则
  ● -X:删除链
  ● -t table_name:匹配表(称为nat或mangle)
  ● -P:设置默认策略(如DROP、REJECT或ACCEPT)

  3、删除防火墙规则

  以带行号的形式显示已有的防火墙规则,请运行:

# iptables -L INPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | less
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1

下面我们使用行号删除规则: 

# iptables -D INPUT 4

将IP地址202.54.1.1从规则中删除:

  参数说明:

  ● -D:从选择的链中删除一条或多条规则

 4、插入防火墙规则

  首先运行下面的命令:

# iptables -L INPUT -n --line-numbers
 

得到运行结果:

Chain INPUT (policy DROP)
num  target    prot opt source     destination
1   DROP      all  --  202.54.1.1  0.0.0.0/0
2   ACCEPT    all  --  0.0.0.0/0    0.0.0.0/0

在行1和行2之间插入规则: 
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP

查看更新后的规则,会发现插入成功,下面是示例:

Chain INPUT (policy DROP)
Num  target    prot opt source    destination
1     DROP    all  --  202.54.1.1  0.0.0.0/0
2     DROP    all  --  202.54.1.2  0.0.0.0/0
3     ACCEPT  all  --  0.0.0.0/0    0.0.0.0/0

5、保存防火墙规则

  在RHEL/Fedora/CentOS Linux下,可以使用下面的命令保存防火墙规则:

# service iptables save

在其它Linux发行版(如Ubuntu)上,可以使用iptables-save命令保存防火墙规则: 

# iptables-save > /root/my.active.firewall.rules
# cat /root/my.active.firewall.rules

6、重新加载防火墙规则

  我们可以使用iptables-restore命令重新加载使用iptables-save命令保存的防火墙规则:

# iptables-restore < /root/my.active.firewall.rules

我们还可以利用这种特性来快速部署防火墙规则。

7、设置默认防火墙策略

  我们首先来配置一个防火墙策略,它默认丢弃所有的网络数据包:

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
#连接失败,因为防火墙丢弃所有的网络数据包
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2


在此基础上,我们只关闭入站连接:

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n
#ping和wget可以正常工作
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2


8、在公网网络接口上停用私有网络地址

  我们可以从公网网络接口上删除私有IPv4网段,以防止IP欺骗。运行下面的命令,没有源路由地址的数据包会被丢弃:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

下面是私有网络IPv4地址范围,请确认在公网接口予以屏蔽: 

● 10.0.0.0/8 -j (A)
● 172.16.0.0/12 (B)
● 192.168.0.0/16 (C)
● 224.0.0.0/4 (多播 D)
● 240.0.0.0/5 (E)
● 127.0.0.0/8 (回环)

9、屏蔽IP地址访问

  如果我们想屏蔽一个IP地址,比如1.2.3.4,可以运行:

# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP

10、屏蔽入栈端口请求

如果我们想80端口上屏蔽所有的服务请求,可以运行:

# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

只想屏蔽IP地址1.2.3.4对80端口的请求,可以运行: 

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

11、屏蔽出栈IP地址

  现在我们来演示如何屏蔽对主机名和IP地址的出栈访问。

  首先,我们来获取一个域名的IP地址:

# host -t a cyberciti.biz

输出示例: 

cyberciti.biz has address 75.126.153.206

要屏蔽访问域名cyberciti.biz的网络数据包,可以运行:

# iptables -A OUTPUT -d 75.126.153.206 -j DROP

下面是使用子网掩码的示例: 

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

下面我们以屏蔽facebook.com为例,进行说明。首先,我们需要facebook的所有IP地址: 

# host -t a www.facebook.com

示例输出: 

www.facebook.com has address 69.171.228.40

找出IP地址69.171.228.40的CIDR: 

# whois 69.171.228.40 | grep CIDR

示例输出: 

CIDR:69.171.224.0/19

现在我们来阻止对facebook.com的访问: 

# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

我们也可以直接屏蔽域名: 

# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

12、记录并丢弃数据包

  在公网网络接口上记录并丢弃IP地址欺骗数据包:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

默认情况下日志记录在/var/log/messages文件中: 

# tail -f /var/log/messages
# grep --color 'IP SPOOF' /var/log/messages

我们还可以用-m参数对日志记录进行限制,以防止日志文件过度膨胀。 

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

13、根据MAC地址允许或阻止数据包的传入

  我们可以根据MAC地址允许或阻止数据包的传入:

# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

14、屏蔽ICMP ping请求

  我们可以通过允许下面的命令屏蔽ping请求:

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

也可以按照特定的网段和主机限制ping请求: 

# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

以下命令只接受受限制的ping请求: 

#假定默认INPUT策略为丢弃数据包
# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
#所有的服务器都对ping请求作出应答
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

15、开启端口序列

  下面的命令可以允许7000到7010范围内的TCP端口访问:

# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT

16、允许一系列IP地址访问

下面的命令可以允许IP地址范围

#运行IP地址范围192.168.1.100 到192.168.1.200 访问80端口
# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
#NAT示例
# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25


17、建立连接并重启防火墙

当重启iptables服务时,它会断开所有已建立的连接。这是因为在重启防火墙时,会卸载IPTABLES_MODULES_UNLOAD模块。

要解决这个问题,可以编辑/etc/sysconfig/iptables-config

IPTABLES_MODULES_UNLOAD = no


18、使用Crit日志级别 
# iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit


19、屏蔽或开启常见端口

屏蔽或开启常用的TCP、UDP端口:

    #可以使用DROP替换ACCEPT,实现端口屏蔽。  
    #打开22端口(SSH)  
    # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT  
    #打开TCP/UDP631端口(打印服务)  
    # iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT  
    # iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT  
    # 打开123端口,允许局域网用户进行NTP时间同步  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT  
    #打开25端口(SMTP)  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT  
    # 打开DNS端口  
    # iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT  
    #打开http/https端口  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT  
    #打开TCP110端口(POP3)  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT  
    #打开TCP143端口  
    # iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT  
    #为局域网用户开启Samba访问  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT  
    #为局域网用户开启代理服务器访问  
    # iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT  
    #为局域网用户开启MySQL访问  
    # iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

20、限制客户端IP的并发连接数

  我们可以使用connlimit模块限制客户端IP的并发连接数。下面的命令允许每个客户端只能并发3个ssh连接:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

设置HTTP并发连接为20个:

# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

参数说明:

  ● --connlimit-above 3:连接数超过3个自动匹配
  ● --connlimit-mask 24:子网掩码匹配

  更好的使用iptables

  首先,我们要学会查看man手册:


$ man iptables

我们还可以这样查看帮助:

# iptables -h

我们还可以查看特定命令的帮助: 

# iptables -j DROP -h

测试防火墙

  测试端口是否开放:

# netstat -tulpn

测试TCP 80端口是否开放: 

# netstat -tulpn | grep :80

如果80端口未开放,请确保启动Apache服务器:

# service httpd start

并确保打开iptables防火墙80端口: 

# iptables -L INPUT -v -n | grep 80

如果80端口没有开放,可以运行下面的命令: 

# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save

下面使用telnet命令测试是否可以连接到80端口: 

$ telnet www.cyberciti.biz 80


下面是示例输出: 

    Trying 75.126.153.206...  
    Connected to www.cyberciti.biz.  
    Escape character is '^]'.  
    ^]  
    telnet> quit  
    Connection closed.

最后,我们也推荐使用嗅探工具(如tcpdump、ngrep)对防火墙设置进行测试。

  以上只是一些基本的防火墙配置策略,如果你想构造更复杂的防火墙策略,需要对TCP/IP和Linux内核配置文件sysctl.conf进行更深入的学习。











vipmorgana
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux技巧总结
04-03
LInux各种技巧总结汇总,运维经验!防火墙,文本编辑,编译技巧,定时任务,系统日志等
ccr/active-scans-rfc/(复现过程)
qq_35324057的博客
12-20 242
massdns 来源:https://github.com/quirins/massdns 安装:首先cmake CMakeFiles.txt,然后再make 每个参数的解释: 命令 含义 -a 忽略响应数据包的授权部分中的记录 -c 放弃名称之前解析的次数 默认值:50 -e 在其他部分中包括响应记录 -i 在同一域的多个解析之间等待的时间间隔(以毫秒为单位)(预设值:200) -m 加载共享模块以处理数据包 -n 使用非递归查询。 对DNS缓存侦听很有用 -o 不
Linux防火墙应用珠玑
emerald0106的专栏
01-19 707
导言:随着互联网的飞速发展,毫无疑问,互联网上的安全,操作系统平台的安全也逐渐成为人们所关心的问题。而许多网络服务器、工作站所采用的平台为Linux/UNIX平台。Linux平台作为一个安全性、稳定性比较高的操作系统也被应用到了更多领域。本文带领大家探讨了Linux系统管理员应该掌握的20防火墙应用技巧。  广为人知的iptables命令行 Netfilter作为Linux
Linux防火墙应用(firewalld)
weixin_47152389的博客
07-30 506
目录一、firewalld概述二、firewalld和iptables的关系1、firewalld和iptables的区别三、firewalld网络区域1、区域介绍:2、firewalld数据处理流程四、防火墙配置方法五、firewall-config图形工具六、防火墙案例 一、firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙工具 支持IPv4,IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式: 运行时配置 永久配置 二、fire
Linux中使用防火墙(firewalld)
weixin_48692664的博客
12-21 653
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。也就是说Centos7是默认安装了firewalld。如果没有安装可以使用yum install firewalld firewalld-config 安装。 安装后可以使用以下命令执行: systemctl start firewalld 启动防火墙 systemctl enable firewalld设置开机启动 systemctl status firewalld
LINUX-iptables应用技巧
08-29
防火墙的在公司内的设置是非常实用的,所以分享给大家一个IPTALBES常用的技巧
入门学习Linux常用必会60个命令实例详解doc/txt
06-09
一个新安装的Linux系统允许用户使用“Alt+F1”到“Alt+F6”键来访问前六个虚拟控制台。虚拟控制台最有用的是,当一个程序出错造成系统死锁时,可以切换到其它虚拟控制台工作,关闭这个程序。 shutdown 1.作用 ...
服务器的防火墙.doc
06-08
另外,不同的操作系统使用的防火墙肯定也是相去甚远的,目前主流的操作系统当然就 是WINDOWS和Linux,下面我们按照两类操作系统对几款比较值得推荐的防火墙软件进行 介绍: 服务器单机防火墙 目前流行的WINDOWS单机...
(预览版1-10页)2023网络建设与运维/网络搭建与应用/网搭Linux部分题解方法-Part2
最新发布
07-13
2023网络建设与运维/网络搭建与应用/网搭Linux部分题解方法 原创"极简"与"效率"做题技巧,拒绝硬背死背命令 该链接为Part2!共23页 目录: 模块一:DNS服务 1-1."极简"做法:防火墙配置 2-1."极简"做法:部署...
网安技术与应用(3)——Linux防火墙iptables的使用
Netceor的博客
04-09 2930
目的:掌握Linux防火墙的原理和配置方法 内容:配置Linux下的一组防火墙规则,对内网、外网以及DMZ区交互的访问进行有效约束 一、查看IP并ping通 查看虚拟机的IP # sudo apt install net-tools ifconfig -a 如果说 ifconfig not found,就用第一行代码安装一下 net-tools 发现IP是192.168.85.128 查看window的IP ipconfig 互相ping 在Windows: ping 192.168.
Linux防火墙应用(iptables)
weixin_47152389的博客
08-05 212
目录一、防火墙基础1、iptables的表结构2、iptables的链结构3、数据包控制的匹配流程二、防火墙的规则编写1、基本语法和控制类型2、规则的匹配条件3、添加、查看、删除规则三、SNAT策略及应用四、DNAT策略及应用五、实验练习 一、防火墙基础 1、iptables的表结构 2、iptables的链结构 3、数据包控制的匹配流程 二、防火墙的规则编写 1、基本语法和控制类型 2、规则的匹配条件 3、添加、查看、删除规则 三、SNAT策略及应用 四、DNAT策略及应用 五、实验练习 ...
linux之iptables详解及配置(一)
weixin_34025151的博客
06-11 336
在Internet中,企业通过架设各种服务器系统为用户提供丰富多彩的网络应用,例如Web网站、电子邮件系统、FTP服务器、数据库系统等。那么如何来保护这些特定的服务,过滤企业不需要的访问甚至是恶意的***呢?使用防火墙正是强有力的防护措施之一。1、Linux防火墙基础作为隔离内外网、过滤非法数据的有力屏障,防火墙通常按实现环境的不同分为硬件防火墙和软件防火墙。硬件防火墙是功能...
linux防火墙应用
wmengbeyond的专栏
09-26 649
1. iptables是linux下的防火墙,同时也是服务名称,防火墙基本操作
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2259
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux防火墙firewall的使用
热门推荐
ck784101777的博客
07-10 2万+
使用软件:firewall 作用: 隔离 众多的策略,允许出站,严格控制入站 firewalld服务基础 • 系统服务:firewalld • 管理工具:firewall-cmd(命令)、firewall-config(图形化界面) 一、四个基本区域 根据所在的网络场所区分,预设保护规则集 – public:仅允许访问本机的ssh dhcp ping服务 – trusted:允许任...
linux防火墙应用,Linux防火墙的3个应用
weixin_33345697的博客
05-14 114
如同以下用 man 查询所见, 它用来过滤封包和做NAT Network Address Translation(网路位址转译), 这个指令的应用很多, 可以做到很多网路上的应用.iptables - administration tool for IPv4 packet filtering and NAT应用1:让区域网路内的电脑以一个真实IP来共享频宽(实作NAT)架构图:所需设备: 一台 L...
Linux防火墙的配置及应用说明(NAT & filter)
weixin_42260057的博客
07-05 3770
一、整体介绍       防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就...
Linux防火墙配置 应用防火墙规则:iptables-restore: line 1 failed
cailongbiaoyuli的博客
11-05 5795
配置防火墙,保存之后重启,出现错误:应用防火墙规则:iptables-restore: line 1 failed 说是在第一行有错误,好吧。。 直接解决: [root@cqakserver ~]# iptables -N RH-Firewall-1-INPUT [root@cqakserver ~]# service iptables save 重启: [root@cqaks...
Linux用户说明包括
05-21
Linux是一个自由开源的操作系统,广泛应用于服务器、嵌入式设备以及个人电脑等领域。Linux用户使用Linux操作系统进行工作和学习。以下是Linux用户需要了解的一些内容: 1. Linux发行版:Linux有许多不同的发行版,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值