iptables

最新推荐文章于 2024-06-13 22:50:39 发布
最新推荐文章于 2024-06-13 22:50:39 发布
阅读量272 收藏
点赞数
分类专栏: linux基础学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Adhuyanchong/article/details/72818792
版权

##########################
#########iptables#########
##########################



1.iptables 实际上就是一种ip信息包过滤型防火墙。就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
iptables由两部分组成:
1>framework:netfilter hooks function钩子函数,实现网络过滤器的基本框架。
2>rule utils:iptables 规则管理工具
总体说来,iptables就是由“四表五链”组成。
四表:
    filter:过滤,防火墙
    nat :network address translation 网络地址转换
    mangle:拆解报文,作出修改,封装报文
    raw: 关闭nat表上启用的链接追踪机制

五链:
    PREROUTING 数据包进入路由之前
    INPUT 目的地址为本机
    FORWARD 实现转发
    OUTPUT 原地址为本机,向外发送
    POSTROUTING 发送到网卡之前

2.区分SNAT和DNAT
SNAT 和 DNAT 是 iptables 中使用 NAT 规则相关的的两个重要概念。如果内网主机访问外网而经过路由时,源 IP 会发生改变,这种变更行为就是 SNAT;反之,当外网的数据经过路由发往内网主机时,数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP,这种变更行为就是 DNAT 。

与 SNAT 和 DNAT所对应的两个链分别是  POSTROUTING和PREROUTING  。


3.iptables参数
    -t          ##指定表名称
    -n         ##不再解析
    -L         ##列出指定表中的策略
    -A         ##增加策略
    -p         ##网络协议
    -P         ##修改默认策略
    --dport   ##端口
    -s         ##数据来源
    -j          ##动作
     -R        ##修改策略
    -N         ##增加链
    -E         ##修改链名称
    -X         ##删除链
    -D         ##删除指定策略
    -I          ##插入

 ACCEPT   ##允许

  REJECT   ##拒绝

   DROP     ##丢弃

[root@localhost ~]# systemctl status firewalld.service
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# systemctl disable firewalld.service
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]# systemctl enable iptables.service


iptables -t filter -nL           ##查看filter表中的策略
iptables -F                      ##刷掉filter表中的所有策略,当没有用-t指定表名称时默认是filter

service iptables save        ##保存当前策略


iptables -t filter -nL            ##查看filter表中的策略
iptables -F                        ##刷掉filter表中的所有策略,当没有用-t指定表名称时默认是filter
service iptables save         ##保存当前策略
iptables -A INPUT -i lo -j ACCEPT                         ##允许lo
iptables -A INPUT -p tcp --dport 22 -j ACCEPT        ##允许访问22端口
iptables -A INPUT -s 172.25.254.60 -j ACCEPT       ##允许60主机访问本机所有端口
iptables -A INPUT -j ACCEPT                                ##拒绝所有主机的数据来源


测试:60主机


iptables -N redhat                         ##增加链redhat
iptables -E redhat westos              ##改变链名称
iptables -X westos                         ##删除westos链


iptables -D INPUT                                             ##删除INPUT链中的第二条策略
iptables -I INPUT -p tcp --dport 80 -j REJECT      ##插入策略到INPUT中的第一条


iptables -R INPUT 1 -p tcp --dport 80 -j ACCEPT   ##修改第一条策略
iptable -P INPUT DROP                                      ##把INPUT表中的默认策略改为drop



iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    ##策略状态为RELATED ESTABLISHED 的策略不再读取,直接通过
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT                           ##添加策略的状态为NEW
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -j REJECT
iptables -t filter -nL




[root@localhost ~]# vim /etc/sysctl.conf            ##内核路由功能开启 参数保存/proc/sys/net/ipv4/下
[root@localhost ~]# sysctl -p                           ##生效
net.ipv4.ip_forward = 1
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.100   ##从eth1出来的数据包做源地址伪装,伪装成172.25.254.100
[root@localhost ~]# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-dest 172.25.0.11               ##从eth1进来的数据包做目的地址转换,转换成172.25.0.11
[root@localhost ~]# iptables -t nat -nL


测试:server端ping254网段和0网段均可ping通

Adhuyanchong
关注
专栏目录
IPTABLES
weixin_42171644的博客
01-26 3144
IPTABLES题目IspSrvRouterSrv 题目 服务器 IspSrv 工作任务 IPTABLES 修改 INPUT 和 FORWARD 链默认规则为 DROP,添加必要的放行规则,在确保安全的前提下,最小限度放行流量通信; 放行 ICMP 流量。 服务器 RouterSrv 上的工作任务 IPTABLES 添加必要的网络地址转换规则,使内部客户端能够访问外部网络; 添加必要的网络地址转换规则,使内部 DNS、MAIL、WEB、FTP 能对外提供服务; 修改 INPUT 和 FORWARD 链默
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables防火墙规则
XMYX-0
12-29 1662
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
iptables教程
最新发布
06-13 2175
如果一个数据包没有匹配到一个链中的任何一个规则,那么将对该数据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的数据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的数据包,或访问我们的服务监听的端口的数据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
iptables防火墙
zheshijiuyue的博客
06-07 1556
在Linux中关于iptables表,链结构;数据包匹配基本流程;编写iptables规则
iptables详解
魏志标的博客
06-26 7292
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
iptables 讲解
凤凰涅槃而生
05-22 4374
在 Linux 网络领域,iptables 是一个强大的工具,用于管理和控制网络流量。它充当防火墙,使系统管理员能够根据定义的规则过滤和操作数据包。本文旨在全面介绍 iptables 及其在 Linux 环境中的使用iptables 是一个用于配置 Linux 内核中 IPv4 数据包过滤器和网络地址转换 (NAT) 的工具。它允许系统管理员根据特定的规则集控制进出系统的网络流量。iptables 提供了一种灵活而强大的方式来保护网络安全、实现网络地址转换、限制流量等。
Iptables
bjgaocp的博客
03-21 7910
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
iptables配置文件
08-21 9803
直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态 还要使用 se
Iptables 基本设置指南
leechm的博客
08-16 3429
目录 Basic Commands 基本命令 Allowing Established Sessions 允许已建立的连接接收数据 Allowing Incoming Traffic on Specific Ports 开放指定的端口 Blocking Traffic 阻断通信 Editing iptables 编辑iptables Logging 记录 Saving iptables 保存设置 Configuration on startup 开机自动加载配置 Tips 技巧 Basi
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
iptables-restore命令 还原iptables表的配置
01-20
iptables-restore命令用来还原iptables-save命令所备份的iptables配置。 语法格式:iptables-restore [参数] 常用参数: -c 指定在还原iptables表时候,还原当前的数据包计数器和字节计数器的值 -t 指定要还原...
iptables配置(/etc/sysconfig/iptables)操作方法
01-20
iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT #保存 sudo /etc/rc.d/init.d/iptables save 或 sudo service ...
网络桥接和ipv6的配置
Adhuyanchong的博客
05-23 6290
########################## ############网桥########## ########################## 1.永久配置方式 [root@foundation60 ~]# vim /etc/sysconfig/network-scripts/ifcfg-enp2s0 DEVICE=enp0s25             ##设备名称
postfix电子邮件传输
Adhuyanchong的博客
05-24 3827
###################### ##### postfix ########## ###################### 实验准备: 两台虚拟机,ip分别为172.25.254.100和172.25.254.200 配置好yum源。 配置dns服务端 [root@westos-mail ~]# yum install bind -y [root@westos-m
bond,team链路聚合
Adhuyanchong的博客
05-18 2181
#####bond链路聚合##### 一、链路聚合:以太网链路聚合简称链路聚合,它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。     链路聚合的功能:     1、增加了带宽---将多个链路的容量组合到一个逻辑链路中。     2、自动故障转移/故障恢复---将
pxe部署系统安装
Adhuyanchong的博客
06-10 1525
###################### ########pxe########## ######################   什么是PXE严格来说,PXE 并不是一种安装方式,而是一种引导的方式。进行 PXE 安装的必要条件是要安装的计算机中包含一个 PXE 支持的网卡(NIC),即网卡中必须要有 PXE Client。PXE(Pre-boot Execution Enviro
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值