【奇技淫巧】Linux | 安全保障防火墙-iptables

最新推荐文章于 2024-07-24 18:29:34 发布
最新推荐文章于 2024-07-24 18:29:34 发布
阅读量136 收藏 2
点赞数
文章标签: 网络 linux java python docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DynmicResource/article/details/120824274
版权

虽然说Linux在安全方面确实相当于windows要更加可靠一些,但一般使用其作为服务器的我们,也不能大意,也是需要严格限制网络传输过程中的出入规则。上篇文章我们有聊到统计网络的信息,这篇文章来学习一下比较著名的防火墙iptables,它已经有十几年的历史了,算是不折不扣的Linux系统的功臣。

一、命令介绍

iptables 命令可以制定一些规则,规定其它电脑可以使用哪些端口来连接你的电脑(对应入),以及你的电脑可以连接哪些端口(对应出),如果粒度更细,甚至也可以通过 IP 地址来进行过滤。

Linux-Firewall-rules.jpg

比较常见的操作有,拦截Mysql的出入网络,那么可以用 iptables 封锁 3306 端口等。一般来说系统都会默认安装iptables,如果没有安装,安装下面的指令完成安装。 ```

in Centos

$sudo yum install iptables

in Ubuntu/Debian

$sudo apt install iptables ``` 在接下来的实际操作时,需要注意的是,使用这个命令,需要使用到root权限。

二、操作实例

iptables -L 显示所有的防火墙规则。 $iptables -L

图片.png 图上可以清晰的看到,对于我的服务器,明显防火墙规则分了好几个区域,包括: - Chain INPUT : 对应控制“进入”的网络传输的规则 - Chain FORWARD : 对应控制“转发”的网络传输的规则 - Chain OUTPUT : 对应控制“出去”的网络传输的规则 - Chain DOCKER : 对应控制Docker的网络传输的规则,包括其它以Docker开头的块区域,都是Docker具体细分的规则,比如用户,隔离等等。
这个命令让我们认识到了目前的防火墙过滤的规则,那么我们CRUD这些规则呢?

清除所有的规则 $iptables -F $iptables -X $iptables -Z 屏蔽IP ```

屏蔽单个 IP

$iptables -I INPUT -s 121.45.6.7 -j DROP

封整个段

$iptables -I INPUT -s 121.0.0.0/8 -j DROP **删除指定规则**

将所有 iptables 以序号标记显示

$iptables -L -n --line-numbers

执行删除 INPUT 里序号为 10 的规则

$iptables -D INPUT 10 ``` 其功能很强大,可以阅读官方语法深入操作。

三、扩展

在使用过程中,iptables 的配置和使用规则相当繁复,普通用户学习成本上是相当的高。另外一个命令可以帮助到我们,那就是UFW(Uncomplicated Firewall),顾名思义,就是简单的防火墙。很多Linux的发行版本并不支持,可以去官方UFW去学习使用。 进一步说,如果你的系统支持图形界面,建议使用GUFWiptables已经有这么多年的历史了,从 Linux 3.13 开始,官方实际上已经推出了新的命令nftables以取代前者,这个新命令是新的防火墙子系统 / 包过滤引擎,提供了一个更简单的 Kernel ABI (Application Binary Interface),减少重复代码,改进错误报告,更有效支持过滤规则。

青Cheng序员石头
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python-收集到的一些src挖掘奇技淫巧
08-10
这个压缩包文件"Python-收集到的一些src挖掘奇技淫巧"可能是包含了一系列用于Python源代码安全检查和分析的技巧和工具。下面我们将深入探讨一些相关的知识点。 1. **源代码分析**:这是对软件项目源代码进行的详细...
git-tips:Git的奇技淫巧
02-04
Git-SSH是Git的一种安全连接方式,它使用SSH密钥对进行身份验证,确保只有授权的用户才能访问仓库。设置Git-SSH涉及到生成公钥和私钥,然后将公钥添加到你的GitHub或其他Git托管服务的SSH设置中。 接下来,我们来看...
linuxiptables防火墙
weixin_59629968的博客
09-15 428
防火墙位于内部网络与外部网络之间网络安全系统,按照给定规则,允许网路报文通过,实现需求。
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4531
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables
qq_44674166的博客
09-19 65
1、拒绝所有主机ping当前的主机? 在当前主机centos8上执行[root@centos8 ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP 2、本机能够访问别的机器的HTTP服务,但是别的机器无法访问本机? 在本机上执行[root@centos8 ~]# iptables -A INPUT -p tcp --dport 80 -j REJECT 3、当我们发现有 ip 恶意攻击我们得时候,我们可以通过对防火墙设定规则来进行控制。所以我们可以 添加c
iptables INPUT设置
热门推荐
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
Linux系统下使用iftop结合iptables服务解决带宽被恶意请求的问题
qq_34185638的博客
04-07 945
Linux系统下使用iftop结合iptables服务解决带宽被恶意请求的问题
Go-Git的奇技淫巧
08-14
在这个“Go-Git的奇技淫巧”中,我们将探讨一些高级和实用的Git技巧,以及如何使用Go来进一步操作Git。 1. **分支管理**:Git的分支机制允许开发者在同一项目上并行工作。`git branch`命令用于创建、查看和切换分支...
RocketMQ 奇技淫巧之 ServiceLoader 源码解读 - GitChat
05-13
RocketMQ 奇技淫巧之 ServiceLoader 源码解读 抓下来打包成了HTML文件, 方便离线观看
渗透中关于dns的奇技淫巧.pdf
12-10
总的来说,理解DNS的工作原理及其潜在的安全风险对于保障网络安全至关重要。安全从业人员应该关注DNS配置的加固,防止DNS域传送漏洞、DNS放大攻击,并学会利用DNS作为漏洞检测的工具。同时,对于使用CDN的网站,安全...
Linux 防火墙iptables 的基本使用
程序员大佬超的博客
05-18 3919
防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。 在比较新的系统中,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。 iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewa.
Linux内核中的奇技淫巧
lxb122435677的博客
12-26 582
Linux内核的奇技淫巧 长度为0的数组 do{…}while(0); 内联函数 内联汇编 未完待续
Linux 奇技淫巧
weixin_30645617的博客
11-22 302
为了整理这些命令,花了我一个晚上的时间,但是不弄明白,我就是不爽啊。 1.cmatrix 命令 黑客帝国,就是酷炫,先按F11全屏效果更佳 安装:luffy@ubuntu:~$ sudo apt-get install cmatrix 运行:luffy@ubuntu:~$ cmatrix (普通运行)  luffy@ubuntu:~$ cmatrix -b(带闪光效果) 2.sl 命令 怒看屏...
MarkTool之TCP服务端
Qt学视觉
07-24 211
MarkTool之TCP服务端
【ROS2】演示:为有损网络使用服务质量设置
cxyhjl的博客
07-22 793
目录背景先决条件运行演示命令行选项添加网络流量背景请阅读有关 QoS 设置的文档页面,以获取有关 ROS 2 中可用支持的背景信息。在这个演示中,我们将生成一个发布相机图像的节点和另一个订阅图像并在屏幕上显示图像的节点。然后,我们将模拟它们之间的丢包网络连接,并展示不同的服务质量设置如何处理不良链接。先决条件本教程假设您已安装并运行 ROS 2 和 OpenCV。有关安装说明,请...
网络编程套接字socket
安权_code的博客
07-23 899
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
DNS域名管理系统、搭建DNS服务
十四的博客
07-23 884
DNS概述。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1080
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络安全性。
通信原理-思科实验五:家庭终端以太网接入Internet实验
最新发布
sinat_39522506的博客
07-24 256
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值