【防火墙】iptables定义、iptables规则修改、常用端口号

已于 2022-04-26 23:54:41 修改
阅读量1.7k 收藏 7
点赞数 1
分类专栏: 初阶知识 文章标签: linux
于 2022-04-26 23:53:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H875035681/article/details/124438508
版权

文章目录

前言

本博客内容仅为记录博主思路,仅供参考,一切以自己实践结果为准。

一、概述

防火墙,主要作用是对数据包的过滤,由内核态与用户态组成。
内核态:属于内核的一部分,由数据包过滤表组成,是控制防火墙的内核程序
用户态:用户能操作的程序,通过编写四表五链的规则传递给内核态,依次实现自定义过滤功能

二、iptables(Centos5/6防火墙)

2.1 内核态

2.1.1 规则匹配顺序

  • 主机型防火墙
  • 入站数据:PREROUTING --> INGPUT --> 应用程序
  • 出站数据:应用程序 --> OUTPUT --> POSTROUTING
  • 网络型防火墙
  • 转发数据:PREROUTING --> FORWARD --> POSTROUTING
  • 示意图(待更新)

2.2 用户态

2.2.1 五链

链名作用范围
INPUT入站数据包
OUTPUT出站数据包
FORWARD转发数据包
PREROUTING路由前目的IP地址转换
POSTROUTING路由后源IP地址转换

2.2.2 四表

表名作用包含链
raw对数据状态进行跟踪OUTPUT ; PREROUTING
mangle修改数据包内容INPUT ; OUTPUT ; FORWARD ; PREROUTING ; POSTROUTING
nat对IP地址进行转换OUTPUT ; PREROUTING ; POSTROUTING
filter对数据内容进行过滤INPUT ; OUTPUT ; FORWARD

三、命令

3.1 修改链规则(语法)

  • iptables -t 表名 选项 链名 匹配 [-j 控制类型]

3.1.1 选项

选项含义
-A指定连的下方追加规则
-I指定链的上方插入规则
-R修改、替换指定链中的某一条规则
-P设置指定链的默认规则
-D删除指定连,可指定规则号或者具体内容
-F清空指定链中的所有规则
-L列出指定链中的所有规则,一般与-n搭配
-n使用数字形式显示结果,例如IP地址
-v显示链的详细信息
–line-numbers查看规则时显示序号

3.1.2 匹配

  • 条件匹配
条件匹配作用
-p指定协议
-s指定源IP地址
-d指定目标IP地址
-i指定入站网卡
-o指定出站网卡
! 条件条件取反
–sport指定源端口
–dport指定目的端口
  • 类型匹配
协议类型可限制类型
–icmp-type8(请求) | 0(回显) | 3(不可达)
–tcp-flagsSYN | FIN | RST | PSH | URG
  • 状态匹配:-m --state --状态
状态含义
NEW第一个建立链接的包
ESTABLISHED已连接状态的包
RELATED已建立链接的状态下发起新的链接
INVALID无效封包

3.1.3 控制类型

类型作用
ACCEPT允许数据通过
DRPO直接丢弃数据包,不予回应
REJECT拒绝数据包通过,给予回应
SANT修改源IP地址
DNAT修改目的IP地址
MASQUERADE伪装公网IP地址
LOG记录日志信息

3.2 修改链规则(示例)(待更新)

四、端口

4.1 端口范围

范围含义
1000匹配端口为1000的数据包
1000:3000匹配端口在1000-3000区间的数据包
1000:匹配端口在1000及以上的数据包
:3000匹配端口在3000及以下的数据包

4.2 常用端口

4.2.1 硬件端口

  • 路由器端口
  • 交换机端口

4.2.2 协议端口

端口号端口协议作用
21FTP上传下载文件
22SSH远程连接
23Telent远程登录
25SMTP发送邮件
80HTTP网页浏览
443HTTPS加密的网页浏览
1024Reserved动态端口的开始,为程序分配闲置端口
1080SOCKS允许内部数据通过防火墙访问外部
2049NFSNFS服务
4000QQ客户端腾讯QQ端口
8080代理端口WWW代理开放端口

五、思维导图

在这里插入图片描述

六、结语

  • 常见的端口号需要记住。
雪碧不要气
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Linux防火墙iptables(下)
欲买桂花同载酒
05-20 978
延申iptables规则设置的匹配方式,以及如何备份,还原iptables设置,还有修改iptables的初始化设置
Linux安全防火墙iptables)配置策略
qq_51545656的博客
11-11 5437
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义中,根据需求进行配置。如果想要删除自定义,确保满足以下条件:自定义没有被任何默认引用,即自定义的引用计数为0。自定义中没有任何规则,即自定义为空。可以使用-x示例自定义使用自定义添加:iptables -N custom(名) 创建定义改名iptables -E custom(原来名称) ky29(新名称) 自定义改名
每天学习一个Linux命令之iptables
最新发布
俞兆鹏的博客
04-19 904
iptablesLinux系统中用于配置和管理内核网络过滤规则的工具。通过iptables,我们可以定义不同类型的规则来过滤网络数据包,实现网络流量的控制和安全。-A:添加一个规则规则。-D:从规则中删除一个规则。-I:在规则中插入一个规则。-R:替换规则中的一个规则。-L:列出规则中的所有规则。-F:清空规则中的所有规则。-P:设置规则的默认策略。-N:创建一个新的用户自定义规则。-E:重命名一个用户自定义规则。-X:删除一个用户自定义规则。-Z。
linux防火墙iptables
x74188的博客
08-20 1764
ptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。五表的优先级(高->低):security -->raw-->mangle-->nat-->filter。不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更高。RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系。转发:PREROUTING --> FORWARD --> POSTROUTING。
iptables命令详解
ZBraveHeart的博客
03-22 3357
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
防火墙 iptables的使用
X2683933654的博客
11-29 383
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙
linux防火墙开启某个端口号防火墙常用命令使用(详解)
01-10
开启:chkconfigiptables on 关闭:chkconfigiptables off 2、即时生效,重启后复原 重启防火墙 方式一:/etc/init.d/iptables restart 方式二:service iptables restart 关闭防火墙: 方式一:/etc/init.d/...
配置iptables,把80端口转到8080的简单方法
01-10
Linux的下面部署了tomcat,为了安全我们使用非root用户进行启动,但是在域名绑定时无法直接访问80端口号。众所周知,在unix下,非root用户不能监听1024以上的端口号,这个tomcat服务器就没办法绑定在80端口下。...
iptables基本命令规则简介
11-21
iptables 是基于内核的防火墙,功能非常强大,iptables 内置了 filter,nat 和 mangle 三张表。filter 负责过滤数据包,包括的规则有,input,output 和 forward;nat 则涉及到网络地址转换,包括的规则有,...
linux服务中开启防火墙的两种方式
01-11
iptables:未运行防火墙。 开启防火墙: [root@centos6 ~]# service iptables start 关闭防火墙: [root@centos6 ~]# service iptables stop 二、iptables方式 先进入init.d目录,命令如下: [root@centos6 ~]# cd /...
CentOS6.5与CentOS7 ssh修改默认端口号的方法
01-09
本文实例讲述了CentOS6.5与CentOS7 ssh修改默认端口号的方法。分享给大家供大家参考,具体如下: CentOS6.5ssh修改默认端口号 先查看下服务器端口号范围: # sysctl -a|grep ip_local_port_range ...
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4502
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables基础用法及规则
公众号Technology_stack作者,IT咨询请公众号私信
04-29 269
iptables命令的管理控制选项 iptables [-t 表名] 命令选项 [名] [条件匹配] [-j 目标动作或跳转] 说明:表名、名用于指定iptables命令所操作的表和, 命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样条件的数据包进行处理; 目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它处理。 -A 在指定的末尾添加(append)一条新的规则 -D 删除(delete)指
iptables防火墙端口规则配置
qq_42158153的博客
07-11 3536
iptables防火墙端口规则配置:(1).阻止用户访问服务器的22端口: 清除原有的防火墙规则 iptables -F iptables -t filter -A INPUT -p tcp --dport 22 -j DROP ---- -A表示添加规则到相应,默认加到结尾 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP ---- -I 表示插入规则到相应上,默认加到首部 iptables -t filter -I INPU...
iptables 2: 规则的查看、添加、删除、修改
weixin_42639771的博客
04-17 2万+
参考 http://www.zsythink.net/archives/1517 single-content 上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。 之前,我们把查看iptables规则的操作比作"增删改查"当中的"查",那么在这篇文章中,我们就聊聊怎样对iptables进行"增、删、改"操作。   注意:在参照本...
iptables 基本命令以及使用
weixin_54104864的博客
05-22 1559
iptables -Z:清空规则中的数据包计数器和字节计数器。- iptables -L:列出规则中已设定的规则。- iptables -F:清空规则中已设定的规则。- iptables -P:定义规则中默认的策略。- iptables -A:向规则中添加规则。- iptables -D:从规则中删除规则。- iptables -I:向规则中插入规则。- iptables -R:替换规则中的规则。- iptables -N:创建新的空规则。- iptables -X:删除空规则
Linux防火墙应用实践
悦分享
08-11 633
上面的命令每秒钟最多允许100个新连接。使用SNAT共享上网,服务器作为软路由,内部所有的192.168.0.0/24网端内的主机连接外网时,防火墙自动将所有源地址修改为公网IP,最后互联网将信息返回给路由后,由路由再转交给真正的后端主机。这里的--limit-burst=10相当于说最开始有10个可以匹配的包去转发,然后匹配的包的个数是根据--limit=50/s进行限制的,也就是每秒限制转发50个数据包,多余的会被下面符合要求的DROP规则去处理,进行丢弃,这样就实现了对数据包的限速问题。
docker宝塔面板修改端口号方法
yjdzjs的专栏
03-03 750
1.进入容器 docker exec -it baota /bin/bash 2直接修改端口号默认8888 echo '8888' > /www/server/panel/data/port.pl && /etc/init.d/bt restart iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT service iptables save service iptables
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
OpenEulerlinux防火墙iptables配置
01-18
以下是OpenEuler Linux防火墙iptables配置的方法: 1. 查看iptables状态: ```shell sudo iptables -L ``` 2. 清空iptables规则: ```shell sudo iptables -F ``` 3. 设置默认策略: ```shell sudo iptables -P INPUT DROP sudo iptables -P OUTPUT ACCEPT sudo iptables -P FORWARD DROP ``` 4. 允许特定端口通过防火墙: ```shell sudo iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT ``` 其中,`<端口号>`是你想要允许通过的端口号。 5. 允许特定IP地址通过防火墙: ```shell sudo iptables -A INPUT -s <IP地址> -j ACCEPT ``` 其中,`<IP地址>`是你想要允许通过的IP地址。 6. 允许特定子网通过防火墙: ```shell sudo iptables -A INPUT -s <子网地址> -j ACCEPT ``` 其中,`<子网地址>`是你想要允许通过的子网地址。 7. 保存iptables规则: ```shell sudo service iptables save ``` 请注意,以上命令需要使用root权限执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雪碧不要气

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值