iptables

最新推荐文章于 2023-01-08 14:12:24 发布
最新推荐文章于 2023-01-08 14:12:24 发布
阅读量366 收藏
点赞数 1
分类专栏: 监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HYJW01/article/details/117788209
版权

防火墙
  Firewalld---软件(简单)
  iptables----应用软件
  netfilter----内核
1、IPtables
 

 四个表
filter (过滤)
nat(地址转换)
mangle(包标记表)
raw(状态跟综表)
   5链分别是
INPUT链、(入站规则)
OUTPUT链、出站规则)
FORWARD链、转发规则)
PREROUTING链、(路由前规则)
POSTROUTING链(路由后规则)


     关闭Firewall ,开启IPtables
[root@proxy ~]# systemctl stop firewalld
[root@proxy ~]# systemctl disable firewalld.service
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
      语法格式
 iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]
iptables -t filter -I INPUT -p icmp -j DROP  拒绝ping通
 iptables -F                                                   清空规则(过滤表)
注意事项与规律:
#可以不指定表,默认为filter表
#可以不指定链,默认为对应表的所有链
#按顺序匹配,匹配即停止,如果没有找到匹配条件,则执行防火墙默认规则
#选项/链名/目标操作用大写字母,其余都小写

[root@proxy ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT  加在最后一条
[root@proxy ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
[root@proxy ~]# iptables -I INPUT -p udp -j ACCEPT 加在第一条
[root@proxy ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
[root@proxy ~]# iptables -I INPUT 2 -p icmp -j ACCEPT   指定行号(默认第一条
[root@proxy ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0

[root@proxy ~]# iptables -L INPUT --line-number   显示行号
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     udp  --  anywhere             anywhere
2    ACCEPT     icmp --  anywhere             anywhere
3    ACCEPT     tcp  --  anywhere             anywhere
[root@proxy ~]# iptables -D INPUT 3
[root@proxy ~]# iptables -nL INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
[root@proxy ~]# iptables -F   仅清空过滤表中规则
[root@proxy ~]# iptables -t nat -F
[root@proxy ~]# iptables -t mangle -F
[root@proxy ~]# iptables -t raw -F
设置防火墙默认规则  匹配及停止

[root@proxy ~]# iptables  -t  filter  -P  INPUT  DROP     #设置INPUT链默认规则为DROP                 远程管理会断开,回到虚拟机修改规则
 iptables  -t  filter  -P  INPUT  ACCEPT     #设置INPUT链默认规则为ACCEPT

2、filter过滤和转发控制


主机型防火墙案例
1、 iptables -I INPUT -p tcp --dport 80 -j REJECT  拒绝访问网页
[root@proxy ~]# iptables -F
测试
[root@web1 ~]# curl 192.168.4.5
curl: (7) Failed connect to 192.168.4.5:80; 拒绝连接
清空规则在访问
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>
2、 iptables -I INPUT -s 192.168.4.100 -j REJECT    源IP拒绝连接
[root@web1 ~]# ping 192.168.4.5
PING 192.168.4.5 (192.168.4.5) 56(84) bytes of data.
From 192.168.4.5 icmp_seq=1 Destination Port Unreachable
3、 iptables -I INPUT -d 192.168.2.5 -p tcp --dport 80 -j REJECT 目标地址限制
[root@web1 ~]# curl 192.168.2.5
curl: (7) Failed connect to 192.168.2.5:80; 拒绝连接
[root@web1 ~]# curl 192.168.4.5
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>
4、iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT 网卡限制
[root@web1 ~]# curl 192.168.4.5
curl: (7) Failed connect to 192.168.2.5:80; 拒绝连接
[root@web1 ~]# curl 192.168.2.5
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>
网络型防火墙
proxy确认是否打开路由
cat /proc/sys/net/ipv4/ip_forward
0
[root@proxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward!!!
[root@proxy ~]# cat /proc/sys/net/ipv4/ip_forward  #1为开启
1
4网段2网段相互ping通 

 iptables -I FORWARD -s 192.168.4.10 -p tcp --dport 80 -j REJECT  拒绝原地址为4.10访问
[root@client ~]# curl 192.168.4.5
curl: (7) Failed connect to 192.168.4.5:80; Connection refused

禁止ping
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -p icmp -j DROP
[root@proxy ~]#ping 192.168.2.100
PING 192.168.2.100 (192.168.2.100) 56(84) bytes of data.
[root@client ~]# ping 129.168.4.5
PING 129.168.4.5 (129.168.4.5) 56(84) bytes of data. 结果相互ping不同
2)禁止其他主机ping本机,允许本机ping其他主机
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables  -A  INPUT  -p icmp  \
 --icmp-type echo-request  -j  DROP
[root@proxy ~]# ping 192.168.2.100
PING 192.168.2.100 (192.168.2.100) 56(84) bytes of data.
64 bytes from 192.168.2.100: icmp_seq=1 ttl=64 time=0.256 ms
[root@client ~]# ping 129.168.4.5
PING 129.168.4.5 (129.168.4.5) 56(84) bytes of data.
From 192.168.4.5 icmp_seq=1 Destination Net Unreachable

防火墙扩展规则
用法:iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
1、根据MAC地址封锁主机
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m mac --mac-source  00:0c:29:4e:87:72 -j DROP
[root@client ~]# ssh 192.168.4.5  远程失败
^C
2、在一条规则中开放多个TCP服务
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -I INPUT -p tcp -m multiport --dports 22,25,80,110,200:300 -j ACCEPT
[root@proxy ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22,25,80,110,200:300

3、根据IP范围设置封锁规则
[root@proxy ~]# iptables -F
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.4.10 -j DROP
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j ACCEPT
[root@proxy ~]# ssh 192.168.4.5
The authenticity of host '192.168.4.5 (192.168.4.5)' can't be established.
ECDSA key fingerprint is SHA256:pxR58chfsqvcUOq2C3Y+Gassi/s5eGpY6HSLS1OeQ5U.
ECDSA key fingerprint is MD5:ba:57:42:1e:ab:19:47:60:ae:4c:a4:e1:bb:b5:dc:be.
Are you sure you want to continue connecting (yes/no)? yes
[root@client ~]# ssh 192.168.4.5  远程失败
^C
配置SNAT实现共享上网
搭建内外网案例环境
配置SNAT策略实现共享上网访问


iptables -F
[root@proxy ~]# iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -j SNAT --to-source 192.168.2.5
地址伪装
[root@proxy ~]# iptables  -t  nat  -A POSTROUTING \
 -s  192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE
所有iptables规则都是临时规则
安装iptables-services并启动服务,保存防火墙规则(永久)
[root@proxy ~]# yum -y install iptables-services
[root@proxy ~]# systemctl start iptables.service
[root@proxy ~]# systemctl enable iptables.service
[root@proxy ~]# iptables -F
[root@proxy ~]# service  iptables save           #保存防火墙规则
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]


 

Y\
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防火墙之地址转换SNAT DNAT
chengxuyuanyonghu的专栏
03-21 3万+
防火墙之地址转换SNAT DNAT 一、SNAT源地址转换。 1、原理:在路由器后(PSOTROUTING)将内网的ip地址修改为外网网卡的ip地址。 2、应用场景:共享内部主机上网。 3、设置SNAT:网关主机进行设置。  (1)设置ip地址等基本信息。  (2)开启路由功能:  sed -i '/ip-forward/s/0/1/g'
iptables防火墙的基本知识和一些操作
qq_59634082的博客
01-30 553
iptables
iptables防火墙之SNAT、DNAT策略及应用
weixin_62466637的博客
01-03 1005
目录 一、SNAT原理及应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2路由转发开启方式 SNAT转换 二、DNAT策略概述 2.1 DNAT策略的典型应用环境 2.2 DNAT策略的原理 2.3 DNAT策略的应用 2.4 实现方法 编写DNAT转换的规则 三、防火墙规则的备份和还原 3.1 导出(备份)所有表的规则 3.2 导入(还原)规则 一、SNAT原理及应用 ..
iptables详解(13):iptables动作总结之二
yetugeng的专栏
06-16 1172
概述 阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。 前文中,我们已经了解了如下动作 ACCEPT、DROP、REJECT、LOG 今天,我们来认识几个新动作,它们是: SNAT、DNAT、MASQUERADE、REDIRECT 在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟,可以跳过如下场景描述。 NAT是Network Address Translation的缩写,译为"网络地址转换",NAT说白了就是修改报文的IP地址,..
使用 iptables 进行端口转发
weixin_30556161的博客
09-09 218
端口转发用来中转国外的虚拟机例如远程桌面 效果非常明显,iptables不仅支持单端口,连端口段也可以转发,同时TCP/UDP均可 特别注明:本地服务器 IP 未必是公网 IP ,像阿里云就是内网 IP ,请用 ipconfig 确认下走流量的网卡 IP 是外网还是内网。 第一步:开启系统的转发功能vi /etc/sysctl.conf将net.ipv4.ip_forward=0修改成n...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables详解
09-04
### iptables详解 #### 安全体系概览与预备知识 在网络安全领域,构建一个高效稳定的安全体系至关重要。本文档将详细介绍iptables的工作原理及其在网络安全中的应用。首先,我们需要了解安全体系的一般构成: 1. ...
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
Linux 防火墙(二)——NAT和Firewall
李凯的博客
12-23 2058
Linux 防火墙(一)——基础介绍以及基本扩展模块 规则优化最佳实践 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条 谨慎放行入站的新请求 有特殊目的限制访问功能,要在放行规则之前加以拒绝 同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理 不同类的规则(访问不同应用),匹配范围大的放在前面 应该将那些可由一条规则能够描述的多个规则合并为一条 设置默认策...
linux中iptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1995
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
SNAT源地址转换基本概念以及应用
江晓龙的博客
07-11 2043
所谓的SNAT源地址转换的意思指的是修改数据包中的源地址信息,典型的应用场景就是带动局域网主机上网,如下图所示,公司有很多台电脑,都需要上网,这时就可以在防火墙中配置一个SNAT地址转换,某个网段进入防火墙后通过SNAT修改源地址信息,修改为防火墙的公网地址,由防火墙去互联网环境中请求数据,最后返回给公司电脑,带动局域网上网。SNAT源地址转换的应用场景:SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的源地址
iptables里面的dport和sport
suirosu的专栏
10-09 2699
iptables里面的dport和sport   首先先来翻译一下dport和sport的意思:    dport:目的端口  sport:来源端口  初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。    dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。    但是在使用
iptables查看 input链规则,并按照优先级排序、显示行号
weixin_35757531的博客
01-08 1062
你可以使用以下命令查看 input 链的规则,并按照优先级进行排序: iptables -SINPUT | sort -k 3 如果你想要在输出中显示行号,可以使用 nl 命令: iptables -SINPUT | nl 此命令会在每一条规则的开头添加一个行号,从 1 开始计数。 希望这能帮到你! ...
基于ssm和vue的 校园短期闲置资源置换平台源码 校园短期闲置资源置换平台代码(高分毕设项目源码)
最新发布
08-23
1. 校园短期闲置资源置换平台代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是ssm,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
Iptables入门与深入解析
Iptables指南深入解析了Linux防火墙管理工具的基础与高级用法。该指南由Oskar Andreasson撰写,旨在为读者提供从入门到精通的知识,适合对网络安全有兴趣的系统管理员和IT专业人士。文章按照逻辑结构展开,首先介绍...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值