Iptables防火墙策略

最新推荐文章于 2024-07-02 21:53:31 发布
最新推荐文章于 2024-07-02 21:53:31 发布
阅读量186 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lachewuxian/article/details/133613163
版权

安全技术:

1 入侵检测技术:特点是阻断,量化,定位来自内外的网咯的威胁情况。

提供报警和事后监督,类似于监控

2 入侵防御:以透明模式工作,分析数据包的内容,可以对一起进入本机的内容进行防护,木马 ,蠕虫,系统漏洞进行分析判断,然后进行阻断,主动的防护机制,部署在整个架构,或者是集群的入口支出,(必经之处)

3 防火墙:隔离功能,工作在网络或者主机边缘的

 对网络或者主机进出的数据包按照一定能的规则进行检查,(网络层转发数据包)

我们在工作中,一般对防火墙,设置都是白名单,拒绝所有,允许个别

4 防水墙:透明式工作,华为的ensp监控就是防火墙,一切对于防水墙的都是透明,在事前事中,事后,都可以进行检测

防护墙:

保护范围:主机防火墙,仅为当前主机服务。

网络防火墙,防护的是另一侧的局域网

网络层防火墙 :IPtables.包过滤防火墙

访问控制,每个数据包的源ip地址,目的Ip地址,端口号,协议等进行组合式监控,由此来判断数据包是否允许通过

通信的五要素和四要素:源/目的ip 源/目的端口, 协议源/目的ip 源/目的端口

Iptables:系统自带的包过滤防火墙

Firwalld:主机防火墙,他也有包过滤的功能,centos以后集成。

Iptables:内核防火墙,内置四个表,而且所有在表中,配置规则,配置后立即生效,不需要重启服务

四个表:

raw:连接跟踪,跟踪数据的一种机制。配置了之后,可以加快防火墙的穿越速度(关闭raw里面的追踪。)

mangle:修改数据包的标记位规则。

nat:地址转换的规则表

filter:包过滤规则表。根据预定义的规则,人工设置的规则,对符合条件的数据包进行过滤,也是iptables的默认表

五个链:

prerouting链:处理数据包进入本机之前的规则 配合NAT

input链:处理数据包进入本机的规则

FORWARD:处理数据包转发到其他主机的规则

Output:处理本机发出的数据包的规则,一般不处理

Postrouting:处理数据包离开本机的之后的规则 配合nat

表里有链,链里面有规则, iptables的配置规则,写在链当中

80端口是httpd 、nginx

数据包到达防火墙时,规则表之间的优先顺序: raw > mangle > nat > filter

iptables的安装

CentOS 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装 iptable

步骤:
systemctl stop firewalld.service
 
systemctl disable firewalld.service
 
yum -y install iptables iptables-services
 
systemctl start iptables.service

iptables的命令格式:

命令:iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写

管理选项:

-A :在指定链的末尾追加(--append)一条新的规则
-I :在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则
-R :修改、替换(--replace)指定链中的某一条规则,可指定规则序号或具体内容
-P :设置指定链的默认策略(--policy)
-D :删除(--delete)指定链中的某一条规则,可指定规则序号或具体内容
-F :清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-L :列出(--list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-n :使用数字形式(--numeric)显示输出结果,如显示 IP 地址而不是主机名
-v :显示详细信息,包括每条规则的匹配包数量和匹配字节数

-t : 指定查看哪张表
--line-numbers:查看规则时,显示规则的序号

匹配条件

-p 指定数据包的协议类型

-s 指定数据包的源ip地址

-d 指定数据包的目的Ip地址

-i 制定数据包的进入本机的网络接口

-o指定数据包离开本机的时候使用的网络端口

-sport 指定源端口

-dport 指定目的端口号

控制类型:

-j :后面跟着的是控制类型

ACCEPT:允许数据包通过

DROP:拒绝数据包通过 ,直接丢弃数据包,不给任何回应的信息

REJECT:拒绝,但是会给一个回应的的信息

SNAT:修改数据包的源地址,

DNAT:修改数据包的目的地址

如何添加新的规则

iptables -t filter -A INPUT -p icmp -j REJECT   #限制通讯

iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT   #允许通讯

如何查看规则列表

命令:iptables  -vnL

如何删除指定规则

iptables -D INPUT 2

iptables -t filter -D INPUT -p icmp -j REJECT

限制通信IP地址:

拒绝Ip地址访问:

拒绝整个网段来访问我的80端口

一座拖鞋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文研究-构建Linux环境下Iptables防火墙策略 .pdf
08-16
构建Linux环境下Iptables防火墙策略,赵富,,Linux操作系统的Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本�
iptables增加、删除、修改、查询、保存防火墙策略教程
u012242646的博客
11-23 1820
一.查看现有防火墙策略 二.增加防火墙策略(以22端口为例) 说明: 1.-A代理在末尾追加,如果要在开头插入使用 -I 2.多IP使用逗号(半角)相隔,多端口添加-m multiport然后端口使用逗号(半角)相隔 3.对于连续IP合用–src-range iptables -I INPUT -m iprange --src-range 192.168.220.128-192.168.22...
iptables防火墙使用的策略
weixin_55609813的博客
05-26 337
iptables防火墙的两种策略SNTA策略SNAT概述开启路由转发功能,但未设置地址转换开启路由转发功能,并设置SNAT地址转换SNAT应用 SNTA策略 SNAT概述 因为当前ipv4协议支持的可以IP地址资源已严重不足,企业以不足以支持太多的公网IP的费用, 这时我们就可以使用通过SNTA策略,解决局域网共享上网的问题。 而使用SNAT是会出现两种情况 开启路由转发功能,但未设置地址转换 这时数据包经过网关转发后其源地址没有进行改变,对方主机接受到该数据包时,不能够进行正确的返回,进而导致访问的失败
Linux安全防火墙iptables)配置策略
qq_51545656的博客
11-11 5480
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables防火墙策略(慎用)
weixin_39218464的博客
01-17 371
iptables防火墙策略 没事别搞这个,有腾讯云或者阿里云的安全组是一样的,慎用,我这刚用了所有端口被清空了,22号远程端口被断开通过vnc登录操作了一波 关闭 firewalld systemctl stop firewalld 安装 iptables-services yum -y install iptables-services 启动 iptables systemctl enable iptables 打开 iptables(重要) systemctl start iptables
Iptables 简单策略
weixin_33725239的博客
06-03 48
#!/bin/bash modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ipt_limit iptables -F ...
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4503
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
构建Linux环境下Iptables防火墙策略.pdf
11-04
构建Linux环境下Iptables防火墙策略.pdf
iptables详细命令
06-17
iptables详细命令
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
iptables详解
魏志标的博客
06-26 6519
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
iptables总结
No_san的博客
08-06 194
本文为iptables学习总结。
iptables防火墙策略学习
x202231的博客
04-12 409
Linux下防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙iptables,自从centos7过后防火墙的使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙
linux防火墙iptables配置规则分享
zhangdd的博客
04-27 343
前面说了Freebsd下ipfw的配置,今天再说一下linux及centos下iptables的通用配置。相比于freebsd的ipfw centos下的iptables更加便于安装配置。 默认情况下iptables是集成在centos发行版本之中的,它集成到linux内核中,用户通过iptables,可以对进出你的计算机的数据包进行过滤。通过iptables命令行设置你的规则,来把保护的计算机
linux之iptables防火墙
weixin_55609813的博客
05-25 284
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
iptables策略详解
qk的专栏
03-18 869
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
最新发布
gaogao0305的博客
07-02 586
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
iptables防火墙配置
09-29
iptables防火墙的配置方法有两种:命令行和图形化界面。使用iptables命令行进行配置的方法如下: 1. 关闭firewalld防火墙:执行命令`systemctl stop firewalld.service`临时关闭防火墙,执行命令`systemctl disable firewalld.service`永久关闭防火墙。 2. 安装iptables:执行命令`yum -y install iptables iptables-services`安装iptables。 3. 启动iptables:执行命令`systemctl start iptables.service`启动iptables。 接下来可以进行iptables防火墙的配置。具体的配置方法可以根据需求进行设置。以下是一些常见的配置命令: 1. 显示规则的序号:使用命令`iptables -L --line-numbers`可以查看iptables规则的序号。 2. 设置默认策略:使用命令`iptables -P <链名> <控制类型>`可以设置默认策略。例如,执行命令`iptables -P INPUT DROP`设置输入链的默认策略为拒绝,执行命令`iptables -P FORWARD DROP`设置转发链的默认策略为拒绝。 在生产环境中,一般会将网络型防火墙和主机型防火墙的默认规则设置为拒绝,并配置白名单。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值