iptables学习笔记:2

最新推荐文章于 2023-05-24 15:58:26 发布
最新推荐文章于 2023-05-24 15:58:26 发布
阅读量453 收藏 1
点赞数
分类专栏: Firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marco_90/article/details/38586667
版权

前提:查看iptables

iptables -nv --line-numbers

1、允许SSH链接(在进行所有操作前优先执行此操作,尤其是设置默认策略前):

添加INPUT录: iptables -A INPUT -p tcp --dport 22 -j ACCEPT
添加OUTPUT记录: iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

2、设置默认策略(此处将默认策略设置为丢弃):

iptables -P INPUT DROP    
iptables -P OUTPUT DROP    
iptables -P FORWARD DROP

3、开放80端口:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

4、允许服务器使用DNS(由于DNS既包含TCP的53号端口,又包含UDP的53号端口,所以需要写4条,另外,如果包含服务器为DNS服务器,则要写8条):

iptables -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT 
iptables -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

DNS服务器还需要写如下4条规则:

iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT 
iptables -A OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 53 -j ACCEPT

5、允许192.168.1.0/16网段ping服务器:

iptables -A INPUT -s 192.168.1.0/24 -p icmp  --icmp-type 8 -j ACCEPT

iptables -A OUTPUT  -p icmp --icmp-type 0 -j ACCEPT

若允许服务器ping其他服务器,则icmp-type的编号调换,8为icmp echo-request ,0为icmp echo-reply

6、允许本地回环地址:

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -i lo -j ACCEPT

7、处理IP碎片数量,防止攻击,允许每秒100个

iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

8、设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

9、drop非法连接
[root@tp ~]# iptables -A INPUT     -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT    -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP

10、

允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables应用举例

1、共享上网
目标:使局域网的用户都可以访问外网的服务器
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 
说明: SNAT 和 MASQUERADE 区别
SNAT : 不管是几个地址,必须明确的指定要SNAT的ip,适合网关服务器有固定地址或者是固定地址范围. MASQUERADE : 是针对ADSL动态拨号这种场景而设计,从服务器的网络接口上,自动获取当前ip地址来做NAT,这样就实现了动态SNAT地址转换

2、内网的服务器对外服务(端口映射)
目标:使外网用户可以访问到局域网192.168.138.21这台HTTP服务
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.138.21
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

3、在网关服务器进行透明代理
目标: 使局域网用户,访问外网web服务时,自动使用squid作web透明代理服务器。
[root@localhost]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.138.1
[root@localhost]# iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 
[root@localhost]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 
wooowlili
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux中iptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1974
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
防火墙命令
weixin_40316719的博客
03-03 1153
查看当前所有防火墙规则 1、iptables -L -n -v 要显示输入或输出链规则,且结果中有行号,可以运行 1、iptables -L INPUT -n -v 2、iptables -L OUTPUT -n --line-numbers 3、iptables -L OUTPUT -n --line-numbers | less 4、iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1 删除规则 1、iptables -D INPUT 4将
iptables基础详细说明
minioesina的Linux
01-26 463
在linux中,iptables并不是一个真正的防火墙,可以把它理解为一个客服端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的安全框架中,而这个安全框架才是真正的防火墙,这个防火墙称为netfilter,位于内核空间,主要用于网络地址转换、数据包内容修改、数据包过滤的防火墙功能。 数据报文过滤 在iptables中,内置了5个钩子函数(hook functions),...
常用iptables命令及概念总结
精彩的艺术
12-10 687
开启目的端口22访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT 开启源端口22访问 iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 显示nat表的PREROUTING链的规则: iptables -t nat -nL PREROUTING --line-numbers 端口转发: iptables -t nat -A PREROUTING -p tcp -i b...
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
iptables学习笔记.pdf
10-08
iptables学习笔记.pdf
iptables学习笔记
04-04
对怎么使用linux系统下iptables,怎么去配置那些ip可以连接设备 。
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1284
iptables命令的总结
iptables简单应用
weixin_34355715的博客
07-18 81
可以修改/etc/rc.d/boot.local让规则重启后也能生效,如: /sbin/iptables -F /sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p tcp -j DROP /sbin/ipt...
iptables基础(一)
weixin_33946020的博客
04-05 367
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables防火墙介绍
小五
10-11 2448
iptables防火墙介绍使用 原理 5链 INPUT:入站规则 OUTPUT:出站规则 FORWARD:转发规则[软路由时应用] PREROUTING:路由前规则[软路由时应用] POSTROUTING:路由后规则[软路由时应用] 4表 Filter过滤表[设置允许或者和拒绝规则] Nat地址转换表[内网ip转外网ip,外网ip转内网ip] Raw数据包跟踪表[记录每个的连接] Mangle修改状态[修改包头] 命令的语法格式: Iptables [-t 表名] 选项 [链名][条件][-j 目标操作]
一般人都知道的iptables操作
最新发布
m0_55877125的博客
05-24 183
【代码】一般人都知道的iptables操作。
iptables原理与设置
weixin_42145464的博客
09-12 1028
使用iptables命令可以设置、维护和检查在Linux内核中的IPv4数据包过滤规则表。几个不同的表可以被定义。每个表含有一些内置的链,也可以含有用户自定义链。每条链是规则可匹配一组的包的列表。每个规则指定如何处理数据包匹配。可以在同一表中跳转到一个用户定义的链。
linux 修改防火墙配置
bayonet1999的博客
09-17 1558
1.首先介绍一下指令和相关配置文件 启动指令:service iptables start    重启指令:service iptables restart    关闭指令:service iptables stop       然后是相关配置:/etc/sysconfig/iptables    如何操作该配置呢?    vim /etc/sysconfig/iptable
iptables 实例
robbie的专栏
07-14 1215
<br />iptables -F<br /># -F 是清除的意思,作用就是把 FILTRE TABLE 的所有链的规则都清空<br /><br />iptables -A INPUT -s 172.20.20.1/32 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT<br />#在 FILTER 表的 INPUT 链匹配源地址是172.20.20.1的主机,状态分别是NEW,ESTABLISHED,RELATED 的都放行。<br /><br />i
linux下IPTABLES配置详解(防火墙)
choukuad381324的博客
09-18 1027
转自http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html 关闭防火墙: service iptables stop chkcon...
linux篇-linux iptables配置
qq_41632427的博客
05-17 1706
1 iptables默认系统自带 setup 2重启防火墙 /etc/init.d/iptables restart 3接受端口 Vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 4 #配置,禁止进,允许出,允许回环网卡 iptables -P INPUT DROP iptables -A OUTPUT -j ACCEPT iptables...
Java分布式架构学习笔记:MySQL主从、Redis集群与Kafka搭建
本篇文档是作者分享的Java分布式高级架构师学习笔记,内容涵盖了多个关键技术领域,旨在帮助读者深化对分布式系统设计的理解和实践。主要包括: 1. MySQL:文档详细介绍了MySQL的主从配置,包括配置步骤、如何检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wooowlili

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值