linux防火墙

最新推荐文章于 2024-04-17 21:53:41 发布
最新推荐文章于 2024-04-17 21:53:41 发布
阅读量652 收藏 1
点赞数 1
分类专栏: linux 文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Melgards/article/details/127390877
版权

防火墙前提得是路由能通,这个封包能过来,封包进入本机
防火墙主机内部要有路由
防火墙链上(chain)规则是有先后顺序,封包表头信息满足某条规则就action,并不会进行下面的规则匹配,
如果上面的都没有匹配到,那么就执行默认的规则,也就是policy的action。

规则里先过滤精确的,在放通全部的就可以限制指定的IP

tables
filter 管理本机的表【默认的表】
input 从外部进入本机的封包。从外部主机访问本机时候
output 从本机发出的封包。从本机访问外部主机时候
forward 转发到后端主机上

nat 用在linux路由器主机上,管理防火墙内部的主机。进行来源ip+port与目的ip+port之间的转换。需要结合filter表中的forward链。
prerouting 进入本机。在进行路由判断之前进行的规则,修改目标IP地址。dnat
postrouting 从本机出去。在路由判断之后进行的规则,修改来源IP地址。snat
input
output

POSTROUTING 在修改来源 IP ,
PREROUTING 则在修改目标 IP 。
mangle 管理标志的
options 自定义表

查看指定表上的防火墙规则
v会显示统计信息
iptables -t nat -L -nv
iptables -t nat -L -n

列出防火墙的规则命令
iptables-save
iptables-save -t nat

防火墙规则解释
target代表要执行的动作,有ACCEPT DROP REJECT
prot 代表封包的协议,有tcp udp icmp
opt 额外说明
source 代表封包上的来源ip地址
destination 代表封包的上目标ip地址

清理防火墙规则
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

设定防火墙
1、设定防火墙filter表上的INPUT链上的默认策略为drop
iptables -t filter -P INPUT DROP

2、设定常见的参数
没有指定的参数,就是接受
-A 在原本规则最后面追加一条
-I 默认插入在第1条规则
-A 链名称

-i 封包进入的网卡名称,与INPUT链结合
-o 封包出去的网卡名称,与OUTPUT 链结合

-p 封包的协议,有tcp udp icmp all

-s 封包表头的来源地址,可以是ip,也可以网段
-s 192.168.1.1
-s 192.168.1.1/24
-s 192.168.1.1/255.255.255.0
如果不允许
-s ! 192.168.1.1
-d 封包表头上的目标地址,可以是ip,也可以网段

–sport 封包表头上的来源地址的端口,通常结合tcp或者udp协议使用
-p tcp --sport 1521
-p udp --sport 1521:1588
–dport 封包表头上的目标地址的端口,通常结合tcp或者udp协议使用

-j 动作,有ACCEPT DROP REJECT LOG

iptables -A INPUT -p tcp -s 172.16.0.131 -j DROP
iptables -A INPUT -p tcp -i eth0 -s 172.16.0.132 -j DROP

-m 外挂模块,state(状态模块)mac(网卡地址)
–state 封包状态
INVALID 无效封包
ESTABLISHED 已经联机成功的封包
NEW 想新建立联机的封包
RELATED 我们主机发送出去的封包有关

-m state --state ESTABLISHED,RELATED
-m mac --mac-source mac地址

禁ping
iptables -A INPUT -i eth34 -p icmp --icmp-type 8 -j DROP

常见的设定

  1. 清除规则
    iptables -F
    iptables -X
    iptables -Z
  2. 设定政策
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    3.制定规则
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    #iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT
    4.写入防火墙规则文件里/etc/sysconfig/iptables
    /etc/init.d/iptables save

SNAT 用于内部主机访问外网
出去:POSTROUTING 经过路由后,将来源地址从私网ip修改成public ip
返回:PREROUTING 经过路由前,将目标地址从public ip修改成私网ip地址

eth1是内网网卡 eth0是外网网卡
iptables -A INPUT -i eth1 -j ACCEPT
echo “1” > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

直接修改ip
iptables -t nat -A POSTROUTING -o ens32 -j SNAT --to-source 192.168.1.100

DNAT 用于外部主机访问内部主机,外部先请求到linux路由器上,然后由DNAT将真正的需要转发到内部服务器上
进去:PREROUTING 经过路由之前,将目标地址从public ip修改成私网IP
回来:POSTROUTING 经过路由后,扔到了public ip上,将来源地址从私网ip修改成public ip
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:80
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

DNAT和SNAT刚好相反

iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

石榴花上
关注
专栏目录
linux 防火墙详解
wq962464的博客
12-09 3612
一、linux防火墙基础 1.防火墙概念 在计算机科学领域中,防火墙(Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。 防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件 2.功能:防火墙...
Linux中的火墙策略
weixin_68562945的博客
05-23 192
1.火墙介绍 netfilter iptables iptables |firewalld 这个两个工具是用来管理火墙的 dnf install iptables-services -y 安装iptables火墙管理工具 2. 火墙管理工具 iptables的使用 iptables -L 查看火墙策略 iptables -F清空火墙策略 service iptables -save 保存火墙策略 /etc/sysconfig/iptables...
防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
weixin_28954623的博客
05-09 700
原标题:通过iptables设置Linux防火墙INPUT策略小白电脑课堂开课啦!游戏团战就死机,多半是废了。大家好我是小白。说到防火墙,同学们都会想到开了防火墙就会卡的Windows。而在Linux中,防火墙是个很重要的服务。虽然现在已经有了新的firewalld服务,但新的防火墙配置工具也没有完全取代iptables,而且很多企业还在iptables服务。今天小白就用iptables来演示如何...
Linux 防火墙配置
万里归来少年心
09-27 351
1.查看IPTABLES设置 iptables -L -n      可以看出,Linux系统上有防火墙,并且开放了22,3306端口。 2.清除原有规则 iptables -F     该命令可以清除预设表filter中的所有规则。 3.设定预设规则 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P...
Linux防火墙策略
weixin_44828950的博客
05-15 1万+
linux防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样就可...
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
LINUX防火墙(原书第3版).pdf
最新发布
09-22
LINUX防火墙(原书第3版).pdf
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 6688
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义中,根据需求进行配置。如果想要删除自定义,确保满足以下条件:自定义没有被任何默认引用,即自定义的引用计数为0。自定义中没有任何规则,即自定义为空。可以使用-x示例自定义使用自定义添加:iptables -N custom(名) 创建定义改名:iptables -E custom(原来名称) ky29(新名称) 自定义改名。
Linux配置防火墙的相关命令
Limitless* 的博客
12-07 314
(命令直接复制执行!)查看防火墙状态: /etc/init.d/iptables status 暂时关闭防火墙: /etc/init.d/iptables stop配置防火墙: vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A
Linux下iptables防火墙策略管理
weixin_45792518的博客
03-22 1232
1.防火墙的介绍 防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。广义来说,只要能够分析与过滤进出管理网段的数据包数据,就可以称为防火墙防火墙最大的功能就是帮助用户限制某些服务的存取来源。防火墙最主要的功能是: ·限制文件传输服务(FTP)只在子网段内的主机之间使用,而不对整个Internet开放。 ·限制整台Linux主机仅可以接受客户端...
(二)Linux 防火墙----网络防火墙,NET,firewalld
weixin_45697293的博客
05-31 450
文章目录六. 网络防火墙综合实验:七. NAT2. SNAT3. DNAT(重点***)(端口映射,只能一对一)4. 转发(端口重定向redirect)重点八. firewalld服务(centos 7)firewalld zone分类预定义服务firewalld配置firewall-cmd 命令选项九. firewall其它规则管理rich规则rich日志规伪装和端口转发端口转发练习 六. 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORW
Linux防火墙配置
weixin_46544151的博客
04-15 3148
一、实验目的及要求 1.不允许外网不经过防火墙与内网进行通信 2.允许内网用户通过防火墙访问外部HTTP、HTTPS服务器 3.允许内网用户通过防火墙访问外部FTP服务器 二、实验环境 3台Ubuntu虚拟机 Ubuntu 64位:内网(服务器) Ubuntu 2 :网关(防火墙) Ubuntu 3:外网 注:Ubuntu的可视化操作较为便利,这里使用Ubuntu易于进行网段和ip地址的设置。 三、实验原理 1.防火墙的概念 防火墙(firewall)是位于内部网和...
Linux的firewalld防火墙
qq_70756940的博客
04-17 928
①、firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。②、相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。|zone:有多种区域,我们的IP、网卡可以加入到不同的区域。(互联网的地址 | 老师的电脑)|service:各种服务|各种端口。
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING和OUTPUT上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
Linux中的火墙策略优化
weixin_56744753的博客
10-01 192
Linux中火墙策略是基于netfilter实现的。1、netfilter:内核上有个安全插件netfilter(访问控制列表),这个列表里有许多详细的规则,当对这个规则允许或拒绝时,可以控制其他主机是否能访问,极大的提高了安全性。2、iptables:管理netfilter的工具,通过iptables往netfilter表格里面写网络安全策略。3、iptables | firewalld:对iptables进行管理,用iptables或firewalld手段来写网络安全策略
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4185
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
Linux防火墙命令详解与实战应用
Linux防火墙命令是系统管理员在Linux环境中管理网络安全的重要工具,它通过设置规则来控制网络流量,包括允许或阻止数据包进出系统的入口和出口。本文档详细介绍了Linux防火墙的几个关键命令及其用途,旨在帮助用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值