linux防火墙

最新推荐文章于 2024-05-06 19:17:01 发布
最新推荐文章于 2024-05-06 19:17:01 发布
阅读量590 收藏
点赞数 1
分类专栏: linux 文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Melgards/article/details/127390877
版权

防火墙前提得是路由能通,这个封包能过来,封包进入本机
防火墙主机内部要有路由
防火墙链上(chain)规则是有先后顺序,封包表头信息满足某条规则就action,并不会进行下面的规则匹配,
如果上面的都没有匹配到,那么就执行默认的规则,也就是policy的action。

规则里先过滤精确的,在放通全部的就可以限制指定的IP

tables
filter 管理本机的表【默认的表】
input 从外部进入本机的封包。从外部主机访问本机时候
output 从本机发出的封包。从本机访问外部主机时候
forward 转发到后端主机上

nat 用在linux路由器主机上,管理防火墙内部的主机。进行来源ip+port与目的ip+port之间的转换。需要结合filter表中的forward链。
prerouting 进入本机。在进行路由判断之前进行的规则,修改目标IP地址。dnat
postrouting 从本机出去。在路由判断之后进行的规则,修改来源IP地址。snat
input
output

POSTROUTING 在修改来源 IP ,
PREROUTING 则在修改目标 IP 。
mangle 管理标志的
options 自定义表

查看指定表上的防火墙规则
v会显示统计信息
iptables -t nat -L -nv
iptables -t nat -L -n

列出防火墙的规则命令
iptables-save
iptables-save -t nat

防火墙规则解释
target代表要执行的动作,有ACCEPT DROP REJECT
prot 代表封包的协议,有tcp udp icmp
opt 额外说明
source 代表封包上的来源ip地址
destination 代表封包的上目标ip地址

清理防火墙规则
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

设定防火墙
1、设定防火墙filter表上的INPUT链上的默认策略为drop
iptables -t filter -P INPUT DROP

2、设定常见的参数
没有指定的参数,就是接受
-A 在原本规则最后面追加一条
-I 默认插入在第1条规则
-A 链名称

-i 封包进入的网卡名称,与INPUT链结合
-o 封包出去的网卡名称,与OUTPUT 链结合

-p 封包的协议,有tcp udp icmp all

-s 封包表头的来源地址,可以是ip,也可以网段
-s 192.168.1.1
-s 192.168.1.1/24
-s 192.168.1.1/255.255.255.0
如果不允许
-s ! 192.168.1.1
-d 封包表头上的目标地址,可以是ip,也可以网段

–sport 封包表头上的来源地址的端口,通常结合tcp或者udp协议使用
-p tcp --sport 1521
-p udp --sport 1521:1588
–dport 封包表头上的目标地址的端口,通常结合tcp或者udp协议使用

-j 动作,有ACCEPT DROP REJECT LOG

iptables -A INPUT -p tcp -s 172.16.0.131 -j DROP
iptables -A INPUT -p tcp -i eth0 -s 172.16.0.132 -j DROP

-m 外挂模块,state(状态模块)mac(网卡地址)
–state 封包状态
INVALID 无效封包
ESTABLISHED 已经联机成功的封包
NEW 想新建立联机的封包
RELATED 我们主机发送出去的封包有关

-m state --state ESTABLISHED,RELATED
-m mac --mac-source mac地址

禁ping
iptables -A INPUT -i eth34 -p icmp --icmp-type 8 -j DROP

常见的设定

  1. 清除规则
    iptables -F
    iptables -X
    iptables -Z
  2. 设定政策
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    3.制定规则
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    #iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT
    4.写入防火墙规则文件里/etc/sysconfig/iptables
    /etc/init.d/iptables save

SNAT 用于内部主机访问外网
出去:POSTROUTING 经过路由后,将来源地址从私网ip修改成public ip
返回:PREROUTING 经过路由前,将目标地址从public ip修改成私网ip地址

eth1是内网网卡 eth0是外网网卡
iptables -A INPUT -i eth1 -j ACCEPT
echo “1” > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

直接修改ip
iptables -t nat -A POSTROUTING -o ens32 -j SNAT --to-source 192.168.1.100

DNAT 用于外部主机访问内部主机,外部先请求到linux路由器上,然后由DNAT将真正的需要转发到内部服务器上
进去:PREROUTING 经过路由之前,将目标地址从public ip修改成私网IP
回来:POSTROUTING 经过路由后,扔到了public ip上,将来源地址从私网ip修改成public ip
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:80
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

DNAT和SNAT刚好相反

iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

石榴花上
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统:IPTables
m0_51456787的博客
08-08 1073
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架(framework),netfiter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。............
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
Linux防火墙知识简介+命令规则
顺其自然~专栏
11-16 255
从内核2.4 之后使用全新的内核包过滤管理工具--iptables,这个工具使用户更易于理解其工作原理,更容易被使用,也具有更强大的功能。iptables只是一个管理内核包过滤的工具,可以加入、修改和删除核心包过滤表格中的规则。实际上真正执行这些过滤规则的是。
Linux防火墙策略
热门推荐
weixin_44828950的博客
05-15 1万+
linux防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样就可...
linux查看服务器防火墙策略,linux防火墙策略规则
weixin_29932857的博客
05-05 5465
介绍:防火墙默认有四表五四表:(表的优先级:raw > mangle > nat > filter )1.Raw表——两个:PREROUTING、OUTPUT作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw2.Mangle表——五个:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD作用:修改数据包的服务类型、T...
iptables
wenqing_ruyu的博客
06-22 1340
iptables简介 配置防火墙 (iptables+netfilter) nat: 网络地址转换 filter: 过滤 SNAT: 实现内网的主机上网 DNAT: 对外发布服务
INPUT默认规则设置为DROP在脚本前后对脚本的影响
m0_57633272的博客
04-07 2561
#!/bin/bash iptables='/usr/sbin/iptables' $iptables -F $iptables -t nat -F $iptables -t filter -P INPUT DROP for i in {1..70} do sleep 1 echo $i done $iptables -A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dport 80,21,22,3306 -j ACCEPT...
Linux:iptables练习
zJay-L's Blog
09-08 595
1.将filter表INPUT默认策略设置为DROP,不能中断连接 iptables -t filter -A INPUT -s 192.168.186.1 -j ACCEPT iptables -t filter -P INPUT DROP 2.丢弃穿越本机的所有流量,并将这条策略放在最后一条 iptables -A FORWARD -j DROP 3.放行所有访问本机80,443,8080端口的流量 iptables -A INPUT -p tcp -m multiport --dport
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 3906
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 2259
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义中,根据需求进行配置。如果想要删除自定义,确保满足以下条件:自定义没有被任何默认引用,即自定义的引用计数为0。自定义中没有任何规则,即自定义为空。可以使用-x示例自定义使用自定义添加:iptables -N custom(名) 创建定义改名:iptables -E custom(原来名称) ky29(新名称) 自定义改名。
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙设置
05-22
简单 好用 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 简单 好用
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
linux下的调试工具gdb的详细使用介绍
qq_75270497的博客
05-06 496
详细介绍在linux下使用gdb的方法,每个步骤都举例说明,适合复习和新手入门,希望能为能够帮助到大家。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 432
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux 第十八章
一怀明月的博客
05-01 1261
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
Linux字符设备驱动(一) - 框架
最新发布
滴水藏海
05-06 586
字符设备驱动的注册
Linux】冯·诺依曼体系结构
2201_76024104的博客
05-06 245
因为我们的操作系统就是一个软件,它可以用来管理内存,操作系统写的好不好,就决定了计算机的效率高不高。从你的键盘到内存再到CPU,CPU中要对信息进行一些处理,最简单的要加上发送的时间,人物等,然后在经过内存到网卡,通过网络到你朋友的网卡,再到内存到CPU,要对收到的信息进行分析,再到内存再到显示器上。了,因为我们的CPU可以做的非常快,而数据之间的拷贝是远不如CPU的处理速度快的。越靠上,离CPU越近,就是直接和CPU交换数据,效率越高,但是造价越高,容量越小。,让我们更多人使用,这也是内存的意义。
重启Linux防火墙
08-27
要重启Linux防火墙,可以使用以下命令: ``` service iptables restart ``` 这个命令会重新启动防火墙并且应用之前的配置。 另外,在CentOS 7上,如果使用的是firewalld防火墙,可以使用以下命令来重新启动防火墙:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值