CentOS8安装iptables

最新推荐文章于 2023-10-23 17:55:38 发布
最新推荐文章于 2023-10-23 17:55:38 发布
阅读量5.5k 收藏 5
点赞数
文章标签: linux iptables 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RougeK/article/details/108676073
版权

文章目录


iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。

关闭防火墙

关闭防火墙
#禁用,禁止开机启动: systemctl disable firewalld
#停止运行: systemctl stop firewalld

yum安装iptables

yum -y install iptables-services

启动

systemctl start iptables

配置

vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

iptables详解

规则的写法

iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个:filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

比如:不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
当然你如果想拒绝的更彻底:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v #查看定义规则的详细信息

详解COMMAND

链管理命令(这都是立即生效的)

-P :设置默认策略的(设定默认门是关着的还是开着的)
默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有链
-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空

规则管理命令

-A:追加,在当前链的最后新增一个规则
-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条
-R num:Replays替换/修改第几条规则
格式:iptables -R 3 …………
-D num:删除,明确指定删除第几条规则

查看管理命令 “-L”

附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
–line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息

详解匹配标准

通用匹配:源地址目标地址的匹配

-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反,加一个“!”表示除了哪个IP之外
-d:表示匹配目标地址
-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)
-i eth0:从这块网卡流入的数据
流入一般用在INPUT和PREROUTING上
-o eth0:从这块网卡流出的数据
流出一般在OUTPUT和POSTROUTING上

扩展匹配

隐含扩展:对协议的扩展

-p tcp :TCP协议的扩展。一般有三种扩展
–dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
–dport 21 或者 --dport 21-23 (此时表示21,22,23)
–sport:指定源端口
–tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)
对于它,一般要跟两个参数:
1.检查的标志位
2.必须为1的标志位
–tcpflags syn,ack,fin,rst syn = --syn
表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn
-p udp:UDP协议的扩展
–dport
–sport
-p icmp:icmp数据报文的扩展
–icmp-type:
echo-request(请求回显),一般用8 来表示
所以 --icmp-type 8 匹配请求回显数据包
echo-reply (响应的数据包)一般用0来表示

显式扩展(-m)

扩展各种模块
-m multiport:表示启用多端口扩展
之后我们就可以启用比如 --dports 21,23,80

详解-j ACTION

常用的ACTION:
DROP:悄悄丢弃
一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表
REJECT:明示拒绝
ACCEPT:接受
custom_chain:转向一个自定义的链
DNAT
SNAT
MASQUERADE:源地址伪装
REDIRECT:重定向:主要用于实现端口重定向
MARK:打防火墙标记的
RETURN:返回
在自定义链执行完毕后使用返回,来返回原规则链。

SNAT和DNAT的实现

由于我们现在IP地址十分紧俏,已经分配完了,这就导致我们必须要进行地址转换,来节约我们仅剩的一点IP资源。那么通过iptables如何实现NAT的地址转换呢?

SNAT基于原地址的转换

基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。
所以我们在iptables中就要定义到底如何转换:
定义的样式:
比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1
这样,只要是来自本地网络的试图通过网卡访问网络的,都会被统统转换成172.16.100.1这个IP.
那么,如果172.16.100.1不是固定的怎么办?
我们都知道当我们使用联通或者电信上网的时候,一般它都会在每次你开机的时候随机生成一个外网的IP,意思就是外网地址是动态变换的。这时我们就要将外网地址换成 MASQUERADE(动态伪装):它可以实现自动寻找到外网地址,而自动将其改为正确的外网地址。所以,我们就需要这样设置:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
这里要注意:地址伪装并不适用于所有的地方。

DNAT目标地址转换

对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端 通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器,而我们的服务却放在内网服务器的不同的服务器上 。

如何做目标地址转换呢?:

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2
目标地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上

控制规则的存放以及开启

注意:你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来
1.service iptables save 命令
它会保存在/etc/sysconfig/iptables这个文件中
2.iptables-save 命令
iptables-save > /etc/sysconfig/iptables

3.iptables-restore 命令

开机的时候,它会自动加载/etc/sysconfig/iptabels
如果开机不能加载或者没有加载,而你想让一个自己写的配置文件(假设为iptables.2)手动生效的话:
iptables-restore < /etc/sysconfig/iptables.2
则完成了将iptables中定义的规则手动生效

Rouge丶铠
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS 7 iptables安装及使用
PingHui_W的博客
01-04 2884
1.使用yum方法安装iptables #先检查是否安装iptables service iptables status #安装iptables yum install -y iptables #自动选择y全自动 #升级iptables yum update iptables #安装iptables-services yum install iptables-services iptablesiptables-services 都需要安装 若无法安装请手动安装 2.使用手动安装方法 下载的地址为:
CentOS8DNS服务器的搭建以及防火墙iptables的运用
Han199908的博客
05-20 452
1、简述DNS服务器原理,并搭建主-辅服务器。 2、搭建并实现智能DNS。 3、使用iptable实现: 放行ssh,telnet, ftp, web服务80端口,其他端口服务全部拒绝 4、NAT原理总结 5、iptables实现SNAT和DNAT,并对规则持久保存。 ...
CentOS 安装使用Iptables
01-03
CentOS 安装使用Iptables,1.安装iptables-services2.设置开机启动3.配置说明
centos8安装iptables
桑海田
11-02 1570
关闭默认防火墙firewalld 禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 安装iptables yum -y install iptables-services #启动服务 systemctl start iptables.service #查看状态 systemctl status iptables.service #设置iptables的开机自启动 systemctl enable iptables.
Linux CentOS 8(iptables的配置与管理)
最新发布
正月十六工作室
10-23 1987
iptables其实不是真正的防火墙,它只是一个命令行工具,位于用户空间,可以把它理解成一个客户端代理。用户通过 iptables 这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,名字叫netfilter,位于内核空间,以实现网络数据包的过滤管理(查看、记录、修改、丢弃、拒绝)。普遍应用于Rhel6、CentOS6及之前。netfilter / iptables 组成Linux平台下的包过滤防火墙。
CentOS8 iptables 防火墙配置
young_monkeysun的博客
08-05 8744
iptables防火墙配置iptables 防火墙简介iptables匹配规则规则链依据数据包处理位置的不同分类针对策略规则类型采取不同动作iptables常用命令参数iptables 实践将INPUT默认策略改为DROP向某种类型中添加允许某种协议进入删除某条规则设置指定网段的主机访问本机某端口,拒绝其他所有主机的流量保存iptables 配置设置 iptables 防火墙简介 在操作系统中防火墙在内网和外网中充当保护的屏障,防火墙有软件防火墙和硬件防火墙之分。 在Linux系统中有多种防火墙管理工具,
Centos8防火墙关闭和启用iptables操作
hwj2004dhc的空间
01-03 5117
#ufw是针对Ubuntu系统发行的,是一种管理netfilter规则的简单方法,针对Centos可以关闭防火墙 # 扩展命令 # 查看防火墙状态:sudo systemctl status firewalld # 关闭防火墙: systemctl stop firewalld.service # 开启防火墙: systemctl start firewalld.service # 关闭开机启动: systemctl disable firewalld.service # 打开防火墙开机启动: syst
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
CentOS7安装iptables防火墙的方法
09-15
本篇文章主要介绍了CentOS7安装iptables防火墙的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
阿里云Centos配置iptables防火墙教程
01-20
虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是...说明iptables服务是有安装的,但是没有启动服务。 如果没有安装的话可以直接yum安装 yum install -y iptables 启动iptables [root@woxpl
阿里云CentOS6.8启动iptables的sh文件
01-04
阿里云CentOS6.8启动iptables的sh文件,放到CentOS系统里直接启动
CentOS 安装 iptables 防火墙
nukix
11-08 1638
CentOS 安装 iptables 防火墙 CentOS 默认使用的是 firewall 作为防火墙,这里改为iptables防火墙。 一、关闭删除 firewall systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #取消firewall开机启动 二、安装 iptables # 一键安装 iptables yum install iptables-services -y # 设置防火墙开
Centos安装iptables和ifconfig
Devops学习旅途
06-15 480
yum install iptables-services
centos 安装iptables防火墙
qq_37967380的博客
04-09 899
安装iptables防火墙 yum install iptables-services -y 启动iptable防火墙 systemctl enable iptables systemctl start iptables 编辑防火墙增加端口 打开配置文件: vim /etc/sysconfig/iptables 增加端口: -A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 重启防火墙 systemct.
CentOS6.8 设置iptables
weixin_33682790的博客
03-02 258
1、指令 vim /etc/sysconfig/iptables添加以下内容和要开放的端口 Firewall configuration written by system-config-firewall Manual customization of this file is not recommended. *filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [...
centos6.8 没有iptables
LC_HYQ的博客
05-13 622
centos 6.8 /etc/sysconfig/ 下没有iptables,可使用下面的代码解决(1)iptables -P OUTPUT ACCEPT(2)service iptables save  (3)service iptables restart
centos8下安装iptables报错
熊博主
06-11 939
centos8配置appstream的repo源
centosIptables安装(离线)
qq_42780864的博客
08-01 3903
centosIptables安装(离线)
阿里云centos6.8利用snat实现内网服务器代理上网功能
weixin_34362790的博客
04-26 374
原标题:VPC网络环境下Linux系统配置SNAT实现无公网ECS通过有EIP的服务器代理上网 参考链接:https://help.aliyun.com/knowledge_detail/38776.html VPC网络环境下,没公网的机器如何通过一台有EIP的机器上网 将EIP绑定到某台ECS上,然后测试通过eip登陆ssh,测试成功开启ip转发功能sed...
centos 怎样安装iptables
09-17
### 回答1: 在 CentOS 系统上安装 iptables 非常简单,只需按照以下步骤进行操作: 1. 打开终端并使用 root 用户登录系统。 2. 使用以下命令更新系统: ``` yum update ``` 3. 使用以下命令安装 iptables: ``` yum install iptables-services ``` 4. 使用以下命令启动 iptables 服务: ``` systemctl start iptables ``` 或者如果您使用的是 CentOS 6.x,则可以使用以下命令: ``` service iptables start ``` 5. 如果您希望 iptables 服务在系统启动时自动启动,请使用以下命令: ``` systemctl enable iptables ``` 或者如果您使用的是 CentOS 6.x,则可以使用以下命令: ``` chkconfig iptables on ``` 现在,您已经成功安装iptables 并启动了服务,您可以根据需要配置您的防火墙规则。 ### 回答2: 在CentOS安装和配置iptables需要经过以下步骤: 1. 将默认的防火墙软件Firewalld禁用并停止,输入以下命令: ``` systemctl disable firewalld systemctl stop firewalld ``` 2. 安装iptables软件,输入以下命令: ``` yum install iptables-services ``` 3. 启动iptables服务,并设置开机自启,输入以下命令: ``` systemctl enable iptables systemctl start iptables ``` 4. 打开/etc/sysconfig/iptables配置文件,可以使用文本编辑器进行编辑,如vi: ``` vi /etc/sysconfig/iptables ``` 5. 在iptables配置文件中添加相应的规则。例如,允许SSH连接(端口号为22),可以添加以下规则: ``` -A INPUT -p tcp --dport 22 -j ACCEPT ``` 其他常见的规则,如允许HTTP连接(端口号为80): ``` -A INPUT -p tcp --dport 80 -j ACCEPT ``` 保存并退出配置文件。 6. 重启iptables服务,使新的规则生效: ``` systemctl restart iptables ``` 现在,iptables已经安装并配置完成。您可以根据需要继续添加规则,以实现特定的网络访问控制。请确保在编辑iptables配置文件之前备份文件,以防止意外修改导致无法访问服务器。 ### 回答3: CentOS是一款基于Linux的操作系统,通过安装iptables可以实现防火墙功能的配置和管理。下面是在CentOS安装iptables的步骤: 1. 打开终端,使用root用户登录系统。 2. 确保系统已连接到互联网,执行以下命令以更新系统软件包列表: sudo yum update 3. 安装iptables软件包,执行以下命令: sudo yum install iptables 4. 测试是否安装成功,执行以下命令: sudo iptables --version 如果显示了iptables的版本信息,则说明安装成功。 现在,您已经成功在CentOS安装iptables。接下来,您可以使用iptables命令来配置和管理防火墙规则。例如,您可以使用以下命令来配置允许和拒绝特定端口的访问: 1. 允许特定端口的访问,例如允许SSH访问: sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT 2. 拒绝特定端口的访问,例如拒绝HTTP访问: sudo iptables -A INPUT -p tcp --dport 80 -j DROP 3. 最后,保存并启用配置更改,使其在系统重新启动后仍然有效: sudo service iptables save sudo service iptables restart 总结来说,安装iptables的过程包括更新系统、安装iptables软件包和进行基本的配置。您可以根据您的需求使用iptables命令来定制和管理防火墙规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值