CentOS8安装iptables

最新推荐文章于 2024-04-24 16:35:55 发布
最新推荐文章于 2024-04-24 16:35:55 发布
阅读量5.3k 收藏 5
点赞数
文章标签: linux iptables 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RougeK/article/details/108676073
版权

文章目录


iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。

关闭防火墙

关闭防火墙
#禁用,禁止开机启动: systemctl disable firewalld
#停止运行: systemctl stop firewalld

yum安装iptables

yum -y install iptables-services

启动

systemctl start iptables

配置

vim /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

iptables详解

规则的写法

iptables定义规则的方式比较复杂:
格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION
-t table :3个:filter nat mangle
COMMAND:定义如何对规则进行管理
chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的
CRETIRIA:指定匹配标准
-j ACTION :指定如何进行处理

比如:不允许172.16.0.0/24的进行访问。
iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
当然你如果想拒绝的更彻底:
iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

iptables -L -n -v #查看定义规则的详细信息

详解COMMAND

链管理命令(这都是立即生效的)

-P :设置默认策略的(设定默认门是关着的还是开着的)
默认策略一般只有两种
iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
比如:
iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作,所以关于外界连接的所有规则包括Xshell连接之类的,远程连接都被拒绝了。
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
iptables -t nat -F 清空nat表的所有链
-N:NEW 支持用户新建一个链
iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
使用方法跟-N相同,但是在删除之前必须要将里面的链给清空昂了
-E:用来Rename chain主要是用来给用户自定义的链重命名
-E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
iptables -Z :清空

规则管理命令

-A:追加,在当前链的最后新增一个规则
-I num : 插入,把当前规则插入为第几条。
-I 3 :插入为第三条
-R num:Replays替换/修改第几条规则
格式:iptables -R 3 …………
-D num:删除,明确指定删除第几条规则

查看管理命令 “-L”

附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息
-vv
-vvv :越多越详细
-x:在计数器上显示精确值,不做单位换算
–line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息

详解匹配标准

通用匹配:源地址目标地址的匹配

-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反,加一个“!”表示除了哪个IP之外
-d:表示匹配目标地址
-p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)
-i eth0:从这块网卡流入的数据
流入一般用在INPUT和PREROUTING上
-o eth0:从这块网卡流出的数据
流出一般在OUTPUT和POSTROUTING上

扩展匹配

隐含扩展:对协议的扩展

-p tcp :TCP协议的扩展。一般有三种扩展
–dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
–dport 21 或者 --dport 21-23 (此时表示21,22,23)
–sport:指定源端口
–tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)
对于它,一般要跟两个参数:
1.检查的标志位
2.必须为1的标志位
–tcpflags syn,ack,fin,rst syn = --syn
表示检查这4个位,这4个位中syn必须为1,其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包,还有一种简写方式,叫做–syn
-p udp:UDP协议的扩展
–dport
–sport
-p icmp:icmp数据报文的扩展
–icmp-type:
echo-request(请求回显),一般用8 来表示
所以 --icmp-type 8 匹配请求回显数据包
echo-reply (响应的数据包)一般用0来表示

显式扩展(-m)

扩展各种模块
-m multiport:表示启用多端口扩展
之后我们就可以启用比如 --dports 21,23,80

详解-j ACTION

常用的ACTION:
DROP:悄悄丢弃
一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表
REJECT:明示拒绝
ACCEPT:接受
custom_chain:转向一个自定义的链
DNAT
SNAT
MASQUERADE:源地址伪装
REDIRECT:重定向:主要用于实现端口重定向
MARK:打防火墙标记的
RETURN:返回
在自定义链执行完毕后使用返回,来返回原规则链。

SNAT和DNAT的实现

由于我们现在IP地址十分紧俏,已经分配完了,这就导致我们必须要进行地址转换,来节约我们仅剩的一点IP资源。那么通过iptables如何实现NAT的地址转换呢?

SNAT基于原地址的转换

基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。
所以我们在iptables中就要定义到底如何转换:
定义的样式:
比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1
这样,只要是来自本地网络的试图通过网卡访问网络的,都会被统统转换成172.16.100.1这个IP.
那么,如果172.16.100.1不是固定的怎么办?
我们都知道当我们使用联通或者电信上网的时候,一般它都会在每次你开机的时候随机生成一个外网的IP,意思就是外网地址是动态变换的。这时我们就要将外网地址换成 MASQUERADE(动态伪装):它可以实现自动寻找到外网地址,而自动将其改为正确的外网地址。所以,我们就需要这样设置:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
这里要注意:地址伪装并不适用于所有的地方。

DNAT目标地址转换

对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端 通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器,而我们的服务却放在内网服务器的不同的服务器上 。

如何做目标地址转换呢?:

iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2
目标地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上

控制规则的存放以及开启

注意:你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来
1.service iptables save 命令
它会保存在/etc/sysconfig/iptables这个文件中
2.iptables-save 命令
iptables-save > /etc/sysconfig/iptables

3.iptables-restore 命令

开机的时候,它会自动加载/etc/sysconfig/iptabels
如果开机不能加载或者没有加载,而你想让一个自己写的配置文件(假设为iptables.2)手动生效的话:
iptables-restore < /etc/sysconfig/iptables.2
则完成了将iptables中定义的规则手动生效

Rouge丶铠
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos离线安装iptables.docx
04-15
Centos离线安装iptables
CentOS 安装使用Iptables
01-03
CentOS 安装使用Iptables,1.安装iptables-services2.设置开机启动3.配置说明
centos6.3 配置防火墙,开启80端口、3306端口
08-06 265
vi /etc/sysconfig/iptables -A INPUT -m statestate NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A INPUT -m statestate NEW -m tcp -p tcp –dport 3306 -j ACCEPT(允许3306端口通过防火墙) 特别提示:很多网友把这两...
iptables不完全手册
虾米的博客
06-15 651
iptables简称为包过滤型防火墙一般分为2种:     1,主机防火墙:主机防火墙是用来防止本主机内的应用服务被攻击所需要保护的防火墙     2,网络防火墙:做为想路由功能的防火墙凡是进过此服务器的数据包都要进行规则匹配 iptables实现:   1、iptables,这个只是方便用户编写各类规则交由netfilter处理执行。    2、一部分是基于TCP/IP协议栈的netfilte
CentOS8 Consul微服务架构安装(1)
hello world
04-14 2571
1 Consul Consul包含多个组件,是为基础设施提供服务发现和服务配置的工具。关键特性: 1. 服务发现 Consul的客户端可用提供一个服务,比如 api 或者mysql ,另外一些客户端可使用Consul去发现一个指定服务的提供者.通过DNS或者HTTP应用程序可用很容易的找到他所依赖的服务. 2. 健康检查 Consul客户端可用提供任意数量的健康检查,指定一个服务(比如:webserver是否返回了200 OK 状态码)或者使用本地节点(比如:内存使用是否大于90%). 这个信息可由oper
Centos8防火墙关闭和启用iptables操作
hwj2004dhc的空间
01-03 4539
#ufw是针对Ubuntu系统发行的,是一种管理netfilter规则的简单方法,针对Centos可以关闭防火墙 # 扩展命令 # 查看防火墙状态:sudo systemctl status firewalld # 关闭防火墙: systemctl stop firewalld.service # 开启防火墙: systemctl start firewalld.service # 关闭开机启动: systemctl disable firewalld.service # 打开防火墙开机启动: syst
Linux CentOS 8(iptables的配置与管理)
正月十六工作室
10-23 1217
iptables其实不是真正的防火墙,它只是一个命令行工具,位于用户空间,可以把它理解成一个客户端代理。用户通过 iptables 这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,名字叫netfilter,位于内核空间,以实现网络数据包的过滤管理(查看、记录、修改、丢弃、拒绝)。普遍应用于Rhel6、CentOS6及之前。netfilter / iptables 组成Linux平台下的包过滤防火墙。
CentOS8 iptables 防火墙配置
young_monkeysun的博客
08-05 8552
iptables防火墙配置iptables 防火墙简介iptables匹配规则规则链依据数据包处理位置的不同分类针对策略规则类型采取不同动作iptables常用命令参数iptables 实践将INPUT默认策略改为DROP向某种类型中添加允许某种协议进入删除某条规则设置指定网段的主机访问本机某端口,拒绝其他所有主机的流量保存iptables 配置设置 iptables 防火墙简介 在操作系统中防火墙在内网和外网中充当保护的屏障,防火墙有软件防火墙和硬件防火墙之分。 在Linux系统中有多种防火墙管理工具,
SNAT实验(linux里操作)
LZW_6688的博客
07-31 237
1.实验准备 一台client客户机,一台firewall网关服务器。 2.网络拓扑图 3.具体操作 1.首先给client客户机和firewall网关服务器配置网卡信息 cd /etc/sysconfig/network-script 网关服务器配置信息: ...
centos8安装iptables
桑海田
11-02 1502
关闭默认防火墙firewalld 禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 安装iptables yum -y install iptables-services #启动服务 systemctl start iptables.service #查看状态 systemctl status iptables.service #设置iptables的开机自启动 systemctl enable iptables.
CentOS7安装iptables防火墙的方法
09-15
本篇文章主要介绍了CentOS7安装iptables防火墙的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
centos7安装iptables并配置规则
07-23
centos7安装iptables并配置规则
iptables-1.4.21-24.el7版本适用于centos系统
12-02
iptable包,搭建K8s集群所需,用于centos系统,修复 kube-proxy 报错,版本iptables-1.4.21-24.el7.x86_64.rpm
K8s ingress-controller中nginx文件上传大小的限制
niwoxiangyu的博客
04-18 528
删除命令: kubectl delete configmap nginx-configuration -n ingress-nginx。2.通过F12 可以看到,后台提示 403错误,可以看到出错是由于nginx的限制,并提示nginx版本号为:nginx/1.13.9。业务自己搭建的nginx ---> 开发者中心主节点的nginx ---> k8s的ingress-control中的nginx;2.查看已存在的configmap,并删除将要更新的configmap。
Linux操作系统
nuts66的博客
04-18 1817
Docker是一个开源的应用容器引擎,可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux机器上,也可实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口,并且容器性能开销极低。传统虚拟机技术是虚拟出一套硬件后,在其上运行一个完整操作系统。而Docker容器内的应用进程直接运行于宿主的内核,容器内没有自己的内核,因此比传统虚拟机更轻便。JDK是Java的开发工具包,因为tomcat是用Java开发的,所以需要先安装好JDK。3.部署网站war包。
linux18:进程等待
m0_73919066的博客
04-20 1018
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
linux的“>”和“>>”
qq_45212655的博客
04-24 261
文件存在,新的输出将被添加到文件的内容之后;如果文件不存在,将会创建一个新文件。文件存在,它的内容将被新的输出覆盖;如果文件不存在,将会创建一个新文件。都是用于文件重定向的操作符,它们用于将命令的输出发送到文件中。用于创建一个新文件或覆盖现有文件的内容。用于将输出附加到现有文件的末尾,而不是覆盖它。
linux 关闭不了docker服务
最新发布
zhangxu1998lq的博客
04-24 220
(如果它当前没有运行)。这就是为什么即使你停止了 Docker 服务,它仍然有可能被通过套接字激活的原因。如果你希望完全确保 Docker 服务不再运行,并且不能被套接字单元自动激活,你需要同时禁用和停止。是一个套接字单元,用于监听 Docker 的 API 请求。当这个套接字接收到请求时,它会激活。在 systemd 系统中,服务和套接字是分开管理的。先停止docker套接字。再停止docker就行了。
linux部署dagu和benthos作为调度平台+数据处理框架
一点见解
04-18 324
使用etl用户执行部署脚本。
centos 怎样安装iptables
09-17
CentOS 系统上安装 iptables 非常简单,只需按照以下步骤进行操作: 1. 打开终端并使用 root 用户登录系统。 2. 使用以下命令更新系统: ``` yum update ``` 3. 使用以下命令安装 iptables: ``` yum ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值