linux 防火墙设置(摘自网络)

最新推荐文章于 2023-11-01 21:14:39 发布
最新推荐文章于 2023-11-01 21:14:39 发布
阅读量481 收藏
点赞数
分类专栏: Linux 文章标签: linux 防火墙

删除现有规则

iptables -F
(OR)
iptables --flush

设置默认链策略

iptables的filter表中有三种链:INPUT, FORWARD和OUTPUT。默认的链策略是ACCEPT,你可以将它们设置成DROP。

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

允许从本机ping外部主机

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

允许环回(loopback)访问

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

允许所有SSH连接请求

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

允许从本地发起的SSH连接

本规则和上述规则有所不同,本规则意在允许本机发起SSH连接,上面的规则与此正好相反。

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

仅允许来自指定网络的SSH连接请求

以下规则仅允许来自192.168.100.0/24的网络:

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

仅允许从本地发起到指定网络的SSH连接请求

以下规则仅允许从本地主机连接到192.168.100.0/24的网络:

iptables -A OUTPUT -o eth0 -p tcp -d 192.168.100.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

允许HTTP/HTTPS连接请求

# 1.允许HTTP连接:80端口
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# 2.允许HTTPS连接:443端口
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

允许来自指定网络的MySQL连接请求

你可能启用了MySQL服务,但只希望DBA与相关开发人员能够从内部网络(192.168.100.0/24)直接登录数据库:

iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

允许从本地发起HTTPS连接

本规则可以允许用户从本地主机发起HTTPS连接,从而访问Internet。

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

指定多个端口

-m multiport:指定多个端口
通过指定-m multiport选项,可以在一条规则中同时允许SSH、HTTP、HTTPS连接:

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

允许出站DNS连接

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

防止DoS攻击

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

允许访问外网

有一些时候 我们需要将iptablesINPUT链写死,那么我们可以用iptables -P INPUT DROP来全部关掉input链路。
但是随之产生了一个很严重的问题,那么服务器本身发送的数据请求返回的数据同样被iptables拒之门外,一个通俗的解释就是外部数据无法访问本地服务,本地服务器也无法正常上网。

解决方法如下:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

防止攻击

防止syn攻击(DDOOS攻击的一种)

iptables -I INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -I FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

防止各种端口扫描

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#linux中预防SYN_RECV(转)
攻击的形式多种多样,我们这里只介绍最为常见的SYN_RECV,遇到攻击的不要着急,小量的SYN_RECV很容易防止的
1.对于大量的 SYN_RECV
若怀疑是SYN Flood攻击,有以下建议:
这个攻击的解决方法如下:
1,增加未完成连接队列(q0)的最大长度。
echo 1280>/proc/sys/net/ipv4/tcp_max_syn_backlog
2, 启动SYN_cookie。
echo 1>/proc/sys/net/ipv4/tcp_syncookies
这些是被动的方法,治标不治本。而且加大了服务器的负担,但是可以避免被拒绝攻击(只是减缓)
治本的方法是在防火墙上做手脚。但是现在能在一定程度上防住syn flood攻击的防火墙都不便宜。并且把这个命令加入"/etc/rc.d/rc.local"文件中
2. iptables的设置,引用自CU
防止同步包洪水(Sync Flood)
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
也有人写作
#iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
--limit 1/s 限制syn并发数每秒1次,可以根据自己的需要修改
防止各种端口扫描
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping洪水攻击(Ping of Death)
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
秦仙游
关注
专栏目录
深入Linux网络核心堆栈
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
07-06 1603
卷标 0x0b, 期刊号 0x3d, Phile #0x0d of 0x0f|=---------------------=[ 深入Linux网络核心堆栈 ]=-----------------------=||=---------------------------------------------------------------
Linux网络相关以及防火墙
weixin_34008784的博客
10-26 87
2019独角兽企业重金招聘Python工程师标准>>> ...
linuxssh防火墙配置,linux中suse防火墙配置ssh的步骤
weixin_32619013的博客
05-12 396
最近由于工作需要开始玩SuSe ,由于之前用惯了centos ,在SuSe上使用iptables -nL可以查看到防火墙的配置,确找不到配置文件。而在/etc/init.d下的服务名在SuSe下也变马了SuSEfirewall2_init 和 SuSEfirewall2_setup ,如下:361way:/ # chkconfig --list |grep -i fireSuSEfirewall2...
Linux——SSH服务篇与防火墙简单配置
qq_45070595的博客
10-29 8114
ssh服务也是日常工作中比较常用的一个服务,本次实验中,将介绍 一下ssh中常见的一些场景。 Linux——SSH服务篇与防火墙简单配置1.开启SSH远程访问2.禁止root用户直接SSH登陆3.更改SSH端口(含防火墙简单配置)4.设置服务器之间相互SSH免密登陆总结 1.开启SSH远程访问 一般使用服务器时,我们需要开启SSH远程访问,方便用户远程进行操作。 查看SSH是否安装 rpm -qa | grep ssh 上图说明Centos7默认安装了SSH包。 安装缺失的包、并配置SS
sshscp 命令访问非默认22端口。
weixin_30401605的博客
04-18 530
ssh :(命令中的 p 小写) ssh -p 端口号 root@服务器ip scp: (命令中的P 大写)(-r表示将目录下的目录递归拷贝。“.*”是将所有文件包括隐藏文件。) 上传文件到服务器scp -P 端口号 /Users/apple/Desktop/a.pdf root@服务器ip:/home/wwwroot scp -P 端口号 -r /Users/apple/...
Linux -------------------设置防火墙和SELinux
最新发布
qq_63976098的博客
11-01 1015
Linux防火墙、SELinux
brctl 设置ip_Linux 网桥配置命令:brctl
weixin_35935279的博客
12-31 1280
Linux网关模式下将有线LAN和无线LAN共享网段实现局域网内互联:brctl addbrbridgebrctl addifbridge eth0brctl addifbridge ath0ifconfigeth00.0.0.0ifconfigbridge 10.0.0.1 netmask 255.255.255.0 up添加iptables-t nat -A POSTROUTING -o e...
linux网络简介(摘自linux kernel)
小伟
04-22 2688
第十章 网络    网络Linux是密切相关的。从某种意义来说Linux是一个针对Internet和WWW的产品。它的开发者和用户用Web来交换信息思想、程序代码,而Linux自身常常被用来支持各种组织机构的网络需求。这一章讲的是Linux如何支持如TCP/IP等网络协议的。     TCP/IP协议最初是为支持ARPANET(一个美国政府资助的研究性网络)上计算机通讯而设计的。ARPANET
brctl 设置ip_Linux 网桥配置命令:brctl
weixin_39649405的博客
12-31 268
Linux网关模式下将有线LAN和无线LAN共享网段实现局域网内互联:brctl addbr bridgebrctl addif bridge eth0brctl addif bridge ath0ifconfig eth0 0.0.0.0ifconfig bridge 10.0.0.1netmask 255.255.255.0 up添加iptables -t nat -A POSTROUTIN...
linux之dma api -- 通用设备的动态dma映射,Linux动态DMA映射
weixin_42323064的博客
05-08 594
1. 几种地址类型虚拟地址Linux内核使用的地址是虚拟地址,数据类型为void *。例如,kmalloc()和vmalloc()函数返回值就是虚拟地址。物理地址处理器真实地址总线上的地址,数据类型为phys_addr_t。对I/O设备寄存器和内存统一编址的处理器,如ARM/PowerPC,参考手册一般会给出memory map,也就是各种I/O设备的寄存器在物理地址空间的分布。对I/O设备寄存器...
SSHSCP命令及使用说明
暗夜
06-23 852
SSH篇 1、ssh介绍 SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。最早的时候,互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。 SSH只是一种协议,存在多种实现,既有商业实现,也有开源实现。
ssh 登录时常出现的几种错误以及解决方法(Linux
热门推荐
漠效的博客
05-26 13万+
前言 sshLinux系统中常用的远程登陆的命令,有的时候我们通过xshell等远程连接软件使用ssh去登陆远程的服务器的时候,会遇到一些问题。 下面是关于ssh 远程登陆的问题解决方法的总结。 一般为几种原因:安装引起的、网络配置引起的、服务的配置引起的、密钥问题引起的。 安装问题 这个是最不常见的,通常是安装的软件的版本或服务器不支持此软件的连接方式,换个软件安装即可。 ...
简化你的工作流程:利用SSH配置和SCP命令
qq_45663927的博客
07-03 998
在我们的日常工作中,我们经常需要连接到远程服务器,传输文件,并设置环境。当处理远程服务器时,我们经常使用SSH密钥和像sshscp这样的命令行工具。今天,我们将向你展示如何利用SSH配置简化你的远程连接和文件传输,以便简化你的工作流程。
怎么将开放端口添加到防火墙规则中(Windows10)
qq_41616642的博客
03-29 3353
1.打开控制面板 详细操作可参照:如何打开控制面板 **2.打开“新建入站规则向导”窗口 点击“系统和安全”*** 点击“Windows Defender 防火墙” **** 点击“高级设置”–在弹出窗口点击“入站规则”–在窗口右侧点击“新建规则”**** 3.新建入站规则. 勾选”端口“,点击下一步 选择TCP或者UDP,应用于特定本地端口,在文本框中输入要开放的端口号,如 8080,点击下一步 勾选允许连接,点击下一步 根据需要勾选应用情况,点击下一步 给这个规则定义一个名称,描述可
Linux 远程管理介绍(Telnet、SSH-SCP、VNC)
m0_49864110的博客
02-22 2195
查看启动的vnc服务(如果初始是直接使用vncpasswd配置的密码,则没有启用的vnc服务,需要使用vncserver命令来启用vnc窗口)VNC是虚拟网路控制台的缩写,指的是通过远程到linux上,进行图形化界面的操作(ssh和telnet只是命令行的配置)将更改为VNC客户端登录使用的用户名,并将VNC客户端配置文件的路径更改,使其对应(本次更改为root用户)可以有多个不同的窗口(可以理解为每个客户端都有一个窗口),而不同窗口号对应的端口号也不同,具体的计算。
linux中的防火墙的基本设置---firewlld、iptables
ly2020_的博客
06-05 2万+
1 防火墙介绍: 1.1 防火墙的分类 (一)、包过滤防火墙 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(access control lable,ACL)。通过检查数据流中每个数据包的源地址和目的地址,所用的端口号和协议状态等因素,或他们的组合来确定是否允许该数据包通过。 包过滤防火墙的优点是它对用户来说是透明的...
Linux下IPTABLES配置详解
weixin_33938733的博客
09-10 229
我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)targe...
记一次主机入侵攻防大战:firewalld防火墙指定的IP段的端口访问控制
晨曦蜗牛
04-24 4934
一、背景 一大早来公司,登录那台暴露在外网的服务器,登录成功的时候,看到160000+次登录失败的记录,看到这个我和我的小伙伴们都惊呆了,是谁那么执着?小伙伴还开玩笑说是不是谁跟你有世仇啊,这么搞你!来活了,我的服务器我做主,搞起,who怕who? 二、具体操作 1、last看一下是否有异常ip及账户登录记录. [root@DCGH ~]# last -100 ivandu pts...
三、防火墙配置(1)---防火墙常规配置
qq_43168364的博客
04-19 7538
一、实验内容 1、在GNS中创建如下图所示的网络拓扑结构。 2、给路由器和防火墙按照拓扑图中的规划,配置好IP地址和路由表。给R1、R2、R4、R6开启远程连接。 3、验证防火墙默认安全规则,高安全级别接口(inside)可主动访问低安全级别接口(outside);低安全级别接口(outside)不能主动访问高安全级别接口(inside)。 4、在防火墙上配置ACL,使R1和R2可以ping通...
Linux网络管理员指南:网络基础与协议介绍
这篇文档摘自Linux网络管理员指南》,作者是Olaf Kirch。这本书主要介绍了Linux环境下的网络管理知识,包括基础的网络概念和技术。在第一章中,作者以穴居人的故事引出了“连网”的概念,以此来解释网络通信的本质...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值