linu系统中的防火墙(iptables)

最新推荐文章于 2024-03-07 13:17:26 发布
最新推荐文章于 2024-03-07 13:17:26 发布
阅读量136 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dghfttgv/article/details/103218318
版权

 

一、使用iptables对防火墙的管理

## 1、iptables的管理和存储方式
### (1)iptables的安装
yum install iptables -y        |安装iptables

### (2)使用iptables的环境配置
systemctl stop firewalld    |关闭firewalld
systemctl disable firewalld    |开机不启动firewalld
systemctl mask firewalld    |给firewalld上锁
systemctl unmask iptables    |解锁iptables
systemctl start iptables    |开启iptables
systemctl enable iptables    |开机自动启动iptables

1、如下:

 

 

 

 

 

二、iptables的管理
 

iptables -nL            |n:numeric,L:list,列出表的策略信息,不指定时默认列出filter表
iptables -F            |F:flush,刷新,将表中策略刷新删除
iptables -nL            |再次查看策略,此时无策略
systemctl restart iptables    |重启服务
iptables -nL            |再次查看时,因为重启服务,保存的策略被再次加载出来
iptables -F            |再次刷新删除
service iptables save        |保存此时的策略
cat /etc/sysconfig/iptables    |查看策略保存的文件
systemctl restart iptables    |重启服务
iptables -nL            |再次查看时,重启服务,保存的策略为无策略,所以此时没有策略被加载出来
iptables -A INPUT -s 172.25.254.54 -p tcp --dport 80 -j REJECT        |-A为添加,INPUT为想要添加的chain(链)名称,-s指定IP,若指所有人,则不加该参数,-p指定协议,--dport指定端口,-j指定执行的动作,此处为REJECT
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT                |-I为插入,此处指将该策略插入至INPUT的第1条
iptables -D INPUT 1        |删除INPUT中的第1条策略,-D为指定删除某链下的某个策略
iptables -N abc            |添加自定义链,名为abc
iptables -E abc zxc        |修改自定义链abc名为zxc
iptables -X zxc            |删除自定义链zxc
iptables -P INPUT DROP        |更改INPUT链的默认规则为DROP
iptables -t nat -nL        |-t为指定表,此处为查看nat表的策略信息,当不指定时,默认指定的是filter表
iptables -L INPUT        |列出filter表下的INPUT链的策略信息

 

1、查看iptables列表信息

iptables  -nL                  ##查看iptables列表信息
iptables  -F                   ##清空iptables列表信息(临时重启服务后恢复原来的设置)
systemctl restart iptables     ##重启iptables服务

 

 

2、保存iptables中的设定

service liptables  save           ##保存iptables中的设置

 

3、查看iptables保存策略的文件

vim /etc/sysconfig/iptables           ##查看iptables保存策略的文件

 

 

 

 

 

三、iptables策略的添加和删除

1、禁止172.25.66.250用户访问80端口

iptables -A INPUT -s 172.25.66.250 -p tcp --deport 80 -j REJECT   ##禁止172.25.66.250 用户访问本机的80端口(apache)

 

2、策略的删除

iptables  -D IPUT  1   ##表示删除列表中的第一条策略

 

 

3、插入策略

iptables -I IPUT 1 -p tcp --deport 80 -j REJECT      ##表示插入此策略

 

4、添加自定义链

iptables -N westos      ##添加自定义链 名为westos

 

4、修改自定义链的名称

iptables -E westos WESTOS     ##将自定义链westos改名为WESTOS

 

5、删除自定义链

iptables -X WESTOS        ##删除自定义链

 

 

6、查看相应的列表信息

iptables -t nat -nL          ##列出nat列表的信息

 

7、修改INPUT的默认规则

iptables -P INPUT DROP      ##更改INPUT链的默认规则为DROP

 

 

 


四、在iptables中做SNAT(原地址转换)和DNAT(目的地地址转换)


此实验需要三台机,提供目的地地址的、提供路由功能的(需两块网卡,两个不同网段)、提供原地址的。

此处设定的原地址为:
172.25.0.166,网关为172.25.0.1(路由器的一个IP)
路由器的两个IP为:
172.25.66.66(eth1网卡IP)和172.25.0.1(eth0网卡IP)
目的地IP为:
172.25.66.250
### (1)SNAT
#### <1>在路由器上设置
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.66.66    |给nat表的POSTROUTING链中添加策略,指定网卡为eth0网卡,执行SNAT,转换的IP为172.25.66.66
iptables -t nat -nL        |查看是否添加成功
sysctl -a | grep ip_forward    |查看路由功能是否开启,若显示为0,则没有开启
vim /etc/sysctl.conf        |修改该文件
net.ipv4.ip_forward = 1        |开启路由功能
sysctl -p            |修改完成后加载修改的设定,立即开启路由功能

#### <2>在原地址端测试
ping 172.25.66.250(目的地地址)        |可ping通,说明原地址转换成功
ssh kiosk@172.25.66.250(目的地地址)    |连接目的地地址

#### <3>在目的地查看
w -i            |查看连接自己的IP,此时经过原地址转换,所以看到的IP应是路由器的eth0网卡IP172.25.66.66

#### <4>还原设定,使实验环境纯净
iptables -t nat -D POSTROUTING 1    |删除设定,还原实验环境

### (2)DNAT
#### <1>在路由器上设置
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-dest 172.25.0.166    |给nat表的PREROUTING链中添加策略,指定网卡为eth1网卡,执行DNAT,转换的IP为172.25.0.166
iptables -t nat -nL        |

#### <2>在原地址端测试
ssh kiosk@172.25.0.166(目的地地址)    |连接目的地地址

#### <3>在目的地查看
w -i            |查看连接自己的IP,此时经过目的地地址转换,所以看到的IP应是原地址IP172.25.66.250

 

1、实验配置

desktop上配置两快网卡:

eth0:充当内网主机的源地址转换的接口

eth1:充当外网链接的接口

 

2、将server主机的ip设置为172.25.0.166 (充当外网主机)

网关:GATEWAY=172.25.0.1

 

3、检查网关的连接情况以及ip的设置情况:

 

4、设置访问的ip从172.25.66.66端口出去

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.66.66    |给nat表的POSTROUTING链中添加策略,指定网卡为eth0网卡,执行SNAT,转换的IP为172.25.66 网段的ip
iptables -t nat -nL                  ##查看策略是否生效

 

5、检查1725.25.0.166主机是否可以连接172.25.66.250主机

连接失败

 

6、查看内核路由功能是否开启

sysctl -a | grep ip_forward                ##查看内核路由i是否开启
vim /etc/sysctl.conf                       ##编辑内核路由文件

内容:
net.ipv4.ip_forward=1                      ##开启内核路由功能

sysctl -p                                  ##查看内核路由是否成功开启

(1)、查看内核路由是否开启

 

(2)、编辑内核路由文件

 

(3)、查看内核路由是否成功的开启

 

 

7、在此检查是否可以连接172.25.66.250主机

ping 172.25.66.250

 

8、将172.25.0.166设置为网络访问的入口

iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-dest 172.25.0.166    |给nat表的PREROUTING链中添加策略,指定网卡为eth1网卡,执行DNAT,转换的IP为172.25.0 网段的ip

 

9、 在172.25.66.250主机上登录172.25.66.66主机进行测试

(1)、登录172.25.66.66主机

ssh root@172.25.66.66         ##登录172.25.66.66主机 

登录到的用户是172.25.0.166主机

 

(2)、查看登录本机的ip

直接可以看到172.25.250连接只做源地址转换

 

10、172.25.0.166主机连接172.25.66.250主机

(1)、ssh root@172.25.66.250

 

(2)、查看到连接的主机ip为172.25.66.66主机的ip

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

裁二尺秋风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙命令(iptables)命令# systemctl restart iptables.service失效
weixin_42749082的博客
08-31 1918
防火墙命令(iptables)命令# systemctl restart iptables.service失效 Redirecting to /bin/systemctl restart iptables.ser linux下执行防火墙相关指令报错: Redirecting to /bin/systemctl restart iptables.service 1,安装systemctl: yum install iptables-services 2,设置开机启动: systemctl enable i
Linux Redirecting to /bin/systemctl restart iptables.service
热门推荐
hello_boyu的博客
09-05 1万+
1.昨天碰到一个错误,linux下输入命令:service iptables restart时, 总会报下面一个提示 很简单,这句话的意思就是让你重定向到systemctl然后再启用,白话就是说用systemctl方式启动 解决方法:输入 systemctl start iptables 这个时候表示防火墙已经启动了,你在通过公网访问公网IP:8080就会出现一个小猫头像了 ...
『运维备忘录』之 iptables 防火墙使用指南
流浪字节的博客
03-07 1230
iptables 是一个配置 Linux 内核防火墙的命令行工具,它是用来设置、维护和检查Linux内核的IP包过滤规则的。本文将介绍iptables 的基础知识和使用示例。
iptables使用详解(centos7)
u014644574的博客
04-11 9237
iptables使用详解(centos7)
如何重启iptables
weixin_35755188的博客
02-10 1037
如果您想重新启动iptables,您可以使用以下步骤: 使用root用户登录系统 停止iptables服务: systemctl stop iptables 重新启动iptables服务: systemctlstart iptables 检查iptables是否正在运行: systemctl status iptables 如果您使用的是不同的发行版本,步骤可能会有所不同。请注意,...
Linux防火墙iptables入门教程
01-10
当一条网络连接试图在你的系统建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行版都预装了iptables。在Ubuntu/Debian更新/安装iptables的命令为: 代码...
基于iptables的Android手机防火墙.zip
最新发布
05-11
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件...
Linu系统安全配置标准.pdf
10-01
这份"Linu系统安全配置标准.pdf"文档提供了一系列针对Linux服务器的安全加固技术要求,以增强系统的稳定性和防止未授权访问。以下是根据文档内容提炼出的关键知识点: 1. **补丁管理**: - **系统补丁**:建议定期...
Red Hat Linux指南:基础与系统管理篇
12-02
3. 防火墙设置:使用firewalld或iptables配置防火墙规则,控制入站和出站流量。 通过《Red Hat Linux指南:基础与系统管理篇》的学习,读者将能够熟练掌握Red Hat Linux的基本操作,为后续深入学习和使用Linux打下...
Tomcat7-Linu版本
06-21
在这个“Tomcat7-Linux”版本,我们主要关注的是如何在Linux操作系统上安装和配置Apache Tomcat 7.0.82。这个版本的Tomcat是一个稳定且广泛使用的版本,它支持Java EE 6规范。 1. **下载与解压** 首先,你需要从...
阿里云端口访问管理:
CHUNZHIJIEQJQ的博客
11-19 602
一:防火墙防控端口: 1.查看已经开放的端口 firewall-cmd --list-ports 2.开启指定端口 firewall-cmd --zone=public --add-port=2181/tcp --permanent 3.关闭指定端口 firewall-cmd --zone=public --remove-port=2181/tcp --permanent 4.重启防火墙 firewall-cmd --reload 二:iptables管理(这个如果系统本身没有创建就不要
linux的防火墙管理
weixin_30822451的博客
03-01 141
换oricle-linux7系统后,发现iptables的管理方法有不小的改动,记录一下遇到的问题。 iptables linux系统已经默认安装了iptables和firewalld两款防火墙管理工具,但是在使用service iptables save命令的时候可能提示找不到命令;另外iptables的配置文件在/etc/sysconfig/iptables,但是新装的服务器可能没有这个文件...
linux 防火墙 iptables 命令详解
探索者的博客
03-08 5323
上述的iptables命令示例可以帮助管理员学习如何使用iptables命令来保护不同服务。是Linux操作系统上的一个防火墙工具,它可以控制进入、离开、转发的数据流,是Linux服务器安全性的重要保障。这个命令将iptables规则保存到文件,以后可以通过cat命令查看或加载这些规则。这两条命令将允许SSH流量的进入,但拒绝来自特定IP地址的连接。这条命令将允许一个特定的IP地址来访问服务器的端口。这个命令会清空之前iptables定义的所有规则。这条命令将删除之前添加的规则。
iptables 使用与简单示例
aicsswo的博客
02-25 1875
#删除fliter表ACCOUNRT链想到了在慢慢编辑,
Linux学习之 Iptables 应用
白话机器学习
08-09 138
iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核,并且按照不同的目的被组织成表的集合。表由一组预先定义的链组成,链包含遍历顺序规则。每一条规则包含一个谓词的潜在匹配和相应的动作(称为目标),如果谓词为真,该动作会被执行。也就是说条件匹配。
linux环境systemctl防火墙iptables防火墙策略设置(端口配置)
qq_39769272的博客
07-29 6091
防火墙设置 systemctl 防火墙 一: systemctl防火墙firewalld命令 systemctl status firewalld systemctl start firewalld systemctl stop firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:firewall-cmd --state (2)重新加载配置:firewal...
centos7 重启iptables服务报错
qq_34536480的博客
12-04 2071
centos7 重启iptables服务报错Job for iptables.service failed because the control process exited with error code. See “systemctl status s.service” and “journalctl -xe” for details. centos7默认的防火墙是firewalld,不是iptables,所以需要先关闭firewalld服务。 关闭防火墙 1.systemctl stop fire
iptables
wanchaopeng的博客
07-05 3080
1.iptables防火墙   1,selinux(生产也是关闭的),ids入侵检测,md5指纹。 2,iptables(生产看情况,内网关闭,外网打开)大并发的情况,不能打开防火墙,影响性能,硬件防火墙。 安全优化 1,尽可能的不给服务器配置外网IP,可以通过代理转发,或者换通过防火墙映射。 2. 并发不是特别大的情况并在有外网IP的环境下,开启iptables防火墙。 1.2...
iptables防火墙
ynyysn的博客
02-17 2017
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
如何设置linu系统的虚拟串口
05-28
Linux系统,设置虚拟串口的方法也比较简单,下面以Ubuntu 20.04为例,介绍如何设置虚拟串口: 1. 安装tty0tty软件。在终端输入以下命令: ``` sudo apt-get update sudo apt-get install tty0tty ``` 2. 创建一对虚拟串口。在终端输入以下命令: ``` sudo modprobe tty0tty ``` 这个命令会创建一对虚拟串口,分别为/dev/tnt0和/dev/tnt1。 3. 设置虚拟串口参数。在终端输入以下命令: ``` stty -F /dev/tnt0 115200 raw -echo stty -F /dev/tnt1 115200 raw -echo ``` 这个命令会设置虚拟串口的波特率为115200,数据位为8,停止位为1,无校验位。 4. 将虚拟串口连接到目标设备。可以使用串口调试助手、Cutecom等串口调试工具进行连接测试。 以上是在Ubuntu 20.04系统下设置虚拟串口的方法。在其他Linux系统下,设置虚拟串口的方法可能会有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值